資安風險－我們與駭客的距離

開始前先來個狀況劇，我們先來試想一個狀況：

如果你的電腦有漏洞要更新和重開電腦，你會怎麼做？
1. 沒更新也沒人知道
2. 更新並重開

如果電腦中毒了，你會怎麼做？
1. 刪掉中毒檔案
2. 重灌

想好了嗎？在我們討論這情況的解答前，我們用更生活化的狀況來想看看好了：

如果你家門鎖壞了鎖不起來，你會怎麼做？
1. 關上門也沒人看得出來
2. 請鎖匠幫忙修

如果今天真的遭小偷了，你會怎麼做？
1. 把門關好
2. 報警、換鎖、搬家

鎖壞了我想大家都會想找鎖匠來幫忙修好；而如果家裡遭小偷，不只換鎖和報警，你也會思考小偷是怎麼進來的？甚至可能會搬家。上述兩個情境，選項二都是比較麻煩的，但也是比較可以解決問題的方法。

那麼問題來了，門鎖壞了會想找鎖匠修理，但電腦有漏洞會不會有時想說懶得更新？遭小偷後會大費周章地處理，但電腦中毒了之後有時會覺得說：「好吧，反正我資料也沒什麼重要的。」

今天重點不是要來說資安有多重要。我其實不贊成所有資安漏洞都要修補，但漏洞需要被評估。今天要來探討的是：我們需要什麼程度的資訊安全。

我的資料沒什麼好偷的

常常我在跟非科技業的朋友聊到駭客手法、聊到身邊的電腦手機是怎麼樣地被駭。最後得到的回覆總會是：不過還好我的資料也沒這麼重要，駭客應該也對我的資料沒什麼興趣。

我們先來聊聊為什麼會有這樣的反應？第一個原因通常是：他可能沒被駭過，或是他被駭過但不知道，在不知道的狀況下總是會低估一些事情的嚴重性。第二個原因是：我其實不知道該怎麼辦。我不知道我該怎麼預防才好，如果被駭了，我也不知道我該怎麼辦才好。因為「不知道該怎麼辦」會讓人焦慮，緩和焦慮的方式，就是說服自己電腦裡的資料不重要，我可以不用擔心那些資料的存亡。

當然不擔心也許是好事，但如果這資料是真的十分重要，但卻說服自己不要在意它，這可能就會有一些問題了。前兩個可能性都還好解決，確實知道資安問題，了解預防做法就可以了。但有些時候是「懶得做」，那可能就很難幫得了你了。

你真的需要資安嗎？

坦白說，不見得需要。

但不是說不用理它，而是「資安需要被評估後，才會知道需不需要」。

我們可以從簡單的方法來評估一下：如果你也覺得你的資料沒什麼好偷的，就算被偷了名字地址電話帳號 ID，其實也還算無傷大雅。那如果今天路上一位陌生路人搭訕跟你要電話，你會不會給？

我們評估的第一件事，就是確定要保護的 資產（Assets） 是什麼。而確定的方法蠻簡單的：如果你一定要送一個陌生人（或是可以想像是一個很討厭的人）一樣東西，你最不想送什麼？個資？信用卡號碼？私密照？除了密碼之外，總會有一些是自己私人保管的，尤其是跟錢財有關係的。

有另外一個評估方法，就是反過來想。如果今天在路上撿到一台 MacBook Pro，打開發現不用登入就可以瀏覽，你會看他什麼東西？會想找到什麼東西？我其實比較希望大家可以拿去警局失物招領，不過為了練習一下還是舉這個例子，通常不外乎是什麼照片、帳號密碼、網路銀行密碼等。一些涉及隱私和錢財的東西。

到這裡，信用卡號、網路銀行帳號密碼，應該就是每個人首選的幾個資產之一了吧？當然有資安意識的人會覺得個資也要好好保護好才行。總之我們列出了「要保護的東西」，再來則是排名：挑出最重要的資產是什麼？最最重要的資產是什麼？最最最重要的又是哪個？

接下來就是重頭戲，要計算我們與駭客的距離，這個公式是：

風險 = 嚴重程度 × 機率

這裡嚴重程度是指說，剛剛列出覺得要保護的資產們，越重要的資產被偷，當然就越嚴重。而機率，就是看你容不容易掉進駭客設的圈套中。這其實就是計算風險的公式，風險越高，自然離駭客越近。

被駭的機率高嗎？

我們可以來衡量一下「跳進駭客陷阱的機率」高不高。不過被駭的機率是一個蠻難被量化的東西，但我們可以從生活的習慣、周遭的特徵來知道自己身邊的駭客的陷阱多不多。

釣魚（Phishing）

釣魚信是一個簡單衡量的指標。如果資安習慣不太好的人，會用同一個信箱隨意註冊購物平台、論壇帳號，下場就是信箱會有很多垃圾信（除非是名人，不然每天一封就蠻多了）。而垃圾信多通常也代表我們中進某個釣魚信的機率也高。釣魚信的數量、跟對這些信的警覺度，決定了我們離駭客的距離。雖然對一般人來說，會寄釣魚信給你的駭客通常都屬於姜太公類型，有釣到就有，你只是其中一個被他路過灑到的魚而已。如果灑到一條資安習慣不好的魚，隨意地點開了信裡的連結並且輸入了帳號密碼或信用卡號，那這條魚甚至會在自己不自覺的狀態下被駭。

