从Zoom争议看百姓的资安意识(之贫乏)
关于Zoom资安问题的争议叫许多有资讯科技背景的朋友啼笑皆非,一般民众犹如瞎子摸象。Zoom有问题吗?有。那么,要紧吗?
越大镬,越快乐
2019年脸书先后泄漏了大约6亿笔用户资料,包含名字和电话号码。我的电话被坏人知道了,好像伤害不大,他能传讯给我又如何?我一个人的电话对他们来说自然是没有意义的,可是,当他们掌握了6亿笔资料,就能进行“网络钓鱼诈骗”(phishing scam),只要有0.001%的人上钩就好。在马来西亚,你不是没读过有人受害的新闻。
此外,能传讯就有可能影响接收者的行为。2016年Cambridge Analytica利用不道德手段收集近9千万笔脸书用户资料,用在特朗普总统选战的政治宣传。也就是说,这样的资料泄漏,小则害人破财,大则影响国家命运。
其他大公司各类个人资料外泄事件也频频发生,最让人感受到切肤之痛的是信用卡号码被盗,我自己也是受害者,目前还有几千令吉在骗徒手上,正和银行周旋。相比之下,Zoom的问题是小儿科。
你自己唔小心遮
Zoom只是在用户介面设计上有所疏忽,没有提醒用户自动上载的视讯会议记录需要设定隐私属性。参加会议太方便,一些无聊的外人可以闯进来,一位无辜的新加坡老师和其学生中招,被色情狂骚扰。这些“毛病”,只要用户设定好密码、照顾基本保安,都不是毛病。那些更严重的资安问题却不曾引发话题,是否因为已成常态呢?
已成常态是真的,恶意的骇客全年无休,相关新闻常有;大家看得麻木了,但更大原因是一般百姓不明白也懒得明白资讯安全,因为那些科技词汇的确很难明白。再者,绝大多数资安措施都必然麻烦,因为只有麻烦才能让骇客更麻烦,大家都不喜欢麻烦的。我们有多不明白资安?且从你我最熟悉且切身的密码(password)谈起,绝大多数人自设的密码以及使用习惯都是不安全的。
你的密码,我猜不安全
你的密码里头有你的名字或谁的生日吗?为了方便记忆,我们自然会选择有意义的密码,然而这样的密码也很容易让骇客“猜”到。当然,他们不是用猜的,而是用自动化程式每串字母数字都试一试,这叫dictionary hack,是一种brute force attack蛮力攻击,真的就像用锤子敲敲敲一直到敲破你的保险箱为止。
现在重要网站都会强制要求你使用较长的密码,而且要含符号,目的就是让字典骇客花更长时间破解,不可能在有效时间内得逞。这同时也让用户觉得记忆困难,怎么办呢?于是用户只记住这一个复杂的密码,然后重复在多个不同网站使用。请问你的银行密码和你的脸书账号密码一样吗?这下你明白了,骇客盗取你的脸书或其他账号密码,不是为了恶作剧假扮你罢了,是因为你把密码设计成了万能钥匙。
补充说明,就算骇客闯入脸书伺服器,理论上也偷不到你的密码的,因为密码都经过单向加密,骇客只能偷到一串没用的字组。假设你的密码是alibaba,存在脸书伺服器里的密码记录可能是lkjhgfds,这个lkjhgfds只有在你输入alibaba时能换算出来。骇客偷到了lkjhgfds,是无法换算回alibaba的。骇客要偷你的密码要用其他办法,比如上述的网路钓鱼骗局,误导你去假的银行网站,骗你输入密码。
我猜,你的脸书密码和银行的一样
密码在多个网站重复使用,这是很容易明白的漏洞,但大多数人不会无端想起,因为没有这样的教育训练。网站要求你用复杂的密码,但很少会解释原因,工程师以为你懂了,他们承担做好资安的责任,但觉得资安教育则不在职责范围内。就算他们愿意长篇大论解说,用户对待这些解说恐怕也像对待机舱内的安全说明一样,视而不见、听而不闻,因为十分无趣。
用户重复使用密码怎么办?软体工程师再次启动工程师脑袋,再添新一层防护,给它一个只有工程师能明白的名称:two-factor authentication(双因素认证)。看着这样的名字,无怪乎根据2018年的统计数字,只有一成的谷歌用户启动了双因素认证,尽管此法证明非常有效,据统计曾阻绝了100%的蛮力骇客攻击。
