問:網絡保安公司FireEye的紅隊測試工具 洩漏事件,風波越鬧越大,連微軟(Microsoft)的源代碼都被黑客看過,有可能影響到全球Windows用戶安全。 微軟聲稱他們的內源做法(inner source approach),不會影響Windows的安全,但是否真的如此?
李建軍:微源聲稱的內源做法,就是假設微軟的Windows已經是開放源碼軟件(open source software),不單Windows或其他軟件的開發程序,是模仿開放源碼定立的規範和做法,在保安設計上,亦假設了源碼已被公開,意圖做法就算源碼公開了,都不怕黑客找到漏洞去入侵。
但微軟的做法,其實與真正的開放源碼仍然有所分別。開放源碼群體正因為源碼公開,所以一直有白帽黑客,去找尋源碼中的漏洞,並且及時通知開放源碼群體,甚至有些高手會直接提供源碼修改方案,將漏洞有效堵塞,而堵塞漏洞的方法,亦經過群體內不同成員加以討論和驗證,這亦是用開放源碼方式開發的Linux和Mac OS核心相對安全的地方。微軟內部,並不一定有技藝高強的白帽黑客。因此,這次工具洩漏事件,其實會對Windows,以至其他微軟皇牌軟件的保安,包括微軟辦公室套裝軟件的安全,構成實質威脅。用戶如果發現有任何異常問題,都要提高警覺,並加以防範。
問:剛才提及FireEye紅隊測試工具,其實是甚麼?為何紅隊測試工具洩漏,會令美國政府,甚至連微軟一類頂級大公司,都出現大規模資訊洩漏的問題,甚至影響微軟公司軟件源代碼的安全?
李建軍:紅隊測試工具的做法,源於美軍軍事演習,會安排一批特定部隊扮演俄軍,或解放軍一類假想敵,模擬敵人的戰略作出攻擊,測試原有美軍戰略能否應付敵方的攻擊,而假想敵由於都是共產主義集團國家,所以一般叫紅隊。而網絡保安公司,採納類似做法,他們研究所得,又未公開的漏洞,會寫成演習工具,以供模擬保安公司軟件能否有效抵禦黑客攻擊之用。
只不過,由於保安公司可以接觸到一些平常黑客難以接觸的資訊,例如一些由其他網絡保安系統提供的設計缺陷資料,或相關的源代碼,有一些軟件上的漏洞,可能未被黑客用逆向工程手段所發現,而這些紅隊測試工具一旦落入黑客手上,就會變成十分之可怕的工具,後果相當嚴重。這次FireEye的疏忽,正正造成了網絡史上前所未有的大災難。相信,由這次工具洩漏所衍生的問題將會需要相當長的時間才能解決。如果有一些突然而來的資料洩漏事件,而被洩漏資料的來源來自銀行或政府機構的話,這完全不令人感到意外,而一般用戶,亦沒有辦法去防範這類事件發生的。因為這次災難的源頭,正正是本來要捍衛網民資訊安全的公司,這是十分之不幸的事來的。
問:這次受影響的網絡軟件和硬件,都已經大致修妥,堵塞漏洞,但代不代表,FireEye洩漏紅隊測試工具的影響,到此告一段落,黑客以至中國當局,並不會因為這次事件從中取利?
李建軍:不見得,正如英特爾(Intel)處理器的漏洞,由於出自系統設計的總體問題,有軟件解決漏洞,但未有做到百分百解決,仍然有黑客可以突破修補漏洞軟件的防衛,利用原有漏洞繼續胡作非為。同樣,除非受影響公司改變整個保安系統的設計架構,否則未來仍然有黑客或者政府資助的人,突然修補軟件,偷竊他們想要的資料,這亦是為甚麼軟件修補套件公布以來,仍然陸續有公司或組織傳出有嚴重資料洩漏事故。因此,遇上任何不正常情況,都要提高警惕,例如有一些不應該有你申請簽證資料的官員,居然有你申請簽證的資料,那你應該意識到這可能與FireEye紅隊軟件洩漏有關。