線上看

不管是看美劇、動畫或 XX，這些流量大的地方就會有駭客聚集。尤其影片是用 Flash 播放的，Flash 安全性差是眾所皆知的有名，漏洞風險高到可能在網頁上看影片，看著看著電腦裡的資料就全被偷了。當然不是每個線上看的網站都這麼可怕，如果把 Flash 封鎖的話至少就不會有這問題。不過還是容易被一些跳出式的廣告、大眾感興趣的廣告給誘惑，要不要註冊就看你對個資的看法了。

下載檔案

上述是一些判斷的指標，其他還有像是下載檔案、瀏覽器外掛程式等等。有種網頁會要求「執行」某個檔案、「安裝」瀏覽器某個外掛程式，才讓你看影片或下載檔案。這種通常也八九不離十是惡意程式（病毒）。這種攻擊有時會比輸入個資還要來得糟，一但下載並安裝了惡意程式，就如同直接把小偷請到家裡來然後自己出遠門一樣危險，電腦裡的所有資料等於是直接送人。

上面幾個例子是從自己的習慣、資訊產品呈現的特徵，來得知自己是否容易成為被攻擊的目標。而駭客攻擊的方式，比起利用電腦的漏洞進行攻擊，進行 社交工程（Social Engineering） 來攻擊一般民眾效果其實更好。上述的方法幾乎都是屬於社交工程：嘗試與你接觸、給你看你感興趣的東西、引誘你點擊並且讓駭客獲得想要得到的資料。

如何降低資安風險

如果剛剛有想到要保護的資產，然後發現自己資安習慣有些許問題，中獎機率算高，那就可以來考慮如何降低風險。這裡要先說一個重點是，不是每個資產都要降低資安風險，因人而異要接受風險也可以。選擇自己想要保護的東西，評估確認風險，然後想好怎麼保護它。

我們有「要保護的東西」，就要來看這個資產可能的 威脅（Threat） 有哪些。回想一下剛剛的提到被駭的機率，雖然剛剛是從「生活習慣」來舉例，但釣魚、廣告、社交工程、勒索，其實都是屬於一種威脅，上面列的幾個項目就是常見的威脅，防禦方法很簡單而且每個資安文章都提及：不要亂點、不要亂下載、不要亂安裝。

但總是要下載檔案才能玩遊戲、才能處理文書？總是要追劇？主管寄來的信不能不看？其實要看對於資安風險要降低到什麼程度，如果能做到「下載軟體只在合法 App Store；追劇不看盜版；收信確認對方信箱地址，同時不下載點擊信件附件。」那就大幅降低了資安風險。

但這樣對有些人來說太難受了。我們第二衡量的是嚴重性，上面例子來看，最危險的是會造成 RCE（Remote Code Execution，遠端執行程式） 的攻擊，也就是駭客只要在他家，就可以遠端操控你的電腦，包含瀏覽你的電腦一切資料。而「下載（信裡面附件）檔案並且點擊（安裝）」、「使用 Flash」就非常有機會讓駭客進行 RCE 攻擊。

如果只想防禦像 RCE 這樣高嚴重的攻擊，而社交工程要偷個資就送他這樣的風險策略的話，可以試試下面兩個，有機會避免一些高風險的威脅：

在 chrome 的 Flash 設定頁面（chrome://settings/content/flash），調整為：禁止網站執行 Flash
學會辨認釣魚信，可以在這個釣魚測驗了解一些常見釣魚技巧

這無法治百病，像這樣退一步防禦的衡量，雖然會不小心中了社交工程、輸入了帳號密碼，但至少想保護的私密照沒被外流，而且也獲得了一些方便性。或是「轉移陣地」，每次追劇、下載遊戲，都用另一台電腦來使用，有機密文件的電腦則保持乾淨不安裝來路不明的東西。

這些資安政策的決定也會跟我們方不方便使用有關，這也是大家考量是否要降低風險的要素之一。當然我也是支持不要這麼彆扭、讓自己方便得使用網路。只要確定好自己「真的想保護的東西」，不會因為自己的方便或決策而讓自己後悔，那也就是個適合自己的資安防禦方式。

最後還是期許大家持續讓自己保持資安意識和警覺，每當遇到自己覺得可疑的時候，不要貪圖一時方便，「停下來思考一下」會是一個很不錯的做法：我真的需要嗎？點了如果 XX 被偷真的值得嗎？一直以來資安就沒有什麼萬靈丹，而較好的作法也許就像某個社會寫實劇裡提到的：解決傷害的方法，是善後與預防。

如果喜歡這類資安議題，歡迎點擊下方 FB 粉專追蹤我們，或來信告訴我們你想了解的資安議題，我們期待你與我們聊天談資安！