来自 bfa88必发 2018-01-13 15:04 的文章

《新闻眼》从勒索病毒 看资讯安全

  《新闻眼》从勒索病毒 看资讯安全勒索病毒贴出告示,付款后电脑才能使用。(Getty Images)

  勒索病毒贴出告示,付款后电脑才能使用。(Getty Images)受到勒索病毒的影响,银行机无法使用。(EPA)

  受到勒索病毒的影响,银行机无法使用。(EPA)5月上旬,名叫WannaCry的勒赎病毒软体(Ransomware)横扫全球150个国家,估计30多万部电脑受害,受害电脑萤幕跳出警告,要求以比特币交付赎金,才能取回存放于电脑内的档案。美国国土安全部官员表示,部分负责美国基础设施的营运业者也在波及之列,所幸没有导致重大影响。不少平常很少更新电脑Windows作业系统的美国民众,看到新闻报导之后,深怕自己就是下一个中镖的受害者,赶紧忙着补救。

  这波勒赎病毒在世界各国肆虐的事件,凸显了一个令人感到忧心的事实,那就是许多民众虽然天天都在使用着电脑,除了电脑之外也用智慧型手机随时随地上网,但对网路安全的认识与警觉,却相当懵懂无知的。

  现代人 网路安全意识欠缺

  智库「丕优研究中心」(Pew Research Center)今年3月底公布最新研究报告便指出,在一份针对全美1055名成年网路使用者所进行的问卷调查中,共计十题有关网路安全的题目,只有1%受访者全部答对,答对九题受访者也只有3%而已,答对八题仅5%,人数最多的只答对三题、四题与五题的民众,加起来高达47%。由此可见现代人儘管生活在数位时代,对自己面临的网路安全潜在风险,并没有足够认知与概念。

  巧合的是,这份网路问卷调查当中,其中有一题便是与勒赎软体有关:「犯罪分子骇入他人电脑,将受害者的个人档案与资料锁码,导致这些资料无法取得,如果想要解码取回资料,就必须缴付赎金给这些不法分子。此类犯罪手段的名称是什么?」约39%受访者正确回答「勒赎软体」,但答错者有12%,另外高达49%则回答「不确定」,显示在当今美国社会当中,明确了解何谓勒赎软体的民众,其实远不及不知道以及搞不清楚的民众。

  值得注意的是,这项调查当中高达71%受访者答错、另有18%受访者坦承「不确定」的题目,问题为「把智慧型手机的GPS卫星定位功能关闭,是否就能完全阻断手机遭到定位追蹤?」儘管超过七成民众回答「可以」,但事实上智慧型手机除了GPS之外,还有能被追蹤的其他方式,包括透过手机讯号塔台、透过WiFi功能的无线上网等,因此只靠关闭GPS,并不能让手机完全避开遭到追蹤。智慧型手机俨然已是现代人随身携带的重要物品,但对于确切功能与潜在安全风险,具有深入理解的民众,却属于少数。

  最多受访者回答「不确定」的题目,则与无线上网的安全风险有关。「丕优研究中心」问卷提出的假设情境为:「包括机场或餐厅等公共场合的WiFi网路,如果需要输入密码才能使用,网路系统安全度较佳,是否因此可以放心用来处理网路银行(online banking)等敏感较高的事务?」高达73%受访者表示「不确定」,选择「安全无虞」这个错误答案的受访者有10%。这题的正确答案应该是「并不安全」,因为就算公共场所免费上网服务是需要输入密码的,但如果透过这种公共网路处理私密资料,还是有可能遭人截取帐户密码等重要个资,后果堪虑。

  主持这项调查的研究人员奥尔姆斯德(Kenneth Olmstead)与史密斯(Aaron Smith)指出,这项研究结果可以看出,许多美国民众对于重大网路安全问题、内容以及概念,其实都是一知半解;这种情况使得许多网路使用者误以为自己的状况是安全的,结果因此做出错误的判断选择,导致让自己曝露在严重危险当中。」

  许多基本常识 也如雾里看花

  对于许多属于「基本常识」範围的网路安全观念,某些美国民众却还是彷彿雾里看花一般。例如,URL网址「https://」与「http://」的差别,在于前者的「s」意指安全加强版,讯息以加密方式沟通,这个题目虽然有75%受访民众答对,却意味着仍有其他25%受访民众,误以为前者代表网站属于「高画质」或「浏览器版本较新」,或者根本对于「s」所指为何,完全搞不清楚。

  另外,「钓鱼式网路攻击」(phishing attacks)的作案手法有哪些,在这项调查中完全答错与坦承「不清楚」的受访者,加起来也有27%。使用「私密浏览」(private browsing)功能上网时,自己在网路上的一举一动,是不是就不会被网路公司知道?高达54%受访者坦承「不清楚」,12%受访者回答「对」,但正确答案却是就算透过「私密浏览」上网,网路公司还是可以掌握用户的所有动态。

  值得庆幸的是,美国民众对于网路身分与密码保护方面,似乎具有较完整的认知。例如,到底什么是「两阶段验证」(two-step verification),验证又需要哪些具体步骤,问卷调查当中提供一些实际的验证程序截图供指认,高达51%受访者回答正确,知道「两阶段验证」需要用户在输入帐号与密码之后,还要再输入另一个只限单次使用、效期短暂的认证码,才能登入。

  「123456」、「Boat123」、「WTh!5Z」以及「into*48」四个选项里,哪个密码的安全度是最周全的,答对的受访者占48%,但回答「不知道」的民众却也高达43%,另外有9%则是选错。调查报告指出,「WTh!5Z」是符合网路安全专家建议的密码,因为有数字、标点符号及英文字母,而且英文字母大写小写都有,更重要的是,这组密码当中并没有英文字典里所出现的任何字。

  除了增进网路安全基本知识之外,WannaCry勒赎病毒软体攻击事件,更让当今消费者学到一个宝贵教训,那就是随着科技日新月益发展,如果持续使用着老旧软体,将会面临较高的安全风险,容易成为受害目标。

  微软Windows XP作业系统的使用者,是这波WannaCry勒赎病毒软体首当其冲的受害对象,而Windows XP这套作业系统,早在2014年就已经被微软停止更新,马里兰大学(University of Maryland)法律系教授葛林柏格(Michael Greenberger)指出:「由此可见使用老旧软体所面临的高度风险。」他进一步表示,经过这次重大事件之后将会出现一个现象,那就是对于软体更新的坚持。