問:近日有不少微軟Outlook服務的用戶發現,他們的帳戶被來自微軟的IP意圖登入,二部認證都未能有效阻止入侵,令不少Outlook用戶感到十分不安,究竟是怎樣的一回事?
李建軍:一般電郵系統在設計時,都會預設同公司的IP一切操作是安全,這方便開發人員或管理人員對系統作出維護。但這種做法有個前提,就是沒有公司以外人員操縱,或有造成不安全的主機。但微軟自進軍雲端服務以來,並無將其租給第三者的同公司主機,劃出安全可信任主機範圍外,很明顯有黑客看到微軟這個管理漏洞,租用微軟主機並且開始研究如何入侵Outlook的系統。因此,用戶便不斷見到有來自微軟的IP意圖登入,就算啟動了二步認證都無法阻止意圖入侵的惡意操作。在其他有做開雲端服務的公司,例如亞馬遜的AWS,就不多可能發生這一類的錯誤。
問:那Outlook用戶又如何做好資訊安全防護,保障自己的帳戶?
李建軍:其實Outlook用家現時可以做的,就是設定安全的二步認證,並無其他方法,只要二步認證設定好,黑客其實很難突破微軟的保安。只不過是,對已設定二步認證的聽眾,這些來自微軟IP主機進行的來意不善操作,仍然是相當令人困擾的一件事。而未設定二步認證的聽眾,就要儘快作出設定。
雖然微軟可以透過相關的IP,查出有可能發動攻擊的主機擁有人,但有可能作出攻擊的主機,本身也被黑客入侵,因此,微軟不一定查得出入侵者的真實身份。而資料一旦被偷,亦可能對你的安全構成威脅。
問:谷歌同樣有提供雲端主機服務,為何又不會有這個問題?
李建軍:谷歌在進軍雲端主機服務前,有相當豐富提供用戶產生內容的管理經驗,很早將雲端用戶的主機,以及用作提供用戶產生內容的主機推入另一個IP群,而且不使用谷歌的域名,因此,谷歌的保安系統很容易就知道那些主機只是谷歌的客戶操作,並不會視之公司內部的IP。而微軟在管理上就出現相當大的失誤,在進軍雲端服務前,並無對安全防護作出仔細規劃,因此被部分有心的黑客有機可乘。如果微軟想解決這次攻擊所造成的問題,有可能都要採取谷歌同類策略,將客戶租用的IP視作微軟以外IP來處理。
問:從今次事件可見,現時的雲端電郵服務,都不是百分百安全?
李建軍:其實任何電腦系統都會有漏洞,包括雲端系統,只不過相對起由用家自己設立電郵主機,大公司擁有更多保安專家和資源去維護系統安全,因此,雲端電郵服務仍然比起用家自己租主機維持電郵服務來得安全,亦大大節省成本和時間。除了租用主機費用比較貴外,每日要花在管理和保安上的心神,都是一種成本,因此,大部分人選擇使用雲端電郵服務,仍然有其道理。
只不過,亦不能夠將電郵帳戶的保安,百分百托付於雲端服務供應商,除了要做好二步認證之外,對於一些高度敏感的電郵內容,採用PGP一類的加密仍然是需要,至少一旦雲端系統有甚麼保安意外,一些相對敏感的內容仍然只能收件人和發件人可以看到,大大減少了有可能造成的危險。
在中國這類國家使用互聯網,如果仍然使用電郵的話,對電郵內容作出加密幾乎是必要,否則有可能使用點對點的即時信息服務,例如Signal有可能更為安全,因為Signal幾乎是全程作出加密,但一樣可以傳送相當大容量的附件,功能其實不見得比電郵來得差。