其实凡曾使用网上银行服务者都对”双因素认证”不陌生,我们只是不认识这个艰涩的词汇,银行也不解释。简单来说,它就是除了密码外,再添加另一重认证管道,比如传到手机的One-Time Password(OTP一次性密码)。事关钱财,银行逼用户使用OTP,其他网路服务则没有强迫,无怪乎你久不久就会看到哪个脸书朋友发文宣布账户被盗。如果启用脸书的双因素认证,这几乎不可能发生。
资讯安全很难懂
脸书和谷歌都可以像银行一样,逼你使用双因素认证,但他们不敢,因为你可能嫌麻烦而改用别家平台的认证管道(比如从谷歌登入换取用脸书登入网站),那么他们就少收集了一些关于你网上活动的情报,广告少卖一些。也没谁有动力去给“双因素认证”一个容易明白、引起关注和好奇的名称,比如“双重保护”、“防盗铁甲”之类。
难懂的词汇还有很多,比如Zoom吹牛说它设有“端对端加密”,这是什么东东?WhatsApp有预设的端对端加密,你的讯息离开你手机这端时就加密了。所谓加密,就是经过数学计算把讯息变成密码;讯息去到WhatsApp伺服器时,后台管理员无法读到,连中途恶意拦截你讯息的骇客也读不到,讯息要传到接收者那端的手机时才能解码。Zoom的创办人是中国人袁征,保安绝不是中国软件开发商首要关切的事,Zoom其实没有端对端加密,只有从你的电脑到Zoom伺服器的加密,那是非常基本的,几乎任何网站都有,然后他们的后台管理员要把你的视频怎样都行。
WeChat也没有端对端加密,所以中共政府要审查什么都可以。如果普罗大众明白“端对端加密”的重要性,没人敢再用WeChat。可是,这个名词好拗口,如果你不知道它什么意思,又如何能明白它重要?这又是工程师的错,也没有行销人员为这些科技包装一下,让它易懂些,比如叫它做“秘密通讯”(Telegram就这么称呼它)。
资讯安全和性行为有什么关系
普罗大众连对密码保护也一知半解,很难怪大家把Zoom想象成恐怖陷阱,以讹传讹,互传Zoom会盗取银行账户之类的假消息,因为大多数人不明白app和手机作业系统背后是怎么操作的。那么Zoom究竟还能安全使用吗?
如果你对资讯安全的认识有性知识那么多,那么你就能非常自信的回答以上问题。话说你在酒吧结识了某女,当晚就一起回家了。你能和对方发生性行为吗?可能可以,如果你有安全套,就能防止大部分性病。是所有性病吗?不是,但够安全了。以上的你都懂,可见你的性知识比资安丰富许多。为什么?一来,学校有教一点点;二来,这么切身的事情,你自己也会主动学习。
资安没有性事那么重要,但不能说不重要,因为你的生活已经和资讯科技不可切割,资安和性事同样切身。政府教育人民安全性行为,也一样应该教大家如何安全使用资讯科技,至少必须在校内提供一些基础认识,以后看到那些工程师想出来的词汇时不会无所适从立刻逃走,可以像学性知识般主动学习。我国学校有在教吗?我离开校园已久不太确定,不过,你去看看税务局网站有没有使用“双重保护”?大概也就知道政府有没有在关注。
该多学一点资讯安全常识了啦
对于目前已经离开校园的普罗大众,像谷歌、脸书这类掌控亿人资料、拥有巨大资源的公司,实在也肩负资安教育的责任,这同时也是为公司利益着想,因为每次发生资料外泄都带来无生产性的麻烦,公司形象受损更不在话下。以谷歌为例,它不是没有下功夫,一直在努力解决“密码登入”这麻烦的事情,比如不管你去什么网站都可能用一个谷歌账号登入。谷歌密码服务也为你记录在各网站使用的不同密码(希望你使用用不同密码吧)。这些方便都很好,但人们更需要的是资安的基本常识和技能,就像煮Maggi面那样,这是生活,资讯科技也是生活。那么,以后大家遇到资安科技尚未照顾到的疑虑时(比如Zoom),能自行判断,不至于无助地盲目相信假消息。
资安系统有多严谨就有多麻烦,这是必然的。那么究竟需要多严谨呢?就看它所保护的内容价值如何。你的银行资料无疑是非常敏感的(所得税资料也是),所以保安应该要非常严谨。你在Zoom里头开课教烹饪,好像不值得设定16字元密码外加“双重保护”措施麻烦你的学员吧?只要你不是用Zoom开会谈国防机密,还是可用的。
2020.04刊于当代评论
(另一篇相关的:《Zoom起Zoom落,只因大多数人“无知”》)