許多大公司各類個人資料外洩事件頻頻發生,相比之下,Zoom的問題是小兒科。惡意的駭客全年無休,相關新聞大家看得麻木了,更大原因是一般百姓不明白也懶得明白資訊安全,因爲那些科技詞彙的確很難明白。再者,絕大多數資安措施都必然麻煩,資安系統有多嚴謹就有多麻煩,這是必然的。那麽究竟需要多嚴謹呢?就看它所保護的內容價值如何。像谷歌、臉書這類掌控上億人資料、擁有巨大資源的公司同樣肩負資安教育的責任,人們需要的是資安基本常識和技能,就像煮快熟麵那樣,這是生活,資訊科技也是生活。日後遇到資安科技尚未照顧到的疑慮時,能自行判斷,不至於無助地盲目相信假訊息。
【文/周若鵬】
視訊會議平臺Zoom的資安爭議,令許多有資訊科技背景的朋友啼笑皆非,一般民衆猶如瞎子摸象。Zoom有問題嗎?有。那麽,要緊嗎?
2019年臉書(Facebook)先後洩漏了大約六億筆用戶資料,包含名字和電話號碼。我的電話被壞人知道了,好像傷害不大,他能傳訊給我又如何?我一個人的電話對他們來說自然是沒有意義的,可是,當他們掌握了六億筆資料,就能進行「網絡釣魚詐騙」(phishing scam),只要有0.001%的人上鈎就好。在馬來西亞,你不是沒讀過有人受害的新聞。
此外,能傳訊就有可能影響接收者的行爲。2016年劍橋分析(Cambridge Analytica)利用不道德手段收集近九千萬筆臉書用戶資料,用在美國總統特朗普選戰的政治宣傳。也就是說,這樣的資料洩漏,小則害人破財,大則影響國家命運。
其他大公司各類個人資料外洩事件也頻頻發生,最讓人感受到切膚之痛的是信用卡號碼被盜,我自己也是受害者,目前還有幾千令吉在騙徒手上,正與銀行周旋。相比之下,Zoom的問題是小兒科。
Zoom只是在用戶介面設計上有所疏忽,沒有提醒用戶自動上載的視訊會議記錄需要設定隱私屬性。參加會議太方便,一些無聊的外人可以闖進來,一位無辜的新加坡老師和其學生中招,被色情狂騷擾。這些「毛病」,只要用戶設定好密碼、照顧基本保安,都不是毛病。那些更嚴重的資安問題卻不曾引發爭論,是否因爲已成常態呢?
(來源:Computerworld/Boris Johnson/Twitter)
認識資訊風險管理
已成常態是真的,惡意的駭客全年無休,相關新聞常有;大家看得麻木了,但更大原因是一般百姓不明白也懶得明白資訊安全(information security),因爲那些科技詞彙的確很難明白。再者,絕大多數資安措施都必然麻煩,因爲只有麻煩才能讓駭客更麻煩,大家都不喜歡麻煩的。我們有多不明白資安?且從你我最熟悉且切身的密碼(password)談起,絕大多數人自設的密碼以及使用習慣都是不安全的。
你的密碼裡頭有你的名字或誰的生日嗎?爲了方便記憶,我們自然會選擇有意義的密碼,然而這樣的密碼也很容易讓駭客「猜」到。當然,他們不是用猜的,而是用自動化程式每串字母數字都試一試,這叫dictionary hack,是一種蠻力攻擊(brute force attack),真的就像用錘子猛敲,一直到敲破你的保險箱爲止。
目前各重要網站都會强制要求你使用較長的密碼,而且要含符號,目的就是讓字典駭客花更長時間破解,不可能在有效時間內得逞。這同時也讓用戶覺得記憶困難,怎麽辦呢?於是用戶只記住這一個複雜的密碼,然後重複在多個不同網站使用。請問你的銀行密碼和你的臉書帳號密碼一樣嗎?這下你明白了,駭客盜取你的臉書或其他帳號密碼,不是爲了惡作劇假扮你罷了,是因爲你把密碼設計成了萬能鑰匙。
補充說明,就算駭客闖入臉書伺服器,理論上也偷不到你的密碼,因爲密碼都經過單向加密,駭客只能偷到一串沒用的字組。假設你的密碼是alibaba,存在臉書伺服器的密碼記錄可能是lkjhgfds,這個lkjhgfds只有在你輸入alibaba時能換算出來。駭客偷到了lkjhgfds,是無法換算回alibaba的。駭客要偷你的密碼要用其他辦法,比如上述網路釣魚騙局,誤導你去假的銀行網站,騙你輸入密碼。
密碼在多個網站重複使用,這是很容易明白的漏洞,但大多數人不會無端想起,因爲沒有這樣的教育訓練。網站要求你用複雜的密碼,但很少會解釋原因,工程師以爲你懂了,他們承擔做好資安的責任,但覺得資安教育則不在職責範圍內。就算他們願意長篇大論解說,用戶對待這些解說恐怕也像對待機艙內的安全說明一樣,視而不見、聽而不聞,因爲十分無趣。
(來源:CSO/DCDP/KrulUA/Getty Images)
資安防護與存取控制
用戶重複使用密碼怎麽辦?軟體工程師再次啓動工程師腦袋,再添新一層防護,給它一個只有工程師能明白的名稱:Two-Factor Authentication(2FA,雙因素認證)。看著這樣的名字,無怪乎根據2018年的統計數字,只有一成的谷歌用戶啓動了雙因素認證,儘管此法證明非常有效,據統計曾阻絕了100%的蠻力駭客攻擊。
