警局筆錄外洩 凸顯P2P軟體威脅

留下回應

分享

    

據媒體報導，國內若干警分局因員警違反資安規範，私下在警局公用電腦上安裝「Foxy」等點對點(P2P)檔案分享軟體，意外將案情筆錄等機密資料一併「分享」出去，使得相同軟體使用者可以透過搜尋檔名的方式，找到並下載筆錄等資料，造成資料外洩。

P2P(Peer to Peer)軟體是一種藉由點對點連線來分享、交流檔案的軟體。使用者可以搜尋到其他使用者分享的檔案，並藉由該軟體建立的點對點連線上傳、下載檔案。早期P2P多半以分享影音類檔案，如mp3等為主，但近期流行的P2P軟體如eMule及Foxy、BT等，可分享或下載的檔案類型不再限於影音檔(例如文件、壓縮檔、執行檔等)，也因此較過去有更多安全疑慮。

「從個人履歷、企業資料，乃至此次發生的警方筆錄，都已在輕忽中外洩，」CA（組合國際）技術顧問林宏嘉便說，警方筆錄外洩僅是冰山一角，許多企業內或個人的機密資訊，都已藉由P2P軟體洩漏，「絕對不是只有警方受影響，」他說。

儘管刑事局不願說明此一事件詳情，但該局科技犯罪防治中心數位證據組組長蘇清偉表示，不當使用P2P軟體，的確會造成資料外洩，甚至招致惡意程式進門。他解釋道，一般P2P軟體如Foxy、eMule等，都有提供分享資料夾設定的功能，使用者應該把不願分享的檔案移出分享資料夾；此外，對於下載所得的軟體也要留意是否為偽裝的假檔案，搭配防毒軟體掃瞄，以避免感染惡意程式，他說。

除了使用習慣的問題，使用者或許也應留意P2P軟體的選擇。以此次引發爭議的Foxy來說，由於採中文化介面且為本土廠商設計研發，蘇清偉表示，的確比較容易吸引本地使用者。然而，在網路上的P2P討論區，卻早有不少人在探討特定軟體的安全性可能不足等問題。

事實上，早在此事件爆發前，便已有網友在BBS站PTT上，討論可能透過Foxy搜尋並下載到公家機關機密檔案。

「使用者也要留意P2P軟體的取得方式，」CA（組合國際）技術顧問林宏嘉表示，在釣魚手法複雜化的趨勢下，駭客甚至可能竄改部分熱門軟體並誘人下載，因此他建議使用者不要執行來路不明的P2P軟體。

「P2P的本質便是分享，」林宏嘉說，這使P2P軟體在本質上就有資料外洩的風險存在，「等於是開了門讓人進來，」他認為，在方便之餘，研發或提供P2P軟體下載的業者，應盡到告知義務，在宣傳交換檔案的方便性之餘，也應提醒P2P可能隱藏的安全問題，並告知使用者該如何安全使用。

在旗下Toget網站提供檔案下載服務的PChome便透過公關主任葉志昱表示，該公司僅是提供軟體業者一個讓廣大使用者試用、分享軟體的平台，雖然Toget有提供P2P軟體下載服務，但他認為可能的安全風險應由軟體研發商來告知比較適合。但他亦強調，PChome向來都會提醒使用者留意使用網路的安全風險，未來也會持續。

資安政策落實成重點

從日前的軍機外洩，到本次P2P外洩事件，資安專家認為顯示了一個相同且嚴重的問題：資安政策並未落實在員工實質的行為上。

賽門鐵克亞太區首席資安技術顧問林育民便說，軍警內部其實都有資安政策，但兩個事件顯露出的便是政策未被好好執行。CheckPoint技術顧問陳建宏也說，光有政策要人去遵循，不如搭配政策執行工具，「才能真正有效管理，」他說。

多位資安專家都指出，企業應確實做好端點防護，藉由政策執行機制，才能避免類似情況重演。陳建宏引用調查資料說，有80%的資料外洩來自於筆記型電腦遺失，或是不正當的檔案存取行為（例如USB隨身碟），真正藉由入侵導致的資料外洩，「不過20%，」他解釋道，不論員工是忽略或故意，企業都得蒙受損失，因此必須藉由科技來執行資安政策。

「企業普遍採用的閘道端防護並不足夠，」林育民表示，除了防火牆、入侵偵測等閘道端安全裝置，用戶(Client)端的安全更應注重，如可用來阻隔P2P傳輸的個人防火牆、個人入侵偵測系統等，都成為威脅日增下企業應增加的配備。

而林宏嘉則認為，企業主對包括Skype等桌面軟體管理觀念的淡薄，才是最近安全事件連環爆的最根本原因。他引用自身與國內公私部門的互動經驗為例指出，「國內資訊部門主管往往以為這類軟體不過是下載的工具而已，渾然不知放縱員工下載到公司PC可能已引狼入室。」

他指出，一旦「配合」其他疏失，像是欠缺文件控管、定期軟體修補程式更新，以及行為鑑識的安全策略，結果就是PC被有心人士入侵，如入無人之境。而「存有民眾身分資料甚至國家機密的政府單位，一旦發生洩密案，後果將更不堪設想，」他補充。

林宏嘉並指出，在資訊安全上，自由與管理間的抉擇並不太難，「因為如果要求使用自由而導致重大損失，則自由的代價也不免太大了點。」他說。