站在企業資訊人員與資安工作者的角度,我們應該更深一層的來看「資料外流」的管道與如何保護自己的私密資料或企業的機密資料不會像陳冠希一樣,成為眾矢之的,
陳冠希私密照片外流事件已經延燒幾周,華人媒體窮追猛打想要再挖出更多的八卦,站在企業資訊人員與資安工作者的角度,我們應該更深一層的來看「資料外流」的管道與如何保護自己的私密資料或企業的機密資料不會像陳冠希一樣,成為眾矢之的。無可避免的,資訊設備可能會有故障送修的狀況發生,一般想法就是請廠商來處理,無法現場處理的就送修,現在幾乎每個廠商都強調快速檢修貨到家服務,但是千萬不要忘記送出公司大門的不只是硬體設備,裡面可能還裝有公司的重要資料。
再往下閱讀之前,請先試著回答幾個問題:
1.我把檔案刪除,別人就看不到了?(錯)
2.我把硬碟FORMAT就可以了?(錯)
3.我把手機鎖住就可以送修,工程師不可能看到我鎖住的資料?(錯)
4. NB使用BitLock加密,工程師拿到這台電腦也看不到資料?(相對安全)
5.但是,因為某些原因,如果你把帳號密碼給工程師呢?
看完以上問題之後,我們要探討的是,有哪些裝置設備可能會成為您無心之過將資料外流的管道呢?手機\桌上型電腦\筆記型電腦\數位相機\攝影機\內建記憶卡\可替換式記憶卡\家用硬碟式DVD錄放影機,幾乎所有可以存放自行拍攝、儲存資料的裝置,都有可能把您的資料、照片、聲音送到一個您完全不認識的人手上,林志玲、陳冠希就是一個最好的例子,因為他們兩個對於3C產品的專業度目前是絕對不及於專業人員,不過卻沒有一般的常識,所以傻傻的把裝滿個人隱私資料的設備羊入虎口。那麼,一般民眾或企業資訊負責人員有哪些方法可以保障自己、照顧別人呢?
請謹記以下原則與建議
第一、重要資料不出大門。
第二、(資料不出門)整個硬碟拔起。
第三、人到現場看:基本上不要讓東西離開視線,避免工程師有竊取資料之嫌。
第四、如何約束工程師的個人行為? (委外合約)
至於要怎麼做呢?把儲存資料的裝置移除是最直觀的作法,像是電腦中的硬碟、手機記憶卡等,但是問題來了,不是人人都會拆硬碟,或者拆裝動作會破壞保固標籤等,所以要退到第二條防線,哪些資料是重要的、你不想被別人看到或者網路流傳的,先自己備份到不會送出去的裝置或電腦上,然後丟到資源回收桶?這樣就安全了嗎?NO!不管你在電腦上丟資源回收桶或者按下刪除鍵、加上[Shift]刪除等,這些資料都還是在你的硬碟中占有一席之地,只是電腦假裝看不見他。有人說,只要把硬碟格式化(Format)就安全了,基本上只對一半,因為格式化有很多種,以一般認知的格式化來說,只是把你的磁碟分割與檔案目錄清乾淨,實際上那些資料都還在上面,真正要做到完整格式化或低階格式化(沒多少人會用),加上安全的刪除(secure delete)資料工具,把真正重要的先處理掉,才能保障你送修的安全。
如果,真的不知道要怎麼處理,再退一步,送修的時候必須有人到現場監看過程,尤其是公司重要的伺服器、檔案儲存裝置等,很容易就把企業十幾年累積的東西外流出去,維修單位的控管如果不夠嚴謹,就會發生很多憾事。從公司角度來看,必須要和維修廠商簽訂保密合約,包含經手資料(有時為了救檔案必須把檔案先複製到維修單位的電腦與儲存裝置中)不可以外流,處理完成之後必須銷毀等。已確保企業或個人的權益。實際上,這樣的合約人人會簽,不過是否有人監督與驗證,則是另外一個實務上的漏洞。
陳冠希不雅照成為犯罪集團網釣誘餌
由於與國內調查局之合作,阿碼科技ASF(Armorize Special Forces)資安團隊近日發現,在陳冠希不雅照事件把網路散播功能發揮到極致之同時,網路犯罪集團也暗地裡搭上此熱潮,藉著利用不雅照片吸引民眾前往含有惡意程式之網站,藉以散佈竊取個人隱私資料的木馬後門程式。阿碼科技與調查局目前掌握了超過180個不法散播不雅照並含有惡意程式的網站,進一步分析,發現大部分網站都含有超過一個以上的惡意程式,這些網路掛馬一方面防毒軟體不一定能檢測出來,一方面民眾只要前往瀏覽就會中毒。以一個網站一天2,000人的保守估計來看,每天將中毒之民眾數量十分可觀。一般民眾因為好奇心驅使,可能透過搜尋引擎及P2P下載間接連結到這些惡意網站,導致個人電腦遭受入侵蒙受損失。
由於調查團隊與調查局合作,使用HackAlert系統長期監控台海網站,雙方於陳冠希事件發生不久後即注意到,多數違法散播陳冠希照片之網站,皆含有惡意程式。進一步分析後,雙方獲得以下結論:
一、自事件發生至今,一共有約180個散播陳冠希不雅照或談論相關議題之網站,含有惡意程式。
二、截至2008年2月18日止,仍有60個網站含有具攻擊力之惡意程式。
三、這些惡意程式(網路掛馬)許多防毒軟體無法偵測出來,並且只要上網站瀏覽就會被攻擊成功。
四、不同的是,許多此次發現之網站,皆含有一個以上之惡意程式,更有許多網站含有近40隻惡意程式,瀏覽此類網站非常危險。
五、含有惡意程式之網站明顯可分為兩類,一類是故意放照片,用以利用熱潮散播惡意程式者;另一類則是此次涉案明星之網站或後援會網站,由於近來流量激增,故成為攻擊目標,駭客在攻擊成功後,植入惡意程式。
六、由於兩類網站近期每日皆能吸引可觀之流量,惡意程式將快速散播。
事實上,網站掛馬日益嚴重,根據Google Online Security Blog於本月11日公布之數據顯示,自2007年起,有0.4%的搜尋結果內含惡意程式,至今已經超過1%。
公司企業如果要檢測自己的網站是否遭駭客植入惡意連結,可線上直接申請免費HackAlert服務,設定好公司網址後,HackAlert會自動24小時監控您的網站,並於偵測到惡意程式時發email通知,確保您的網站遠離恐懼威脅。至於民眾如果擔心自己已經被惡意網站植入後門或木馬而不自知,可申請「阿碼Archon Scanner 15天免費版」,該軟體能偵測及分析坊間防毒軟體無法測出之後門、木馬或間諜軟體等惡意程式。 阿碼科技CEO黃耀文表示,透過HackAlert可以幫助企業監控網站安全,讓用戶可以安心上網,企業也可以安心透過網路資訊科技增加營收。網頁惡意掛馬(Malicious URL injection)案例層出不窮,包含知名的入口網站、公家機關、旅行社、知名企業等,在這一年以來陸續傳出遭受入侵掛馬,歹徒入侵之後安插惡意連結而不變動網頁外觀,此連結會導致進入貴公司網站者的電腦遭受入侵的可能,後續影響如個資外洩、有價資訊及金錢的損失,追究原因會影響公司形象及商譽。 |