問:近年市面有不少聲稱有加密功能的外置硬盤,這些硬盤宣稱做到硬體AES標準加密,但最近有電腦保安專家發現,所謂有保密功能的外置硬盤,加密功能完全不堪一擊,一旦資料落入公安手中,很容易就會被破解,這到底是怎樣一回事?
李建軍:有保安專家針對美國一個大品牌的加密外置硬盤進行保安測試,測試發現不同型號的加密硬盤,就算用了不同的硬件加密晶片都好,由於這些晶片設計上有保安漏洞,只震暴力破解密碼、查表等手段攻擊,就可以破解這些所謂加密功能。
由於這個美國大品牌所用的晶片,其他主要品牌都有用同類甚至同款晶片,因此,這幾乎肯定市面上為數不少的聲稱有加密功能外置硬盤,其實有保安漏洞,並不能夠真正保護消費者的資料安全。
問:在外置硬盤的加密功能不完整的情況下,要怎樣做,才能夠確保自己的資料百分百安全,就算落入公安或國保人員手中,都難以洩漏當中的資料?
李建軍:要真正安全加密,並不能夠只靠外置硬盤或USB手指本身的加密,硬件加密功能,可以作為輔助之用,提高解密的難度,但純粹只靠外置硬盤或USB手指的硬件加密,由於晶片的漏洞,這是太危險的做法。
新一代作業系統普遍提供磁碟加密功能,無論Windows還是Mac,都提供合符AES標準的磁碟加密。可以將資料存在經Windows或Mac磁碟加密功能加密的影像檔,再將有關磁碟影像檔存放於硬件加密的外置硬盤或USB手指上,在雙重加密的情況下,大大加大了破解的難度。不過要注意的是,如果你用AES 192或256位元的加密,讀寫速度會比較慢,你可能需要多一些耐性存取檔案,或者考慮升級電腦,令電腦加密和解密資料的速度加快,從而提升讀寫效率。
問:最近蘋果軟件商店,大規模將不少中國公司推出的軟件下架,而大部分都與侵犯私隱有關。這次又有什麼新招數,可以令黑客或個別中國公司,可以迴避蘋果公司的審查,偷取客戶私隱有關的各類資料?
李建軍:這次中國的廣告商有米,向手機應用程式開發商提供的軟件開發套件中,包括會偷竊個人私隱,甚至取用藍芽、相機等功能的程式碼,這些程式碼是蘋果的合約中明文禁止出現,有電腦保安公司發現問題後,蘋果就將所有含有有米提供程式碼的應用程式全部下架,在有關程式刪除了有米提供的程式碼後,才會再度上架。
這次事件,連同上次XCodeGhost事件可以看到,中國的應用程式開發群組所用的工具其實很有問題,可謂千瘡百孔,就算避到了XCodeGhost,都可能避不過其他大型廣告商向開發人員提供的違例,甚至嚴重侵犯私隱的程式碼。因此,同類的大規模下架事件,日後可能會繼續發生,嚴重影響用戶的生活。
要避免自己成為中國公司甚至政府的私隱侵犯程式受害者,在蘋果App Store上由中國公司或程式開發人員開發的程式,在蘋果未清查所有侵犯私隱問題前,應該暫停使用,甚至儘早刪除,由其他國家開發商開發,具有中文介面的同類程式取代。
雖然谷歌未有對Google Play程式商店的程式進行大規模保安清查,但眾所周知,Android的程式售賣監管比蘋果寬鬆得多,換言之問題很可能更嚴重,在Android手機,就更加要避免使用由中國公司或個人開發的軟件。
0:00 / 0:00