專欄:光。職場

桃園展翅上騰特別企劃——本節目也可在Podcast收聽,關鍵字:「趨勢領航主題曲」

 

別當受『駭』者

台灣駭客年會創辦人徐千洋

什麼是駭客?

「駭客」在許多人的腦海裡大概被歸類為沒有臉孔的詞彙吧,在你的既定印象裡是褒義還是貶義呢?它既代表了對於網路技術精通的專業形象,也同時兼任一副在法網中穿梭自如的矯健身手,因此「駭客」(hacker)在國際間是個中性名詞,甚至有辭典將它解釋為「熱心於使用電腦的人」。至於我們如何看待該奇妙人物在日常生活中的存在,想當然耳便完全取決於視角的切入點了。

資安問題無法完全杜絕但可降低風險

身處於網路發達的現代社會裡,手機不離手的景象早已是大家司空見慣的常態。台灣駭客年會創辦人——徐千洋,特別針對網路個資安全議題,提出了一些能夠降低遭受駭客入侵風險的方法。

(一)不要越獄

例如使用蘋果手機想要下載新的App就一定得到App Store裡下載,從其他網站或通路下載軟體就稱為「越獄」。例如有些廠牌手機內建的相機一定要有快門聲,且不能調整成靜音模式,這是法律規定的,立法目的是為了避免任何違反隱私權的事件(未經本人同意偷拍此人),然而若將快門聲調成無聲,則無法以正常管道下載應用程式,為了達成下載App的目的,便另尋其他特殊管道下載,以此種越獄方式取得的軟體,功能可能更強大,因此有很多人為了追尋更高人一等的功能就會採取「越獄」的手段。但是透過「越獄」而安裝的app通常沒有經過官方檢驗,本身就存在很大的風險。

(二)當收到更新通知時就盡快更新

為什麼可以「越獄」呢?就是因為手機有漏洞!手機存在漏洞除了能夠「越獄」之外,駭客的入侵也是從此通道著手進行的,換言之,完成了「越獄」動作的同時正好是對駭客宣示「此處可駭入」的訊息,這些漏洞可能是本身手機原廠的設定就出了問題,所以當手機收到更新通知時,很可能就是手機原廠為了重新修補先前的漏洞而研發的新版本,因此立即更新作業軟體也是降低被駭風險的方式之一。

(三) 不遵循第三方程式(未上架程式)

很多手機都會有自我保護的機制,不允許使用者安裝未上架的程式,像是色情網站賭博遊戲等,有許多吸引民眾下載的遊戲、影片、程式等等,無法通過嚴格審核因而無法上架,所以無法透過正常的一般程序安裝,而這些網站便會附上操作指引,教導民眾如何按照步驟設定即可安裝完成,藉由循循「惡」誘的方式,將含有病毒的軟體置入安裝者的手機系統中。又例如,當民眾在瀏覽或操作這些未通過審核的網站時,畫面會跳出一種視窗,顯示手機裡有病毒,須下載清除病毒的軟體,常有人會聽信而受騙上當,下載了看似是清除病毒的軟體,但殊不知掉進木馬屠城記的招數裡,清除病毒的軟體本身就是病毒,想要消滅原本不存在的病毒,卻引進真正的病毒。

(四)手機使用分散功能的習慣

瀏覽龐大的資訊量,連結大量網頁,把手機當成電腦使用,會大幅增加駭客入侵的機率,假如你是一位專業人士,徐千洋說,那你可能需要擁有不止一部手機,一部代表你真實的身分,是處理人際關係的媒介,有照片和聯絡人等個人隱私的資料庫;一部負責休閒娛樂,用來下載各式遊戲軟體等等;一部是掌控股市操作的手機;如果有使用網路銀行,則還需要一部手機負責管理網銀的交易等使用。把集中在一部手機裡需要運用的各種功能,分散到不同的手機上,讓每部手機有不同用途,能夠大幅降低遭受駭客入侵的風險。

(五)不要下載來路不明的防毒軟體

只要啟用了電腦就必須裝載防毒軟體,例如使用Windows 系統就只要下載Windows 內建的防毒軟體Windows Defender即可,如果只是供個人使用的電腦,就不需要追求更高強度的防毒軟體,或是看見廣告詞寫得精彩又免費的防毒軟體就下載來使用,這些防毒軟體有很大的機率其本身就是病毒,或者將會夾帶或製造被駭的風險。

(六)網路環境複雜度

公司指派在家工作的員工,其電腦大多會受公司支配好特定的vpn及工作所須之軟體(vpn是指無線網路的通道),在家工作者若到其他地方使用電腦,像是咖啡廳等場所,網路環境很複雜,而在此時使用電腦就容易不是通過公司支配的vpn去連結網頁,於是增加遭受駭客入侵的風險。

(七)瀏覽器要定時更新

我們常常打開電腦第一步驟就是點開瀏覽器,瀏覽器自然而然成為個人與外界最輕而易舉的連結,個人透過可以看見整個網際網路的世界,相對的,駭客也能夠藉由網際網路侵略近每一個人的電腦裡,所以必須定時更新瀏覽器才能保護個人電腦的安全,降低被駭風險。

監視錄影器是誰在看?

監視器真的都是保全在看嗎?其實在現代有很多監視器會與網路結合,也就是所謂「物聯網」,連結了網路的影像,經常會被送到雲端去做分析,中間都會設有中央的服務器用以串連起一系列的動作。有很多家庭會在家中裝設監視錄影器,不單只是看小偷等閒雜人等的出沒,也有為了要看小孩或看寵物等溫馨的理由,中間負責交換畫面影像的伺服器,一旦被駭客入侵,便立即被掌握了每一秒鐘的監視錄影畫面。至於駭客入侵伺服器的難易程度,其實是很容易的,他們只要知道監視器的型號,並破解密碼,就可以入侵了,所以監視器管理者也不要貪圖方便就使用預設密碼,還是修改密碼對自身網路安全較有保障,多一道程序也能多一道防線。

由於台灣的資安人員極度缺乏,教育部當前也創設了資安人員培育計畫,串連了全台灣各大專院校,讓學員們得以共享各校資源互通有無,也時常邀請業界的資深專業人士提供更完善的培育訓練,不僅在校生可以透過申請高教深耕計畫取得經費等資源,任何科系畢業的社會人士,也都能夠參加教育部創辦的資安人員培育計畫,希望每一人對於與日常生活息息相關的網路安全,都有更深入的關注與探討。

 

(文:呂千析。本文整理自李大華主持的「趨勢領航主題曲」節目內容,每週四08:00-09:00播出)

我要分享: