觀點

紅火的Netbook會是下一個資安隱憂嗎?

2009 / 03 / 30
編輯部
紅火的Netbook會是下一個資安隱憂嗎?
您第一次看到NetBook時,是否只想到其輕巧方便,還是公司要面對的新資安隱憂與挑戰呢?

隨著新一波的經濟衰退走勢,卻有異軍突起的輕型上網筆記型電腦(netbook)逆向成長,在成本考量與使用方便度的考量下,開始廣為市場早期先驅者的接受,企業用戶是否會成為下一個NetBook的戰場呢?答案是見仁見智,不過已經有很多系統廠商與軟體廠商在這一塊市場著墨,替未來的無限可能作好準備。從企業資安管理的角度來看NetBook,如同各種如雨後春筍出現的行動裝置,您做好準備了嗎? 就連美國總統歐巴馬也要為了黑莓機而大力爭取,透過加密的方式設計,來避開一些已知的攻擊與竊密的安全疑慮。這樣就安全了嗎?可能還有待時間的驗證,包含各種駭客攻擊、竊聽、GPS鎖定等,都可能讓歐巴馬手上的黑莓機成為不定時炸彈。
目前市場上所定義的Netbook,大致上的認同是重量不到1公斤,而螢幕大小在7吋至10吋之間,且擁有各種無線上網能力且價格較筆電便宜,約在600美金以下的小型電腦。其實NetBook與一般的筆記型電腦無異,在硬體越做越小、功能越強大的狀況下,NetBook成本向下壓低之後,在強調能源管理與辦公行動化之後,其進入企業市場並非無可能,如果能先解決企業主心中對於管理行動裝置的疑惑與如何做的執行方法,以及提供足以滿足企業營運需求的應用系統,像是文書軟體等,另外一個推波助瀾的助力則是現在正火熱的雲端運算(cloud computing),讓企業再度走回集中資源集中管理的時代,但這次不是因為電腦成本太高,而是為了更好的管理以及成熟的科技所促成。

問題1:綑綁的服務如何取捨?如何斷得了?
在國外成功的NetBook銷售方式就是綑綁著當地通訊系統或網路系統商的門號,提供該機器直接可以上網際網路的服務,因此,這台機器可能只需要一半不到的價格或者是不用錢,但是你要綑綁服務一段期間。包含內裝的應用軟體以及作業系統,通常沒有太大的容量或彈性可以做大改變,加上綑綁通訊的服務,雖然可以成功造就營利模式,但是對於未來擴增市場而言其實是一個阻礙。資策會產業情報研究所(MIC)年初發表ICT產業發展趨勢,指出台灣ICT產值較去年下滑5%至6%。而Netbook將是唯一逆勢成長的一塊市場。未來Netbook會像是iPhone手機這樣的裝置,變成一個用戶平台,這樣所綑綁的服務就更加固定,雖然可以對競爭者造成一定的市場障礙,不過也有可能是自己畫地自限成為綁手腳的限制。
對於用戶來說,平台所綑綁的服務是不是自己的首要選擇,再者其提供的服務內容有無針對安全的議題加以強化,就像是各種通訊服務到最後都會有安全上的強化以及補充,如果有提供一些郵件、上網等服務,其傳輸之內容通訊是否有足夠強的加密措施,上網之瀏覽器是否能抵抗目前越來越兇狠的網站安全威脅等。提供線上可存放個人資料的服務,是否有足夠的存取控管以及作業規範管理,來保障這些資料放在主機上的安全?這都是NetBook與服務綑綁之下所要面對的第一個課題。

問題2:資料帶著走,加密還不夠?
一項調查發現,員工出差時會攜帶公司所配發或自己買的筆記型電腦,這個問題會在行動裝置與NetBook被廣泛接納後更加氾濫,遺失裝置所帶來的問題,不單單只有實體財物上的損失,還有裝置上所攜帶的資訊財產的損失。在2008年因為筆記型電腦遺失所導致的資料外洩問題已經是主要原因的前3名,未來可能還會更加嚴重。而NetBook屬於體積較小的高單位價值財物,很容易就會引起竊賊的注意而遭竊。加上現在的行動裝置都具備自行偵測上網方式的能力,可能會透過無線網路、3G網路甚至是一個USB接頭就會連上網路。因此,使用者可能連自己是不是已經連上網路都不知道,甚至不知道資料因此而外洩了。
一般對於此問題的解決方式,主要以資料加密為主,會使用各種方式與演算法提供資料加密的能力,所以裝置遺失或者是不慎資料外洩時,資料本身是加密的,對於美國相關法規的要求而言,的確是足夠避免掉相關的法律責任與成本。但是,使用資料加密方式,要注意的是加密金鑰或裝置的保存與管理,以免同時遺失或者自己無法解密的問題。
另外一個解決方式就是透過硬體或軟體針對遺失行動裝置的追蹤與資料銷毀,這個活像是電影中的情節,情報單位透過某種高科技可以遠端將電腦銷毀,當然裡面的資料就隨風而逝了。現在,這種科技已經不是新鮮事了,包含了使用GPS或網路的追蹤,還有網路攝影機等,可以讓你遠端追蹤心愛的電腦目前流落何方,當然,還有各種銷毀的方法可以讓電腦遭竊的傷害降到最低。
SANS 資安政策計畫(http://www.sans.org/resources/policies )提供行動裝置的加密與遺失處置政策。