其實凡曾使用網上銀行服務者都對「雙因素認證」不陌生,我們只是不認識這個艱澀的詞彙,銀行也不解釋。簡單來說,它就是除了密碼外,再添加另一重認證管道,比如傳到手機的One-Time Password(OTP一次性密碼)。事關錢財,銀行逼用戶使用OTP,其他網路服務則沒有强迫,無怪乎你久不久就會看到哪個臉書朋友發文宣布帳戶被盜。如果啓用臉書的雙因素認證,這幾乎不可能發生。
臉書和谷歌都可以像銀行一樣,逼你使用雙因素認證,但他們不敢,因爲你可能嫌麻煩而改用別家平臺的認證管道(比如從谷歌登入換取用臉書登入網站),那麽他們就少收集了一些關於你網上活動的情報,廣告少賣一些。也沒誰有動力去給「雙因素認證」一個容易明白、引起關注和好奇的名稱,比如「雙重保護」、「防盜鐵甲」之類。
難懂的詞彙還有很多,比如Zoom吹牛說它設有「端對端加密」(End-to-end encryption,E2EE),這是什麽東東?WhatsApp有預設的端對端加密,你的訊息離開你手機這端時就加密了。所謂加密,就是經過數學計算把訊息變成密碼;訊息去到WhatsApp伺服器時,後臺管理員無法讀到,連中途惡意攔截你訊息的駭客也讀不到,訊息要傳到接收者那端的手機時才能解碼。Zoom的創辦人是中國人袁征,保安絕不是中國軟件開發商首要關切的事,Zoom其實沒有端對端加密,只有從你的電腦到Zoom伺服器的加密,那是非常基本的,幾乎任何網站都有,然後他們的後臺管理員要把你的視頻怎樣都行。
微信(WeChat)也沒有端對端加密,所以中共政府要審查什麽都可以。如果普羅大衆明白「端對端加密」的重要性,沒人敢再用WeChat。可是,這個名詞好拗口,如果你不知道它什麽意思,又如何能明白它重要?這又是工程師的錯,也沒有行銷人員爲這些科技包裝一下,讓它易懂些,比如叫它做「秘密通訊」(Telegram就這麽稱呼它)。
(來源:Business Insider/Visual China Group/Getty Images)
培養正確觀念降低災損
普羅大衆連對密碼保護也一知半解,很難怪大家把Zoom想像成恐怖陷阱,以訛傳訛,互傳Zoom會盜取銀行帳戶之類的假消息,因爲大多數人不明白app和手機作業系統背後是怎麽操作的。那麽Zoom究竟還能安全使用嗎?
如果你對資訊安全的認識有性知識那麽多,那麽你就能非常自信的回答以上問題。話說你在酒吧結識了某女,當晚就一起回家了。你能和對方發生性行爲嗎?可能可以,如果你有安全套,就能防止大部分性病。是所有性病嗎?不是,但够安全了。以上的你都懂,可見你的性知識比資安豐富許多。爲什麽?一來,學校有教一點點;二來,這麽切身的事情,你自己也會主動學習。
資安沒有性事那麽重要,但不能說不重要,因爲你的生活已經和資訊科技不可切割,資安和性事同樣切身。政府教育人民安全性行爲,也一樣應該教大家如何安全使用資訊科技,至少必須在校內提供一些基礎認識,以後看到那些工程師想出來的詞彙時不會無所適從立刻逃走,可以像學性知識般主動學習。我國學校有在教嗎?我離開校園已久不太確定,不過,你去看看稅務局網站有沒有使用「雙重保護」?大概也就知道政府有沒有在關注。
對於目前已經離開校園的普羅大衆,像谷歌、臉書這類掌控上億人資料、擁有巨大資源的公司,實在也肩負資安教育的責任,這同時也是爲公司利益著想,因爲每次發生資料外洩都帶來無生産性的麻煩,公司形象受損更不在話下。以谷歌(Google)爲例,它不是沒有下功夫,一直在努力解决「密碼登入」這麻煩的事情,比如不管你去什麽網站都可能用一個谷歌帳號登入。谷歌密碼服務也爲你記錄在各網站使用的不同密碼(希望你使用不同密碼吧)。這些方便都很好,但人們更需要的是資安的基本常識和技能,就像煮Maggi快熟麵那樣,這是生活,資訊科技也是生活。那麽,以後遇到資安科技尚未照顧到的疑慮時(如Zoom),能自行判斷,不至於無助地盲目相信假訊息。
資安系統有多嚴謹就有多麻煩,這是必然的。那麽究竟需要多嚴謹呢?就看它所保護的內容價值如何。你的銀行資料無疑是非常敏感的(所得稅資料也是),所以保安應該要非常嚴謹。你在Zoom裡頭開課教烹飪,好像不值得設定16字元密碼外加「雙重保護」措施麻煩你的學員吧?只要你不是用Zoom開會談國防機密,還是可用的。
 周若鵬 |
馬來西亞華裔詩人、作家,生於吉隆坡。作品散見於馬來西亞各大報章及個人部落格。現任大將出版社社長。 |
本文內容係作者個人觀點,不代表當代評論立場。
喜歡這篇文章請加入當代評論臉書專頁,給予我們支持與鼓勵!
