Torpark：企業的安全死角

| | | | | | 留下回應

    

隱形斗篷或是國王的新衣？

要問你是否安全，得先回答二個問題：這些中介站台是安全無慮的嗎？再者從這些 中介站台前往真正你所要存取的目標網站間通訊是加密的嗎？至少目前為止，答案都是否定的。設計者明白表示了，現行的技術並未涵蓋這些中介站台與真實要存取的網站之間的任何加密，而這些遍佈各地的中介站台安全性也未經證實！更甚者，只要透過適當的技術處理與管道取得中介站台的軟體安裝後，你同樣可以成為這些中介站台的一員；這也更難以確保中介站台的安全可信賴性了。

試問這種程度的「隱形」是否真的達成了它被賦予的任務？可能只達成了部份。對於有上網限制（比如像是被限制存取台灣媒體網站的大陸網友，或是被Google過濾掉有「法輪功」字眼的網站等）亦或是想要存取特殊聊天室與站台的使用者來說，這不失為是個存取的好管道，但絕對不是適合用來傳輸內含個人隱私的資料，因為資料外洩的可能性仍然存在也更無法釐清責任、受到保障。

再者，這種隱藏IP位址與不用安裝以企圖規避各種防禦與鑑識機制的工具，是否絕對無法可治？其實，即使是軍武強國如美國的匿蹤飛機也仍然有人發展出多種反制之道以克服偵測上的問題，不然怎麼會發生實戰中仍被敵人發現蹤跡甚至墜毀的狀況；同樣的，「匿蹤瀏覽器」也仍然有許多特徵可供鑑識與分析，使罪犯現蹤。所以你得自問，你穿著是真的隱形披風，抑或只是國王的新衣？

天堂之窗還是地獄之門？

事實上，筆者認為，「隱形瀏覽器」的問題不只出在技術層面安不安全、或是反而傷害到使用者個人，還在於，它如果用於企業內部，可能會對IT安全管理形成極大挑戰。

此類小巧的工具其實並非只有一種，根據分析網路上大約有五、六種，功能與效用各有不同；但它們同樣會因為用在哪裡、以及如何管理，而造成將對企業資訊安全產生的衝擊。

筆者一開始接觸這樣的工具時，可以想見主張言論自由者或是開放論者對於這樣的發展會有多興奮；畢竟「隱形瀏覽器」讓使用者得以隱藏了自己的行蹤，免除被監看、被追蹤的可能。然而數秒後，小時讀過的一句傑弗遜名言浮現在腦中，他說：「自由之樹，必須經常用愛國志士和暴君的鮮血來澆灌。」這句話被後人解讀到最基進的意義是，為成就自由之名，什麼都可以賠進去。自由的言論固然珍貴，但或許獲益者反而不是珍惜言論自由與潔身自愛的人士，或許這樣的工具可能提供了破壞者一個更為便利的管道與工具。

想想當初漏洞攻擊是駭客們一個一個的進行測試與實現，演變到後來有人將之便利化把眾多的弱點收集起來，變成連小孩都可以使用的工具，才導致現今網路攻擊行為橫流。

現在歷史可能重演。「隱形瀏覽器」讓使用者輕而易舉穿越層層架起的封鎖線，以往對於網址的封鎖、違法的瀏覽器使用記錄將不復存在，以現今以IP位址為防禦依據的安全技術來說，管理人員對違法或是惡意存取者的防禦更加困難，尤其愈來愈多企業內部的應用程式逐漸轉化為Web-Based時，這樣的發展將引人關注。而對於企業提供的網路服務也有相當深遠致命的影響，因為沒有了IP位址，存取網頁與點閱率的行為將無從分析起。此類瀏覽器會不會將是另一個安全管理上的麻煩製造者，答案似乎呼之欲出。

「隱形瀏覽器」這樣的發明到底是天堂之窗抑或是地獄之門？目前沒有答案沒有定論，爭議性的討論也將一直延續。它並非絕對無法可管、無蹤可查，就技術性而言也並非絕對隱形無虞，犯罪者依然可以現形；但是它對於現今以IP位址為基礎的防禦機制之衝擊已無庸置疑，不啻是IT經理一大挑戰。