還記得這周二(1/27)Facebook、Instagram 斷線一事嗎?
當機的那一剎那真的是讓全球的網民都「驚」了一下,網路上也出現一股「臉書恐慌潮」,隨即有消息傳出這可能是著名駭客組織「蜥蜴部隊」(Lizard Squad)所為。
儘管隨後臉書出面澄清表示:當機是他們自己造成的,與第三方無關。但顯然這一次的事件也提醒了我們網路世界中「駭客」可以如何深遠的影響我們的生活。
更不用說之前北韓為了《刺殺金正恩(又名:名嘴出任務)》駭入 Sony 的事件,更是讓人發現原來這樣一個龐大、資產豐富的企業在網路攻擊面前如此不堪一擊。
這些案例都在在凸顯出現階段我們對於「資安」的無視、無知,以及不顧「資安」的恐怖後果。說到底,一般大眾還有企業享受著網路的日漸發達,卻對於網路可能的反噬、資安的重要懵懵懂懂。
- 當我們愈聯網,才愈知道我們對「資安」的無知與怠慢
上個月,歐洲知名的防毒軟體企業「芬安全」首席資安研究長,同時也是國際刑警資安顧問的 Mikko Hyppönen 來台訪問,我們做了一個簡短的訪問,與他聊了聊資安科技的趨勢。
關於 Mikko,大家比較熟悉的可能是去年時,他曾協助揭發小米將用戶資訊回傳中國主機一事,當時他曾說:「小米原本在做的事顯然是不對的:他們在搜集你的通訊錄資料,而且沒有獲得你同意就將資料回傳給他們自己。」他說:「更糟的是,這還是在未加密情況下傳送。」
Mikko Hyppönen 小檔案:
○ 1991 年因為同事寄送了一個病毒樣本給他,原本擔任程式設計師的他決定轉職程病毒獵人
○ 2003 年成功關閉當時引發全世界病毒恐慌的 Sobig_f worm 病毒,網路知名度持續提高
○ 2004 首位向全球提出「殺手病毒」警告
○ 2007 年獲《PC World》雜誌評選為全球 50 大重要人物
○ 2010 年榮獲十年一度 Virus Bulletin 最佳資安教育大獎
○ 2011 年與歐巴馬並列為全球百大教育思想家
○ 多次受邀 TED 演講,傳布與建立資安的重要性
○ 為國際刑警資安顧問,持續協助美國、歐洲、亞洲法務部門處理數位犯罪
以下就來看當天我們交流的幾個重點:
● 很多亞洲人/企業太不 care 資安,軟體應該升級了還死不換
在亞洲還是有許多個人、企業、政府的系統都還是用傳統的 Windows XP,Mikko 表示他看到太多亞洲人不單是台灣都不愛升級系統(突然想到上次去 ATM 領錢,那個系統畫面貌似還是 XP 的啊 … … )。
以資安的角度來看,這其實是很糟糕的;因為一來就系統常有許多漏洞,容易被攻擊,二來系統落後也代表服務商(例如微軟)他們不再提供維護。
這情況和歐美的狀況就差距甚多,絕大多數的歐美人民與企業還是較樂意升級系統。至於為什麼會有這樣的觀念差異,主要可能是因為在歐美多數人的認知是「新的」系統「問題比較少」,也就是安全性更高、更保險;所以他們願意更換。
● 資安缺失不應該怪罪使用者,企業應該要一肩擔起
在這一點上,Mikko 還特別提出一點就是有很多廠商都認為安全議題上的疏失是「蠢笨使用者」的錯,他覺得這很不合理,因為使用者不了解、沒有訓練與教育是正常的。很可能是大多數的人不知道不升級、繼續使用 XP 會有問題(頂多就是跑很慢)。
所以他特別提出,以企業的角度不應該期待每個人都知道怎麼用、用得安全。這是企業需要去負責的。這也是他一直提倡的概念,資安就是要在企業端做好設計、做好安全措施,使用者是定然會犯錯的;所以只有當企業肩負這樣的責任,資安的防範才能提升、風險才能下降。
