专访国际刑警资安顾问:拜託,别再用 Windows XP 了

专访国际刑警资安顾问:拜託,别再用 Windows XP 了

还记得这周二(1/27)Facebook、Instagram 断线一事吗?

当机的那一剎那真的是让全球的网民都「惊」了一下,网路上也出现一股「脸书恐慌潮」,随即有消息传出这可能是着名骇客组织「蜥蜴部队」(Lizard Squad)所为。

儘管随后脸书出面澄清表示: 当机是他们自己造成的,与第三方无关 。但显然这一次的事件也提醒了我们网路世界中「骇客」可以如何深远的影响我们的生活。

更不用说之前北韩为了《刺杀金正恩(又名:名嘴出任务)》骇入 Sony 的事件 ,更是让人发现原来这样一个庞大、资产丰富的企业在网路攻击面前如此不堪一击。

这些案例都在在凸显出现阶段我们对于「资安」的无视、无知,以及不顾「资安」的恐怖后果。说到底,一般大众还有企业享受着网路的日渐发达,却对于网路可能的反噬、资安的重要懵懵懂懂。

当我们愈联网,才愈知道我们对「资安」的无知与怠慢

上个月,欧洲知名的防毒软体企业「芬安全」首席资安研究长,同时也是国际刑警资安顾问的 Mikko Hyppönen 来台访问,我们做了一个简短的访问,与他聊了聊资安科技的趋势。

关于 Mikko,大家比较熟悉的可能是去年时,他曾协助揭发 小米将用户资讯回传中国主机一事 ,当时他曾说:「小米原本在做的事显然是不对的:他们在搜集你的通讯录资料,而且没有获得你同意就将资料回传给他们自己。」他说:「更糟的是,这还是在未加密情况下传送。」

专访国际刑警资安顾问:拜託,别再用 Windows XP 了

以下就来看当天我们交流的几个重点:

● 很多亚洲人/企业太不 care 资安,软体应该升级了还死不换

在亚洲还是有许多个人、企业、政府的系统都还是用传统的 Windows XP,Mikko 表示他看到太多亚洲人不单是台湾都不爱升级系统(突然想到上次去 ATM 领钱,那个系统画面貌似还是 XP 的啊 … …)。

以资安的角度来看,这其实是很糟糕的;因为一来就系统常有许多漏洞,容易被攻击,二来系统落后也代表服务商(例如微软)他们不再提供维护。

这情况和欧美的状况就差距甚多,绝大多数的欧美人民与企业还是较乐意升级系统。至于为什幺会有这样的观念差异,主要可能是因为在欧美多数人的认知是「新的」系统「问题比较少」,也就是安全性更高、更保险;所以他们愿意更换。

● 资安缺失不应该怪罪使用者,企业应该要一肩担起

在这一点上,Mikko 还特别提出一点就是有很多厂商都认为安全议题上的疏失是「蠢笨使用者」的错,他觉得这很不合理,因为使用者不了解、没有训练与教育是正常的。很可能是大多数的人不知道不升级、继续使用 XP 会有问题(顶多就是跑很慢)。

所以他特别提出,以企业的角度不应该期待每个人都知道怎幺用、用得安全。这是企业需要去负责的。这也是他一直提倡的概念,资安就是要在企业端做好设计、做好安全措施,使用者是定然会犯错的;所以只有当企业肩负这样的责任,资安的防範才能提升、风险才能下降。

● 在使用 Google、Dropbox 等服务时,谨记你的一切其实都可以被美国政府看到

在资安的议题上,亚洲人对于资安的敏感度也的确较低。

简单来说,现在全世界的资讯很倾颓,大多数的服务,像是云端、email 等等「民生服务」都来自美国企业,这样的状况就造成几乎全世界的资讯都掌握在「美国手里」;而对于美国政府的立场来说,他认为「可以监控一切美国企业的资讯」,这样就演变为美国政府他监控了许多非美国国民的个人隐私,而这也就是当初 Snowden 会被美国政府追杀的原因,也是为什幺他告诉我们「别再用 Google、Dropbox」,他们真的是毫无保密可言。

所以问题变成「我们不是美国人,你美国政府凭什幺可以监控我们的资料?」这是在欧洲很普遍的认知,因为这对隐私权来说是很大的侵犯;可是相对这样的观念在亚洲就比较薄弱。

不过 Mikko 也说了,要让大家不用也是天方夜谭,现在整个市场的结构与实情就是多数人还是会用,只是我们应该还是要在内心有这个认知与提醒。

● 想要不让市民担心政府开放的资安问题,唯一的建议就是「透明化」程序

Mikko 唯一的建议就是推动程序「透明」,没有秘密,以此赢得市民的信任,透明的给大家看程序是怎幺运作、怎幺建立的。而这其实就是「开放政府」的观念:开放、分享。

当你的程序透明时,一大家比较不会有疑虑,有问题大家就可以公开讲;那很多的原始码部分的模组,大家可以一起去沟通讨论,一起去进化它,这样一来成本相对的还比你发包出去低。

透明化的好处就在于至少你有一个公开的立场,甚至说在做安全的一个部分,你可以有一个透明的机制跟他提出我是怎幺样保护你的隐私。而且重点是现在很多机制透明的未必有危险,如果你又时常开放、让大家定期讨论,这样建立起的体系也比较经得起考验

● 资安状况越来越严峻,但人才却相对稀缺

Mikko 肯定地表示他们强烈的相信教育、教育下一代的重要性;他说不管是芬兰、台湾还是全世界都需要更多的人才,让更多人了解资安产业。特别是现在资安的议题相较以前更为严峻,网路上的攻击也越来越多,所以提升这一块人才的培养很重要。

随着网路的发展,现在线上的攻击频率、複杂性、组合越来越多,整个业界事需要更多的专业人士。所以培养年轻人变得格外重要。

● 物联网正夯、资安状况更恶劣,企业也需要觉醒

很多製造商都需要被再教育。Mikko 解说在现阶段其实大家还是知道「资安」的重要性,但是因为他不是最重要的,所以很多品牌商会为了成本去掉「安全」这一块,因为对他们来说他已经提供了主要的服务(功能),对于他们来说安全就不是一个立即性的考量之一。

● 怕被对岸偷资料?其实你只要扪心自问「天下有白吃的午餐吗?」

很多人爱使用中国的免费软体,却又害怕被偷窃个资;或是更多人就只看到「免费」,却忘了免费背后的真相。Mikko 说这是很简单的问题,「天下没有免费的午餐,你问你自己你有什幺是他们要的。」答案显而易见。

● 以下可以听听 Mikko 在《TED》的精彩演讲:

随着云端、大数据、物联网一个个被我们讲烂了,网路也早已是我们生活中不可或缺的一部份,但是对于网路多数的我们至今仍是予取予求,却忘了这背后可能有多大的安全问题。

现在已经是网路时代了,全网路的日子也不远了,对于资安、对于自身安全的保护,我们都该好好思考了。

延伸阅读

世界骇客攻击即视图:中国最爱骇人、美国是全球公敌

前 CIA 雇员 Snowden 叫我们别再用 Google、Dropbox 了,真的就是那幺容易洩密!

从食安到政治,台湾缺乏的就是资讯透明的 guts