做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

ADVERTISEMENT

我們經常聽到資安方面的相關報導,如作業系統的安全漏洞、電腦病毒肆虐,或是駭客竊取企業機密等等。雜亂的資安消息聽得大家一頭霧水,甚至造成似是而非的刻板印象。本文會列出9種資安議題的事實真相,解釋幕後的理論與動機,讓你對資安議題有更完整的概念。

新裝置不代表安全

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲購買新裝置卻發現內建廣告軟體。

你正打算了一篇新裝置的開箱文,聞著新產品的塑膠香氣,享受購入新產品的愉悅感。但是要注意,新裝置並不代表絕對安全,他們可能在出廠的同時就被病毒或蠕蟲感染。

國際現代媒體研究所(IMMI)的科技總監,愛蓮娜.賽達(Eleanor Saitta)經常建議政府與民間組織重視電腦安全議題。她認為許多人在資安議題上的最大迷思,就是認為裝置剛開始絕對安全,用久了以後才會變得不安全,這個觀念其實是錯誤的。

舉例來說,聯想電腦(Lenovo)曾經替剛出廠的筆電偷偷安裝Superfish。Superfish是一個惡名昭彰的廣告軟體,會綁架用戶的瀏覽器。更糟的是Superfish有安全性漏洞,能夠冒充合法網站的SSL憑證,駭客便可藉此入侵用戶裝置,危險至極。

有鑑於此,以後拿到新裝置時,建議先進行掃毒或清除蠕蟲,然後安裝防護軟體或即時監控程式,確保裝置的安全性。

強健的密碼能夠防止絕大部分的攻擊

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲強健的密碼是最好的保護傘。

艾力士.史坦摩(Alex Stamos)任職於雅虎的資安部門,工作是尋找資安漏洞,揣測攻擊者會怎麼解除軟體的安全防護。他看過神乎其技的駭客技巧,也目睹過最單純的網路騙術。史坦摩指出,要獲得足夠的安全防護只需兩個動作:強健的密碼,以及第二驗證(two-factor authentication)。

「最大問題在於媒體。他們喜歡報導大規模與高複雜度的駭客行動,給一般用戶無力自保,只能乖乖舉雙手投降的錯誤觀感。」史坦摩說,「只有極少數人有能力抵擋那些能夠改寫裝置韌體的高階網路攻擊,卻不該因此而阻止一般用戶盡己所能,建構足夠的防護來抵擋惡意攻擊。」

史坦摩建議用戶安裝密碼管理程式(Password Manager,幫助用戶儲存與管理密碼的小程式),在每個裝置使用不同的強健密碼。同時啟動第二驗證機制,防止駭客一口氣將你的所有帳號全數駭光光。

亞當.歐德諾(Adam J. O'Donnell)是Cisco進階蠕蟲防護團隊的主要工程師。他也認同史坦摩的建言,還建議用戶小心備份密碼檔案,並找機會測試密碼是否有用,不同網站必須使用不同的密碼。

最好的軟體也有安全性漏洞

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲連PSN也被駭客攻陷了。

我們經常以為有名的軟體或網域就很安全,實際上卻不是這麼一回事。PSN的駭客事件就是一例,就算是國際大廠Sony也無法阻止駭客竊取個資。現代科技都這麼發達了,為什麼廠商無法將軟體或網路弄得滴水不漏呢?

Google Chrome安全團隊的工程師,帕里莎.泰伯(Parisa Tabriz)表示,資訊安全比較像是一種藥品,結合藝術與科技,具有不確定性,無法與車輛安全之類的傳統科學相提並論。

蘭德公司(RAND Corporation,美國的一所智庫公司)的資訊安全研究員,莉莉安.艾伯倫(Lillian Ablon)表示,世界上沒有完美的資安系統。防禦者必須提升攻擊的難度與成本,才能讓駭客知難而退。

HTTPS應該更加普遍

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲HTTPS能夠保護用戶隱私。

提到HTTPS,你可能會想到高度安全性、很慢、看不出效果,上述這些描述就是普世對HTTPS的錯誤迷思。電子前線基金會(EFF)的科技專家,彼得.艾克希(Peter Eckersley)研究HTTPS許多年,致力於基金會的HTTPS開發專案,對HTTPS受到普遍誤解感慨不已。

