專家的安全世界

20150822A 20150822B

每個人都有屬於自己的世界觀,每個人也相信自己的世界觀,只有少部份人懂得對自己的世界觀和價值觀,抱持開放態度。日常生活如是,網上生活也是如此。

C上巴士時罵後面的人,幹嗎逼迫自己快點上車,為什麼不可以給自己生活節奏來得慢一點;看到上層滿座,急著到下層找座位時,卻又嫌棄他人「慢吞吞」的,為什麼不「落快一點」,「阻住晒」;世界彷彿圍著他而轉,對與錯的認知也是如此。

Facebook與Whatsapp上,差不多每天收到一些朋友分享而來,似是而非的訊息和網頁資訊。前陣子便在Facebook上看過一則朋友間瘋傳的「醫學」文章,說原來只要切一片洋䓤,放進襪子裡,穿著睡一晚,就什麼感冒發燒都可被清除。朋友D回應得好:「功效是否如此神奇就不知道,不過夜半起床一站到地上,便會立即滑倒吧?」

不知為何,大部份的人看到這種似是而非的文章,都不會先找醫生求証。就如「千年蟲」問題一樣,對手機和電腦保安有關的網上材料,鮮有看完文章後會找專家求証。

一般人對手機和電腦保安的認知,跟真正的電腦保安專家們,究竟落差有多大?看看最近外國十分流行的一篇文章「九個電腦保安專家想你知道的真相」(9 Facts About Computer Security That Experts Wish You Knew),便可略知一二。

文章首先指出,如果手機和電腦用家們,都會設定「強密碼」(Strong Password,複雜、由只有自己知道的資訊、字典找不到的字和數字組合而成)和「兩步驗證碼」(2-step Authentications),絕大部份的保安問題都已經迎刃而解。

大家需要明白到,我們面對的保安問題,主要有三種:攻擊、偷竊和奪取控制權。攻擊的目的很簡單,就是要把手機或電腦癱瘓,使之不能被使用,例如電腦病毒的目的便是如此;偷竊就是為了把「有價值」的資料盜走,方法眾多,可以透過USB手指、植入木馬、「偷聽」從你的手機或電腦,在互聯網上傳輸數據時,把數據抄走(Man-in-the-middle Attack)等;奪取控制權就是透過某些方法,成功遙控你手機或電腦的所有功能,變成你手機或電腦的「管理員」,控制一切。方法主要有兩種,一是植入木馬來控制(例如透過釣魚電郵)、二是偷取你的手機或電腦管理員帳戶和密碼(例如Jailbreak你的手機也是同一道理),便能以管理員身份登入,然後為所欲為。

對手機或電腦用家的攻擊,現在已經少之又少,反而對網站的攻擊,或為政治、或為商業對手,無論在攻擊範圍、次數與規模,每年都以幾何級數上升。單是香港大學以手機apps做特首選舉民調,瞬間系統已被「炸平」,已可見一斑。現在令一般手機和電腦用家最頭痛的,是偷竊和被控制,因為這樣偷竊者才能得到最大的利益:現今的黑客們都學精了,無聊的黑客變得極少,為利益而幹的,變成了大多數。

第二和第三個專家們提出的保安概念,有著連帶關係。新手機和電腦不代表就安全、以及縱使寫得最好的軟件和apps,仍然會有程式漏洞的存在。

跟一般大眾的認知不同,程式漏洞其實無處不在。就如Ocean’s Eleven一樣,世上並無最好的保安設計,縱使千慮也必有一失,問題是一失會否被人找到出來。其實所有保安設計,都為應付已知的入侵情況而設,然而不同的人有不同的創意和想法,不斷的找到從未見過的方法,從而繞過保安系統,是經常出現的事,保安專家們叫這種從未出現過的新破解方法為“Zero-day Attack”。保安設計其實也是一場永遠不會完的戰爭,每當有Zero-day Attack的出現,便要對其進行研究,並找出修補方法,修改好了便發放給用家,這便是為什麼用家們要不斷更新「保安補丁」(Security Patches)和系統更新(System Updates)的原因。

智能手機和電腦的世界,看似非常危險,其實想深一層,跟現實生活也非常相似:我們家的保安設計,例如窗和門鎖等,其實只是為應付一般的盜賊而已。如果專業的國際級盜賊、甚至國家級的專業間諜人員,想要到你家一遊,基本上家中的任何保安措施,也完全無用。智能手機和電腦比較好,只要做足更新、設定「強密碼」和「兩步認証」,縱然是專業盜賊也無能為力。放下自己的「以為」,事事向真正的專家求証,隨意看些似是而非的文章,就以為自己掌握一切,除了心理上好過一點,還不只是自欺欺人嗎?

Send to Kindle
分享文章: Facebooktwittergoogle_pluspinterestlinkedinmailby feather


Leave a Reply

Your email address will not be published. Required fields are marked *

Protected by WP Anti Spam