You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

間諜跟身防不勝防 CIA手機竊聽風雲

By on March 17, 2017

原文刊於信報財經新聞專欄「StartupBeat 創科鬥室

網絡危機四伏,用戶傳輸數據前, 宜先加密資料。(Freepik網上圖片)

網絡危機四伏,用戶傳輸數據前, 宜先加密資料。(Freepik網上圖片)

主持:尹思哲 《信報》科技編輯

嘉賓:范健文 香港資訊科技商會資訊保安召集人

   賴灼東 電腦保安研究員 

維基解密最近披露,美國中央情報局(CIA)為了擴大竊聽範圍,不惜入侵全球智能裝置,包括智能電視和智能手機,揭發有關產品的網絡保安危機。為進一步探討有關議題,《信報》StartupBeat請來香港資訊科技商會資訊保安召集人范健文(Eric)及電腦保安研究員賴灼東(Anthony),一起分享保障個人私隱的要點。

尹:針對維基解密文件,技術上被監控的「先決條件」是什麼?是否因為用戶錯誤下載了某些程式所致?

賴:以美國而言,因為要反恐才作出監控。在「伊斯蘭國」(IS)未有計劃襲擊中國之前,我相信監控範圍未必涉及香港。除非有更多恐襲中國的情報,美國才會留意中港兩地。若中情局入侵或監控電子裝置,用戶是不會發現的。維基解密提到中情局使用的「零天」(Zero Day)攻擊,即是指一些未被公開或未經修補的程式漏洞。以手機作業系統為例,當用戶升級至最新版本時,可能未堵塞某些漏洞,成為入侵監控的渠道。

尹:要避開「零天」漏洞,是否要離開網絡,甚至不使用電子產品?

范:這實在太難了,而且商場的閉路電視也有可能被用作監視。聽說過澳門一些賭廳裝有較先進的閉路電視,能夠緊貼賭客行蹤,提防老千出術。此外,記得我觀看有關中情局叛諜斯諾登(Edward Snowden)的紀錄片時,他也有使用網絡,但用得很小心,例如對話會做加密程序。

點對點通訊軟件較安全

尹:黑客有層次高低之分,有國家級,也有平民級。面對高手黑客,手無寸鐵的用戶防不勝防,有什麼防範工作可以做嗎?

賴:我建議盡量以加密渠道傳輸資料。要破解已加密資料,需要高技術及大量資源。預先把資料加密,有助保護自己。

范:現時大部分即時通訊程式都內置了加密功能,例如WhatsApp和Telegram等,但電郵未必可以加密。假如我身在俄羅斯,在外地發送電郵時會經過各地不同的伺服器。若傳輸過程中某國政府對內容有興趣,可隨時查看。

尹:已加密的「點對點」通訊軟件相對比電郵安全?

范:是的,因為電郵很多時難以控制。最近我和Google做過研究,發現香港在SSL(安全通訊協定)的應用發展較亞洲其他地方為慢。

港應「善用」黑客提升保安

尹:以前流傳有黑客高手轉去防毒軟件公司工作,現在還有這樣的事嗎?網絡保安這行業在「魔高一丈」下前景又是否樂觀?

范:澳洲政府會聘請成功破解其系統的黑客擔任網絡保安工作,一個人若能找出系統的漏洞,必定擁有難得的技能,但香港仍未見有關舉動。Facebook和Google會透過獎金鼓勵別人找出公司系統的漏洞,這就是開放的思維。網絡保安這行業仍然吃香,但人才不足。近來港府撥出許多資源,以推動初創公司發展,但用於資訊保安上卻較少。

賴:香港無論政府或企業,應對黑客的態度都要改變。有些人是「白帽」黑客,會主動上報自己找到的漏洞,Eric(范健文)提到外國企業或政府會願意鼓勵他人主動入侵系統,讓對方告知自己的不足,有利研發嶄新的防入侵專業技術。

尹:Anthony(賴灼東)提過「被Hack妄想症」,可否分享相關的例子?

賴:有新聞說,手機很容易被控制。如手機突然多了幾張照片、幾個應用程式或SMS訊息,人們就會開始懷疑被入侵,但實情是未必跟黑客有關。舉例說,手機多了幾個應用程式,有可能是親友代為安裝;手機無故多了幾張照片,有機會是放在褲袋時不小心開動相機功能;至於突然傳來不知名的短訊,則有可能是打電話給朋友時,對方使用了訊息回覆功能。

尹:若要防止手機被入侵,有沒有實質貼士讓用戶放心?

賴:現在每人起碼有一部智能手機,大家應該安裝防毒軟件。有些人會為iPhone「越獄」( JailBreak,意指破解權限),令系統限制變得寬鬆,但這樣做有風險。自己彈性安裝軟件時亦容易讓黑客在自己的手機上做手腳。

范:有些人會有兩部手機,我自己工作一部,私人用途另一部,以分散風險。現時有些系統,登入時設有雙重認證,然而,我不太相信SMS認證。此外,外遊期間盡量不要使用當地公眾Wi-Fi,始終不清楚網絡提供者的身份,有被入侵的風險。建議使用漫遊數據服務,價錢也不太貴。

註:以上嘉賓訪問均屬個人意見,與本報立場無關。

尹思哲(左起)、賴灼東及范健文開壇討論如何防止智能手機被「hack」。

尹思哲(左起)、賴灼東及范健文開壇討論如何防止智能手機被「hack」。

 

支持EJ Tech



如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們