Wednesday, March 11, 2009

Foxy 禍

個人資料經互聯網洩漏的事件在三月又再發生,禍首又是Foxy軟件。屈指一算去年至今的同類事件,十隻手指竟然不夠用。已曝光受傳媒報導的有:

2008年4月5日:透過Foxy搜尋,可尋獲多份警察內部表格、程序手冊。
2008年5月8日:用Foxy發現入境處多份機密文件,包括監視人士名單、檢查護照的機密細節等。
2008年5月27日:有市民使用Foxy搜尋時,發現警方的機密檔案,包括臥底探員的資料。
2008年6月1日:透過Foxy找到警隊商業罪案調查科機密檔案,包括一份督察及警長辦公室電話及手提電話號碼。
2008年6月14日:有網民從Foxy搜尋,找到一份海關落馬洲管制站關員撰寫的案件口供紀錄,另 外找到三份屬於兩名公立醫院的女病人病歷。
2008年7月7日:入境處再度經Foxy洩漏多份機密文件,包括印尼及伊朗旅客使用假證的調查報告。
2008年8月8日:警方再度經Foxy洩漏六份機密文件,包括口供紙,劫案及毒品案的報告等。
2008年9月30日:有網民經Foxy發現警方內部文件,包括衝鋒隊隊員須知,嚴重案件的處理程序。
2009年2月8日:消防處內部資料在網上外洩,包括一批消防員的考核報告、月薪及職級等個 人資料。
2009年2月8日;一名警員向聚賭疑犯錄取口供的資料文件透過Foxy 流出,包括列明個人資料的會面紀錄。
2009年3月7日:上水及大埔警署的內部文件在Foxy外洩,其中多是上水警署的內部文件,包括口供紙等。

以上只是和政府部門有關的洩密事件,其實還有很多其他資料,例如律師樓內部文件、球隊出糧記錄等等,經Foxy洩漏。有同事因此十分恐慌,認為Foxy神 通廣大,世上再無私隱;他詢問我是否應該繼續上互聯網,甚至是否應該將個人資料放在電腦。我安慰他這些事件被傳媒跨大,最重要的是自己小心。

但Foxy為什麼如此神通廣大呢?這個軟件只是一個點對點檔案共享軟件;互聯網上有不少這類軟件提供點對點檔案共享服務,這個通訊模式是世界趨勢,亦是 Web 2.0重要的一環。資訊在互聯網上流通當然會有洩漏的風險,這個問題資訊科技保安人員非常了解,而各種保安措施亦已蓬勃發展,那麼Foxy出了什麼問題?

在正常操作下,Foxy只使用兩個主資料夾,一個是由用家自己設定的共享資料夾,這個資料夾內的檔案是用家放入和其他人共享,多是照片、 音樂或需要傳遞的文件。因為會和他人共享,所以用家應該不會放入私人資料或敏感資料。另一個是儲存下載檔案的資料夾,這個資料夾只用來暫時儲存下載的 檔案,不應儲存私人資料。第一個重要的問題就是這兩個資料夾的設定。如果用家不小心將敏感資料檔案放在這裡,就有機會被他人下載。第二個問題是如果用家不 熟識檔案夾架構而選擇將下載的檔案放在桌面或『我的文件』內,它們所有的子資料夾,即是電腦內所有的檔案都可以經Foxy找到。第三個問題是Foxy的基本搜 索功能,可以自動將它接觸到的檔案排序編成目錄,使所有的用家很容易就可以用一兩個關鍵字找到資料;一些敏感的字眼在互聯網上經常被搜索。第四個問題 是Foxy的標準設定是當用家開著電腦,系統就會在背景自動執行Foxy;其用意是想搜索檔案時更有效率,但當有洩密情況時危險就會被擴大。這些其實都是 可以避免的,只需在資料夾設定時小心,又不要將敏感檔案放在Foxy使用的資料夾,亦可將Foxy改為手動執行。

但Foxy的危險並不止於不小心使用。有電腦保安專家認為Foxy軟件的界面本身存有漏洞,它的設定是需要用家自行將防火牆減弱,變相打開了網絡保安的缺 口;有 人甚至為了下載檔案,而將防毒軟件暫時關閉。坊間流傳的Foxy版本,多經過 改裝,可能被混入間諜或木馬等程式;而Foxy本身並未有安全的版本下載,故無法確定用家可百分百安全使用。

互聯網和其他地方一樣,是沒有百分之一百安全。我們經常聽到有些很重要的機構都有保安事故發生,電腦保安和互聯網匪徒是經常在競賽,互有勝負。我們可以希 望專業匪徒只針對高價值目標,但我們仍需做好合理的保安措施,應付常見的滋擾。很多人說互聯網是一個森林,內有猛獸。我覺得互聯網是一條繁忙的街道,危機 四伏,馬路如虎口,路上有扒手,行人有時是劫匪,兩旁的商店有不少是黑店;但我們總要出門,只要小心謹慎,街道上其實五光十色,機會處處。

No comments:

Post a Comment