「世人誤解了HTTPS的潛力與應用。多數網站與應用軟體認為自己沒有負責金融卡交易,就不需使用HTTPS,事實並非如此。每個網路上的網站都需要HTTPS,才能有效抵擋駭客、資料竊取、政府的網路監控,保護用戶的隱私不受到侵害。」艾克希這麼表示。

黑暗網路不等於深層網路

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲絲路是知名的黑暗網路。

黑暗網路(Darknet)為私人社群網站,僅供信任的用戶使用,如絲路(Silk Road)。

深層網路(Deepweb)泛指無法在一般搜尋器找到的網站,如Tor與I2P。

兩者是完全不同的東西,卻有許多人將他們混為一談。

軟體更新有助於安全性

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲更新軟體讓駭客遠離。

我們使用軟體經常會看見更新提示,可是大規模程式的更新速度很慢,甚至要求重新開機。部分用戶索性自動忽略更新提示,或是將偵測更新的功能關閉。小心,忽略軟體更新可能大幅增加你的資安風險。

Cisco的歐德諾指出,軟體更新除了提升穩定度,也有防堵安全漏洞的作用,避免駭客將魔爪伸入你的裝置,直接與外界接觸的軟體(如Java與瀏覽器)更該第一時間就更新。

軟體更新雖然很囉唆,但是跟駭客入侵的災情相比,只能算是小菜一碟。下次看到更新提示還是乖乖更新吧。

雲端並非絕對安全

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲雲端檔案是駭客的好目標。

雲端是最近的當紅話題。你在雲端接收電子郵件,整理照片,連你的就醫紀錄與銀行資金流動紀錄也存在雲端。然而就算雲端仍有安全疑慮,惡意的駭客更將雲端資料視為肥羊。

大型雲端企業的工程師,萊絲.哈尼沃(Leigh Honeywell)表示,雲端如同一間具備保全設施的住宅,雖然安全卻不是無懈可擊,駭客也不會因為雲端而放棄攻擊。所以必須十分留意存放資料的地點,利用密碼與加密來交叉保護雲端檔案,才能降低受害的風險。

電子攻擊非常罕見

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲看門狗內的電子攻擊目前不太可能實現。

一般用戶害怕駭客竊取帳號,甚至擔心電子攻擊(cyberattack)會危害我們的安全。艾伯倫認為這種事態幾乎不可能發生,駭客理論上的確可以駭入車輛,或是醫院的藍芽醫療設施。但是駭客必須在近距離才能存取裝置,還需要強大的程式,就投資報酬率來看並不切實際。

另一種類似的玩意叫做電子恐怖主義(cyberterrorism),這個只是科幻小說的產物,至少目前並沒有存在的跡象。

駭客不等於犯罪者

做好資訊安全沒那麼難,9 個現代人應該知道的資安真相

▲好的駭客能夠促進資訊安全。

在媒體多年的汙名化後,許多人已將駭客與犯罪畫上等號,將駭客視為竊取數位資料的惡棍。然而駭客並非全是惡人,好心的駭客能夠幫助企業修正安全性漏洞。更正確地說,駭客是幫助資安升級的重要關鍵。

「並非所有駭客都是犯罪者。」Google的泰伯表示,「他們懂得如何破壞東西,卻不代表他們會利用這個能力傷害別人。事實上,許多駭客是幫助企業提升資安的功臣。光憑軟體或防毒程式並無法保護用戶安全,所以我們Google需要像駭客這類的資安專家,才能有效防堵其他駭客或惡意軟體的攻擊。」

vermilion
作者

雖然人們對我嗤之以鼻,但當我望著箱中錢財時,內心仍暗自竊喜 -古羅馬名諺

使用 Facebook 留言
幽理之刻
1.  幽理之刻 (發表於 2015年5月18日 11:56)
有些說得太果斷了,反而容易造成誤解
比如https雖然過去有爆發許多大漏洞,但是一般來說還是比較安全
軟體更新,真的不要在第一時間更新,尤其是越底層、越重要的,可以稍微等個兩天看看,比如之前win的更新、ios的更新都有出過包
發表回應
謹慎發言,尊重彼此。按此展開留言規則