首頁 ﹥ 法律資訊 > 智慧財產相關 > ●雲端運算下之電腦犯罪 2017-07-06
雲端運算下之電腦犯罪
黃于珊律師
《原文刊載於網路資訊雜誌,2012年9月》
雲端運算(Cloud Computing)可說是目前全球最熱門的話題,無論是政府部門或是一般企業,都希望藉由無遠弗屆的雲端運算技術來部署各項應用服務,以達到資源共享、服務共用的目的,進而降低其營運成本,因此Gartner就預估到了2016年,將會有36%的個人資料儲存在雲端上。然而,因為雲端運算是將許多的資源與資訊高度集中在雲端伺服器上,因此雲端伺服器也已成為網路駭客所覬覦的新目標,許多網路犯罪者正從惡意程式、破解入侵以及其他惡意活動當中獲取龐大利潤,因此本文茲就各種雲端運算服務類型可能發生的犯罪態樣,及各該行為可能產生的法律責任,分別進行介紹。
雲端運算的服務模式
根據雲端運算所提供的資訊服務內容,可以區分為下列三種類型:
1、軟體即服務(Software as a Service, SaaS)
這是一種透過網際網路提供商業應用軟體的新興服務模式。服務提供商將應用軟體部署於集中式的網路伺服器上,讓使用者透過瀏覽器及網際網路,使用服務提供商所提供的軟體和服務並且進行資料存取,因此使用者不需在個人電腦下載或安裝任何的軟體,也無須對軟體進行更新維護,而可降低軟體管理及維護的成本與負擔。最早提供此種服務的是Salesforce.com公司的客戶關係管理系統,此外如Google Apps、Microsoft Office Live、Facebook等,也都是屬於此種類型的雲端運算服務。
2、平台即服務(Platform as a Service, PaaS)
這是一種透過網際網路提供服務平台的商業模式。他透過雲端基礎設施資源,支援不同功能的雲端應用,並透過整合的應用程式介面(Application Programming Interface, API),提供平台或服務解決方案。使用者可利用雲端伺服器平台,開發、測試、部署及使用其所需的應用程式,而無須管理或控制雲端設備(包含網路設備、伺服器等)及作業系統,故能有效降低軟硬體底層架構之採購及管理成本。以Google App Engine為例,其在雲端提供程式設計平台,程式設計者只要透過網路連到該網址,即可在該平台上開發及執行他們所擁有的程式,此外如Windows Azure平台也是屬此種類型的雲端運算服務。
3、架構即服務(Infrastructure as Service, IaaS )
又稱為「公用運算」(Utility Computing),這是一種透過網際網路提供資訊基礎設施的服務。他是將運算、儲存及網路等資源虛擬轉化為標準服務,提供內外部使用者存取之用。使用者可租用處理器、儲存裝置、網路設備等基礎設施及服務,自行建置其作業平台,因此使用者不需管理基礎設施底層的雲端架構,但能掌控作業系統、儲存空間、網路元件及所部署的應用程式。其中,如Amazon Elastic Compute Cloud所提出的虛擬機器概念,用戶也可以選擇適合的硬體環境,再依其所選擇的方案來付費,此外,如IBM Trivoli Services Automation Manager 、Amazon Web Service等也都是屬此種類型的雲端運算服務。
雲端服務的電腦犯罪類型
茲就各種雲端運算服務類型可能發生的犯罪態樣,及其可能產生的法律責任說明如下:
1、 SaaS架構上的網路犯罪
SaaS雲端服務大多是將過去需要安裝在個人電腦上的軟體轉換至網路,改以線上服務的方式提供,使用者只要以瀏覽器或客戶端連線程式連上伺服器,即可使用服務提供商所提供的軟體和服務並且進行資料存取,此種服務會促使使用者將原本存放在其個人電腦的電磁紀錄移轉至雲端伺服器上,故其所衍生的電腦犯罪多與資料外洩有關。此種服務類型中,常見的電腦犯罪態樣有下列幾種:
(1) 系統漏洞攻擊(System vulnerability Attack)
此為破解雲端伺服器的保護措施,或是利用已發現或未公開的系統弱點進行攻擊,以入侵該雲端伺服器並竊取使用者的相關資料。其中,關於破解電腦保護措施或利用電腦系統漏洞,入侵雲端伺服器的行為,可能會構成刑法第358條的入侵電腦罪,此外若入侵者進一步取得、刪除或變更雲端伺服器內的相關資料,則可能同時構成刑法第359條的取得、刪除、變電磁紀錄罪。
(2) 社交工程(Social Engineering)
社交工程並不是利用資訊科技的工程技術,而是利用人性的弱點,以簡單的溝通和詐騙方法來獲取使用者的帳號密碼或其他機敏性資料,或是誘騙使用者下載惡意程式,來突破雲端伺服器的安全防護,入侵該伺服器進行非法存取、破壞行為。其中,以詐騙方法獲取使用者帳號及密碼的行為,可能會構成刑法第339條的詐欺罪,而輸入他人帳號密碼,入侵雲端伺服器的行為,則可能構成刑法第358條的入侵電腦罪,此外入侵者若進一步取得、刪除或變更雲端伺服器內的電磁紀錄時,則可能構成刑法第359條的取得、刪除、變電磁紀錄罪。至於撰寫惡意程式的程式設計師,則可能會構成刑法第362條的製作程式供犯罪之用罪。
2、 PaaS、IaaS架構上的網路犯罪
大部分的IaaS雲端服務提供商除提供虛擬主機外,也提供各種作業平台供使用者選擇,因此其所面臨的電腦犯罪態樣,與提供應用平台的PaaS雲端服務一樣,都是雲端伺服器的攻擊行為。此種服務類型中,常見的電腦犯罪態樣有下列幾種:
(1)分散式阻斷服務攻擊(Distributed Denial of Service , DDoS):
此種攻擊方法為駭客先入侵大量主機,並在被害主機上安裝DDoS攻擊程式以控制該主機,再利用這些被害主機對攻擊目標的展開攻擊,使攻擊目標迅速產生極大的網路流量,以癱瘓該攻擊目標或消耗其流量額度。以此種方法攻擊雲端伺服器或其相關設備之人,可能會構成刑法第360條的干擾他人電腦罪,而撰寫DDoS攻擊程式的程式設計師,則可能會構成刑法第362條的製作程式供犯罪之用罪。
(2)中間人攻擊(Man-in-the-Middle Attack)
係指駭客扮演中間人的角色,假冒伺服器端接收到傳送的訊息,再假冒使用者端把訊息傳給真正的伺服器主機,藉此在兩端連線不知情的情況下竊取或變更傳遞的訊息內容。以此種方法竊取或變更傳遞訊息內容之人,可能會構成刑法第359條的取得、刪除、變電磁紀錄罪。
政府部門及一般企業在享受雲端運算所帶來的便利性、開放性與經濟性之餘,也應該注意其所伴隨而來的電腦犯罪問題,積極規劃資訊安全的保護策略,才能創造低風險、高信賴的雲端服務,使民眾及消費者都能安心地漫步在雲端。