問題3:簡化或特殊作業系統版本的安全隱憂
幾乎所有電腦軟體與系統都無法避免地要做一些修補與更新,不論是作業系統、瀏覽器、系統程式與應用軟體等,在開發過程中因為安全設計不足,或者是出現了新型態的破解與攻擊方式,所以這些軟體必須要必修補。但是,這麼多修補的工作要如何排定其先後順序呢?當然是越多人使用,對於軟體公司越重要的旗艦產品優先分配到修補的資源,而越偏門越少人使用的系統或軟體則不容易受到重視,所以會有一些封閉軟體,甚至在其生命週期中都沒有做任何的更新與修補。現在的NetBook因為要符合硬體上的設計以及成本考量,所以在使用作業系統和搭配應用系統的選擇時,可能會與目前所流行的大宗軟體有所差異,包含簡化版的作業系統、自家開發的工具軟體與應用程式等,雖然功能上不會少太多,但是有安全功能不足的疑慮,加上更新修正的速度沒辦法像一線的系統與軟體如此的即時與受重視,所以可能會造成企業在考量上的安全隱憂。
之前也有產品使用未修正問題的開放原始碼軟體,而導致門戶洞開,但是卻沒看到廠商釋出所謂的修正補丁,這就是目前NetBook會遭遇到的問題,就是作業系統的安全還沒有辦法獲得像一般桌機(desktop)或筆電(notebook)的安全支援與資源。加上加密強度因為硬體的運算能力而受限,連安全都輕便化。至於此問題的解決方式主要還是看供應商是否能提出讓使用者信賴的修補更新計畫,或者消費者自行選擇比較常見且有相關配套辦法的方案。
未來資訊環境3部曲:資安挑戰?
除了NetBook之外,未來的資訊環境演化的3部曲,包含雲端運算、瀏覽器革命與無所不在的網路環境,都是資安未來要面對的新挑戰。

雲端運算
最簡單的雲端運算技術在網路服務中已經隨處可見,例如搜尋引擎、網路信箱等,使用者只要輸入簡單指令即能得到大量資訊。未來如手機、GPS等行動裝置都可以透過雲端運算技術,發展出更多的應用服務(摘錄自wiki)。

瀏覽器
企業透過WEB的方式提供營運用途的軟體工具,如文書、流程、資料管理等。不需要很強大的用戶端運算能力,僅需連網能力與基本的瀏覽器。

無所不在的網路
現在不論是有線、無線網路,3G網路還是未來的WiMax行動通訊,都已經架構了下一代的生活方式─無所不在的網路,因此,一台輕便的上網裝置就可以透過網路完成其目的。
山寨化─嚇壞科技大廠的山寨機與印度10塊機
現在坊間出現所謂山寨機,是指與知名廠牌類似的設計與功能的地下組裝手機,其零件材料與設計可能來自於相同的產地,但是組裝後之價格卻低的可怕,在2006年,台灣聯發科開發出將手機的主板與軟體合而為一的手機晶片組,降低手機生產門檻,變成人人都有機會生產手機、家家是工廠,廠商在沒有核心技術的情況下,還可以訂製出您要的行動裝置。
無獨有偶的是,印度的10塊機。「沙克夏」筆電(Sakshat)在媒體的渲染之下,嚇壞了一堆分析師,但是最後證明是場烏龍。原來是一台只需2瓦電力、可無線上網的主機,但是沒有鍵盤滑鼠螢幕等外接裝置,加上配備2GB記憶體,又可升級硬體下,成本也從10美元一路往上加。低價的原因是使用低廉的晶片組,如果您有玩過Wii的改機晶片,就知道低廉晶片會導致什麼後果,不是沒人支援、就是燒掉溶屍。當然,這樣的新聞同樣也會在NetBook產品上演,一分錢一分貨,值得再三比較。