● 在使用 Google、Dropbox 等服務時,謹記你的一切其實都可以被美國政府看到
在資安的議題上,亞洲人對於資安的敏感度也的確較低。
簡單來說,現在全世界的資訊很傾頹,大多數的服務,像是雲端、email 等等「民生服務」都來自美國企業,這樣的狀況就造成幾乎全世界的資訊都掌握在「美國手裡」;而對於美國政府的立場來說,他認為「可以監控一切美國企業的資訊」,這樣就演變為美國政府他監控了許多非美國國民的個人隱私,而這也就是當初 Snowden 會被美國政府追殺的原因,也是為什麼他告訴我們「別再用 Google、Dropbox」,他們真的是毫無保密可言。
所以問題變成「我們不是美國人,你美國政府憑什麼可以監控我們的資料?」這是在歐洲很普遍的認知,因為這對隱私權來說是很大的侵犯;可是相對這樣的觀念在亞洲就比較薄弱。
不過 Mikko 也說了,要讓大家不用也是天方夜譚,現在整個市場的結構與實情就是多數人還是會用,只是我們應該還是要在內心有這個認知與提醒。
● 想要不讓市民擔心政府開放的資安問題,唯一的建議就是「透明化」程序
Mikko 唯一的建議就是推動程序「透明」,沒有秘密,以此贏得市民的信任,透明的給大家看程序是怎麼運作、怎麼建立的。而這其實就是「開放政府」的觀念:開放、分享。
當你的程序透明時,一大家比較不會有疑慮,有問題大家就可以公開講;那很多的原始碼部分的模組,大家可以一起去溝通討論,一起去進化它,這樣一來成本相對的還比你發包出去低。
透明化的好處就在於至少你有一個公開的立場,甚至說在做安全的一個部分,你可以有一個透明的機制跟他提出我是怎麼樣保護你的隱私。而且重點是現在很多機制透明的未必有危險,如果你又時常開放、讓大家定期討論,這樣建立起的體系也比較經得起考驗
● 資安狀況越來越嚴峻,但人才卻相對稀缺
Mikko 肯定地表示他們強烈的相信教育、教育下一代的重要性;他說不管是芬蘭、台灣還是全世界都需要更多的人才,讓更多人了解資安產業。特別是現在資安的議題相較以前更為嚴峻,網路上的攻擊也越來越多,所以提升這一塊人才的培養很重要。
隨著網路的發展,現在線上的攻擊頻率、複雜性、組合越來越多,整個業界事需要更多的專業人士。所以培養年輕人變得格外重要。
● 物聯網正夯、資安狀況更惡劣,企業也需要覺醒
很多製造商都需要被再教育。Mikko 解說在現階段其實大家還是知道「資安」的重要性,但是因為他不是最重要的,所以很多品牌商會為了成本去掉「安全」這一塊,因為對他們來說他已經提供了主要的服務(功能),對於他們來說安全就不是一個立即性的考量之一。
「現在越來越多東西被冠上『智能』二字,但對我來說不管是什麼,他就是代表了可能被入侵、資安的問題。」
● 怕被對岸偷資料?其實你只要捫心自問「天下有白吃的午餐嗎?」
很多人愛使用中國的免費軟體,卻又害怕被偷竊個資;或是更多人就只看到「免費」,卻忘了免費背後的真相。Mikko 說這是很簡單的問題,「天下沒有免費的午餐,你問你自己你有什麼是他們要的。」答案顯而易見。
Mikko 舉例,像 Google 就已經搜集用戶資訊超過 15 年的時間了,「這是很恐怖的,所以免費是什麼?」
隨著雲端、大數據、物聯網一個個被我們講爛了,網路也早已是我們生活中不可或缺的一部份,但是對於網路多數的我們至今仍是予取予求,卻忘了這背後可能有多大的安全問題。
現在已經是網路時代了,全網路的日子也不遠了,對於資安、對於自身安全的保護,我們都該好好思考了。