開始前先來個狀況劇,我們先來試想一個狀況:
如果你的電腦有漏洞要更新和重開電腦,你會怎麼做?
1. 沒更新也沒人知道
2. 更新並重開
如果電腦中毒了,你會怎麼做?
1. 刪掉中毒檔案
2. 重灌
想好了嗎?在我們討論這情況的解答前,我們用更生活化的狀況來想看看好了:
如果你家門鎖壞了鎖不起來,你會怎麼做?
1. 關上門也沒人看得出來
2. 請鎖匠幫忙修
如果今天真的遭小偷了,你會怎麼做?
1. 把門關好
2. 報警、換鎖、搬家
鎖壞了我想大家都會想找鎖匠來幫忙修好;而如果家裡遭小偷,不只換鎖和報警,你也會思考小偷是怎麼進來的?甚至可能會搬家。上述兩個情境,選項二都是比較麻煩的,但也是比較可以解決問題的方法。
那麼問題來了,門鎖壞了會想找鎖匠修理,但電腦有漏洞會不會有時想說懶得更新?遭小偷後會大費周章地處理,但電腦中毒了之後有時會覺得說:「好吧,反正我資料也沒什麼重要的。」
今天重點不是要來說資安有多重要。我其實不贊成所有資安漏洞都要修補,但漏洞需要被評估。今天要來探討的是:我們需要什麼程度的資訊安全。
我的資料沒什麼好偷的
常常我在跟非科技業的朋友聊到駭客手法、聊到身邊的電腦手機是怎麼樣地被駭。最後得到的回覆總會是:不過還好我的資料也沒這麼重要,駭客應該也對我的資料沒什麼興趣。
我們先來聊聊為什麼會有這樣的反應?第一個原因通常是:他可能沒被駭過,或是他被駭過但不知道,在不知道的狀況下總是會低估一些事情的嚴重性。第二個原因是:我其實不知道該怎麼辦。我不知道我該怎麼預防才好,如果被駭了,我也不知道我該怎麼辦才好。因為「不知道該怎麼辦」會讓人焦慮,緩和焦慮的方式,就是說服自己電腦裡的資料不重要,我可以不用擔心那些資料的存亡。
當然不擔心也許是好事,但如果這資料是真的十分重要,但卻說服自己不要在意它,這可能就會有一些問題了。前兩個可能性都還好解決,確實知道資安問題,了解預防做法就可以了。但有些時候是「懶得做」,那可能就很難幫得了你了。
你真的需要資安嗎?
坦白說,不見得需要。
但不是說不用理它,而是「資安需要被評估後,才會知道需不需要」。
我們可以從簡單的方法來評估一下:如果你也覺得你的資料沒什麼好偷的,就算被偷了名字地址電話帳號 ID,其實也還算無傷大雅。那如果今天路上一位陌生路人搭訕跟你要電話,你會不會給?
我們評估的第一件事,就是確定要保護的 資產(Assets) 是什麼。而確定的方法蠻簡單的:如果你一定要送一個陌生人(或是可以想像是一個很討厭的人)一樣東西,你最不想送什麼?個資?信用卡號碼?私密照?除了密碼之外,總會有一些是自己私人保管的,尤其是跟錢財有關係的。
有另外一個評估方法,就是反過來想。如果今天在路上撿到一台 MacBook Pro,打開發現不用登入就可以瀏覽,你會看他什麼東西?會想找到什麼東西?我其實比較希望大家可以拿去警局失物招領,不過為了練習一下還是舉這個例子,通常不外乎是什麼照片、帳號密碼、網路銀行密碼等。一些涉及隱私和錢財的東西。
到這裡,信用卡號、網路銀行帳號密碼,應該就是每個人首選的幾個資產之一了吧?當然有資安意識的人會覺得個資也要好好保護好才行。總之我們列出了「要保護的東西」,再來則是排名:挑出最重要的資產是什麼?最最重要的資產是什麼?最最最重要的又是哪個?
接下來就是重頭戲,要計算我們與駭客的距離,這個公式是:
風險 = 嚴重程度 × 機率
這裡嚴重程度是指說,剛剛列出覺得要保護的資產們,越重要的資產被偷,當然就越嚴重。而機率,就是看你容不容易掉進駭客設的圈套中。這其實就是計算風險的公式,風險越高,自然離駭客越近。
被駭的機率高嗎?
