 放大圖片
■維基百科把資源分享技術平民化。
文、攝:呂瑋宗
近年,市民除可在地鐵站、咖啡店上網外,政府更把「WiFi通」(Gov WiFi)擴展至多個圖書館、公園,甚至沙灘,大家工作和生活都普及使用互聯網,以往尖端的資源分享技術變得普及和平民化。但水能載舟亦能覆舟,自今年四月起,政府及公營機構爆出連串機密文件外洩事件,重要檔案經Foxy互聯網分享資源軟件,及可攜式USB儲存器外洩,引起巨大迴響。
專家稱呼現今為Web2.0時代,即社會強調資訊分享和互動,為人類帶來無窮方便,但對電腦資訊保安和私隱保護來說,卻帶來史無前例的挑戰。網絡保安專家Dale Johnstone早前在香港理工大學的「Web2.0--了解網上保安及私隱」講座中表示,進入Web 2.0時代後,互聯網資源分享技術成為新興力量,把本來不相干的人聯繫起來,加強大家的合作,促進技術交流,但同時產生史無前例的保安及私隱問題。「今日我們面對的挑戰,20年前根本難以想像。」
效率和安全的吊詭
Dale Johnstone指出,維基百科(Wikipedia)、Foxy、Facebook等出現,把本來複雜的資源分享技術簡單化、平民化,現在只需一台普通電腦,不需經過特別訓練便能在網上發放及分享文章、圖片、影片和檔案。從前要編寫網頁,必須學習HTML及Dreamwaver等電腦語言,透過互聯網傳送大量檔案根本是天方夜譚,但現在只需在網頁按幾個按鈕便可以了。
生產商爭相提供這些既簡單又免費的服務,開發成本不高利潤厚,但政府和企業卻需以巨大額外資源和先進技術,去防止有人使用這些技術外洩公司資料。這些科技無疑提升員工的生產力,但公司一方面要同時兼顧保安問題,卻往往得不償失。
「近年技術進步已接近失控程度,軟件不斷更新及轉換,令保安技術難以追上。」
企業內外受襲
Dale Johnstone表示,企業資料外洩可分為內在及外在因素:內在方面,有員工可能因貪心或不小心而洩出機密,人事調動後未妥善處理資料,令員工看到不應該看的檔案。外在方面,駭客利用入侵軟件跨過保安系統進入公司電腦,或注入病毒衝破防線,引致大量機密資料外洩或造成破壞。
「當還未有萬無一失的保安設備時,唯一可以做的便是改善保安程序和員工態度,盡量把風險減低。」
程序上,公司須有嚴緊的保安政策,把文件檔案分為不同的保安級數,予不同員工不同級數的權限,機密文件必須驗證批准才可開啟。此外,文件輸送時必須加密,絕不能貪方便,文件傳送流程要歸檔紀錄。監控工作必須是全天候進行,並非作個別檢查,電腦部要掌握全公司的訊息運作,並隨時作出支援。
「一般小型公司會中央處理所有檔案,但擴充業務後便會把它們分流,故辦公室在裝修時,亦要預留空間裝置額外電腦保安系統。」
「一般人不知道誰可以聯絡,或經甚麼途徑搜尋到自己,他們一接到電郵和電話便立即回覆,這正反映防衛意識不高。」大部分保安事故都是有意無意地由員工導致,電郵、電話、傳真以及辦公桌上的大量文件檔案,這些往往就是保安盲點所在。「客戶一些請求看似無傷大雅,但於科技高速發展時代,人為錯失便成為整個系統中的大漏洞。」
Dale Johnstone稱,員工的信用度是整個系統的最後防線,故此必須教育他們保安系統的運作,清楚知道自己可分享甚麼檔案,並懂得保密來往文件。「此外,要告訴他們只能連繫友好團體,並不要分享所有東西,要小心陌生人和網站,不要隨便接受陌生人要求。」
防人之心不可無
在Web 2.0時代,講求人類和技術互動,創造出疑幻疑真、科幻電影般的世界。「究竟你是誰?誰是你的真正身份?」人類在網絡世界缺乏安全感,大部分用家盡量避免透露真實姓名,但同時卻不知不覺外洩了許多私隱。你以為在Facebook不透露真名就是安全,但你卻在blog內使用真名(雖然內裡沒有你的近照),由於大家把彼此的Facebook和blog連結起來,當壞人有心搜集你的資料,把資料梳理好總能推算出你是誰。
「現在的年輕人常玩MSN、Foxy和Facebook,在網上不自覺地披露私人資料,毫無防範之心。」他們在網上每個角落所披露的資料都很零散,每個網絡軟件又使用不同的網名和密碼,許多時連自己也忘記。
「如果在網上不與別人溝通,其實是沒有危險的,但可惜人類已進入Web 2.0時代,這股互動力量的氛圍令你不得不打開你的電腦大門。」Dale Johnstone認為,年輕人在Web 2.0時代中成長,自小養成這些不良習慣,當踏出社會工作後便會把這些態度帶到社會。
給青少年的提示
P2P、Foxy、WinMX等分享軟件,一般並無防火牆等保安設定,網民可隨意搜索你電腦內所有檔案。個人資料可以集中放置在同一個資料夾,用加密程式保護,並通知與你共用該台電腦的同事。共享設定方面,不要分享C:硬磁碟,並在共享資料夾移走所有私隱檔案,在有需要時才啟動Foxy,平時應該關閉。
不要隨意下載一些密碼破解的執行(.exe)檔案,這些可能是駭客惡意散布的,而經Foxy下載的檔案亦必須經掃毒後才執行。如要安裝資源分享程式,務必到官方網頁下載,不能隨意在其它網頁下載,因為當中可能被混入病毒或木馬程式。而最安全的做法,就是不下載及安裝任何分享軟件。
處處危機浪接浪
2008台北電腦展剛剛閉幕,展覽中有多款最新手機、Palm、iPhone等流動上網裝置。有人說,這是Web 3.0的第一波趨勢,即資源分享將會由政府及企業,擴展到個人層面,並會隨時隨地進行。
「大部分人談保安,往往只是在硬件和軟件上打轉,但一味與科技賽跑不是辦法,最重要是提高員工的警覺性」。Dale Johnstone指,人腦不同電腦,並無修補程式或版本升級的捷徑,在資源有限、工作繁重的環境,他們的警覺性便會降低。社交工程學(Social Engineering) 是今天保安範疇中最為人忽略的一環,若將來資訊進入高度流動性年代,保安工作會面對更大挑戰,資訊保安教育可能要推前至幼稚園階段開始進行。
|
放大圖片
