黑客入侵不勝防 (賴灼東)

原文刊於信報財經新聞專欄「StartupBeat創科鬥室」

最近相繼發生電腦保安災難，除了免費軟件CCleaner被黑客入侵，上月初Equifax亦爆出史上最大宗資料外洩事故，令全球用戶招致不同程度的損失。《信報》StartupBeat 請來電腦保安研究員賴灼東（Anthony），探討黑客出招的手法，還有智能手機的保安問題。

主持：尹思哲 《信報》科技編輯

嘉賓：賴灼東 電腦保安研究員

尹：免費軟件CCleaner有助優化電腦系統，吸引不少人使用。但今次惹來黑客入侵，可否解釋箇中原因？

賴：當用戶下載這類軟件時，通常連線至數個鏡像伺服器（Mirror Server）。若有伺服器被入侵，把原有檔案偷龍轉鳳，改成其他問題軟件，過程根本無人知，事關沒人認為官網不可信。其實這些共享軟件經常有不少「破解版」出現，使用時要相當小心，因可能已被「加料」植入大量後門，令系統保安不設防。

尹：CCleaner近期才被Avast收購，既然是著名防毒軟件公司，難道它都不可靠嗎？

賴：防毒軟件公司擅長對付電腦病毒，但不代表其伺服器強勁，別以為任何範疇都能做得出色。用戶下載軟件時要用Hash（雜湊函數）確認該檔有否被改動，若一切正常的話，下載前後的Hash應該是跟官方提供的一樣。

今次CCleaner中招，連病徵也沒有，或因病毒只打開了一個Port（通訊埠），被其他人連接入來。即使感覺到也可能只覺得電腦慢了一點，或突然彈幾個視窗出來，畫面閃一閃而已。

潛伏期長達數月

尹：上月初Equifax系統亦被黑客攻陷，導致1.43億美國消費者資料被盜，包括名字、地址及車牌等，這兩宗事故有何差別？

賴：CCleaner是其下載伺服器被入侵，換走原本的官方軟件；Equifax是其資料伺服器被黑客以無線網絡、系統漏洞或釣魚郵件等方法攻擊，攻破防線後再把後門傳回入侵者，然後暗中控制系統，企業卻毫不知情。

由於黑客要掃描整個網絡，竊取電腦之間的交流，才能找到機密資料的源頭。這過程不可能用一日半日完成，可能需要十幾日，甚至幾個月不等，當中涉及密碼、名稱、電郵書信、常用系統等資料，先分析再取其所需。

尹：Equifax這麼大型的企業，公司一定有IT保安部門、防火牆及防毒軟件，為何都無法發揮作用？

賴：不是沒作用，只是作用有限。大家上網時，若使用Port 443連接埠，由於數據已經加密，網頁瀏覽器的網址旁邊出現一個「小鎖頭」﹔如果改用Port 80，就沒有鎖頭。當黑客入侵後，溝通用上加密渠道，即使做了壞事，亦根本監察不到。

除非有人觀察到公司網絡有一段固定的時間將資料傳至外面某個IP位址，否則一直不檢查的話，便難以發現系統已遭入侵。

「外硬內軟」功效打折

尹：黑客不動聲色，感覺很難防範，有方法應對嗎？

賴：現時大家都依賴電腦的防毒軟件，這只是End Point Security（終端保安）。其實一間公司除了在用戶端着手之外，無論在電郵伺服器、入侵防禦系統，都可偵測有沒有惡意附件或程式。

有些公司的對外伺服器十分安全，內部卻完全不落Patch（修補檔）。我們稱這些為「M&M’s Security」，即外硬內軟，他們怕更新後會影響內部運作。可是，某些網絡系統、程式或漏洞皆必須定期更新，剛提到的入侵防禦系統也一樣要更新，並不是買了硬件，放在枱頭，便永遠無問題。

此外，亦需要有人監督。現時香港有些保安執行中心，當客戶公司下班後，再觀察其日誌，查看有無入侵跡象。

尹：聽了不少電腦被入侵個案，那麼智能手機又如何？

賴：目前智能手機儲存的資料根本與電腦無異，只是大家的執行系統不一。Apple（iOS）與Android平台，每月都有不同漏洞。無論手機系統或程式，必定要持續更新。有人喜歡把手機越獄（Jailbreak），甚至Root機（取得系統最高權限），若你要用手機交易，或處理公司業務的話，那最好不要這樣做。

臉部指模解鎖穩陣

尹：蘋果公司推出10周年旗鑑手機iPhone X，改用臉部解鎖技術，這有助提升保安水平嗎？

賴：現時旅行出入境，普遍用到指模及臉部認證，我認為做法相當安全。「臉部解鎖」識別整個輪廓、膚色及距離等，全部屬於數據分析，只是我們肉眼所見有限。至於指模，本身很微細，當皮膚破損或磨蝕，認證可能失效。即使我把指模放在鏡頭面前，你亦看不見。

不過，你出門逛商場、去地鐵站均會被閉路電視拍到臉部，壞人一旦取得你的手機，配合樣貌等資料，將來就有機會解鎖。當然未必百分百做到，但臉部資料是公開的，而我就未見過有兩個人的指模是一樣的，亦難以在Google網站上找到該人的指模。

註：以上嘉賓訪問均屬個人意見，與本報立場無關。

完整訪問視頻，請上http://startupbeat.hkej.com觀看。

支持EJ Tech

如欲投稿、報料，發布新聞稿或採訪通知，按這裏聯絡我們。