我們可以來衡量一下「跳進駭客陷阱的機率」高不高。不過被駭的機率是一個蠻難被量化的東西,但我們可以從生活的習慣、周遭的特徵來知道自己身邊的駭客的陷阱多不多。
釣魚(Phishing)
釣魚信是一個簡單衡量的指標。如果資安習慣不太好的人,會用同一個信箱隨意註冊購物平台、論壇帳號,下場就是信箱會有很多垃圾信(除非是名人,不然每天一封就蠻多了)。而垃圾信多通常也代表我們中進某個釣魚信的機率也高。釣魚信的數量、跟對這些信的警覺度,決定了我們離駭客的距離。雖然對一般人來說,會寄釣魚信給你的駭客通常都屬於姜太公類型,有釣到就有,你只是其中一個被他路過灑到的魚而已。如果灑到一條資安習慣不好的魚,隨意地點開了信裡的連結並且輸入了帳號密碼或信用卡號,那這條魚甚至會在自己不自覺的狀態下被駭。
線上看
不管是看美劇、動畫或 XX,這些流量大的地方就會有駭客聚集。尤其影片是用 Flash 播放的,Flash 安全性差是眾所皆知的有名,漏洞風險高到可能在網頁上看影片,看著看著電腦裡的資料就全被偷了。當然不是每個線上看的網站都這麼可怕,如果把 Flash 封鎖的話至少就不會有這問題。不過還是容易被一些跳出式的廣告、大眾感興趣的廣告給誘惑,要不要註冊就看你對個資的看法了。
下載檔案
上述是一些判斷的指標,其他還有像是下載檔案、瀏覽器外掛程式等等。有種網頁會要求「執行」某個檔案、「安裝」瀏覽器某個外掛程式,才讓你看影片或下載檔案。這種通常也八九不離十是惡意程式(病毒)。這種攻擊有時會比輸入個資還要來得糟,一但下載並安裝了惡意程式,就如同直接把小偷請到家裡來然後自己出遠門一樣危險,電腦裡的所有資料等於是直接送人。
上面幾個例子是從自己的習慣、資訊產品呈現的特徵,來得知自己是否容易成為被攻擊的目標。而駭客攻擊的方式,比起利用電腦的漏洞進行攻擊,進行 社交工程(Social Engineering) 來攻擊一般民眾效果其實更好。上述的方法幾乎都是屬於社交工程:嘗試與你接觸、給你看你感興趣的東西、引誘你點擊並且讓駭客獲得想要得到的資料。
如何降低資安風險
如果剛剛有想到要保護的資產,然後發現自己資安習慣有些許問題,中獎機率算高,那就可以來考慮如何降低風險。這裡要先說一個重點是,不是每個資產都要降低資安風險,因人而異要接受風險也可以。選擇自己想要保護的東西,評估確認風險,然後想好怎麼保護它。
我們有「要保護的東西」,就要來看這個資產可能的 威脅(Threat) 有哪些。回想一下剛剛的提到被駭的機率,雖然剛剛是從「生活習慣」來舉例,但釣魚、廣告、社交工程、勒索,其實都是屬於一種威脅,上面列的幾個項目就是常見的威脅,防禦方法很簡單而且每個資安文章都提及:不要亂點、不要亂下載、不要亂安裝。
但總是要下載檔案才能玩遊戲、才能處理文書?總是要追劇?主管寄來的信不能不看?其實要看對於資安風險要降低到什麼程度,如果能做到「下載軟體只在合法 App Store;追劇不看盜版;收信確認對方信箱地址,同時不下載點擊信件附件。」那就大幅降低了資安風險。
但這樣對有些人來說太難受了。我們第二衡量的是嚴重性,上面例子來看,最危險的是會造成 RCE(Remote Code Execution,遠端執行程式) 的攻擊,也就是駭客只要在他家,就可以遠端操控你的電腦,包含瀏覽你的電腦一切資料。而「下載(信裡面附件)檔案並且點擊(安裝)」、「使用 Flash」就非常有機會讓駭客進行 RCE 攻擊。
如果只想防禦像 RCE 這樣高嚴重的攻擊,而社交工程要偷個資就送他這樣的風險策略的話,可以試試下面兩個,有機會避免一些高風險的威脅:
- 在 chrome 的 Flash 設定頁面(
chrome://settings/content/flash
),調整為:禁止網站執行 Flash
- 學會辨認釣魚信,可以在這個釣魚測驗了解一些常見釣魚技巧
這無法治百病,像這樣退一步防禦的衡量,雖然會不小心中了社交工程、輸入了帳號密碼,但至少想保護的私密照沒被外流,而且也獲得了一些方便性。或是「轉移陣地」,每次追劇、下載遊戲,都用另一台電腦來使用,有機密文件的電腦則保持乾淨不安裝來路不明的東西。
這些資安政策的決定也會跟我們方不方便使用有關,這也是大家考量是否要降低風險的要素之一。當然我也是支持不要這麼彆扭、讓自己方便得使用網路。只要確定好自己「真的想保護的東西」,不會因為自己的方便或決策而讓自己後悔,那也就是個適合自己的資安防禦方式。
最後還是期許大家持續讓自己保持資安意識和警覺,每當遇到自己覺得可疑的時候,不要貪圖一時方便,「停下來思考一下」會是一個很不錯的做法:我真的需要嗎?點了如果 XX 被偷真的值得嗎?一直以來資安就沒有什麼萬靈丹,而較好的作法也許就像某個社會寫實劇裡提到的:解決傷害的方法,是善後與預防。
如果喜歡這類資安議題,歡迎點擊下方 FB 粉專追蹤我們,或來信告訴我們你想了解的資安議題,我們期待你與我們聊天談資安!