問:微軟文書處理軟件Word在日常被廣泛使用,但最近發現一個新漏洞,而且已經有一個針對藏人的中國黑客集團成功利用相關漏洞進行攻擊。據說這個保安漏洞與巨集功能或VBA功能都無關,不能透過關閉巨集或VBA來解決。請問這是怎樣一個漏洞?作為一般用戶又可以怎樣防止?
李建軍:這個漏洞與以往攻擊Word漏洞理念完全不同。以往一般是透過在Word執行巨集或VBA時,呼叫一些系統程式,藉此達到入侵目的。這是全世界大部分透過Word或Excel執行的木馬或病毒的原理。
但今次這個由有中國背景保安專家發現的漏洞完全另一回事,它採用的攻擊手法是透過微軟診斷支援工具的鏈結,去達致攻擊的目的。換言之,要對付這個漏洞帶來的安全隱患,用戶除了利用微軟提供的程式,關閉微軟診斷支援工具之外便別無他法。中國黑客看透了微軟診斷支援工具的保安弱點,所以日後再有透過類似原理運作的病毒被用於其他微軟程式上執行,亦不出奇。
問:在這個階段,除了安裝微軟針對診斷支援工具的修補軟件,還有甚麼方法可避免受到這個病毒襲擊?
李建軍:最基本常識,當然是不要亂開來歷不明的檔案,中國的黑客經常以傳播一些反共信息為名,檔案夾帶病毒,這種手法多年不變。所以不要開來歷不明附件,仍然是最基本的原則。
但即使是從可靠途徑收到的Word檔案,也可以選擇用Google Doc、或開放源碼的辦公室軟件開啟,因為在這些軟件上既能閱讀檔案內容,同時由於無法執行與微軟診斷支援工具相關的部分,這樣就能避免不小心開啟了針對該工具的病毒。另外,在蘋果作業系統上的Word亦是相對安全,因為微軟診斷支援工具,是微軟Windows作業系統一部分,與蘋果的作業系統無關。
所以,在這段時間,如果文件不涉及十分重大的格式問題,亦不涉要修改當中內容的話,使用Google Doc或開放源碼的辦公室軟件,其實會更加安全可靠。
問:其實為何微軟的軟件以至作業系統會一而再,再而三成為被中國黑客利用的入侵對象?
李建軍:首先,微軟作業系統Windows以及辦公室軟件Office在中國佔有率十分之大﹐而由於Google在中國大陸被禁,使用就要靠翻牆,因此並非人人可以用到Google Doc一類服務,所以中國當局以Windows為目標是相當理所當然。
另一方面,微軟早在2003年,已經讓中國政府包括公安部在內多個部門查看微軟作業系統源代碼,這個做法也是有相當大的問題,無形中等於將解鎖的鑰匙交到對方手上。過往中國政府為顧全中美關係,並未敢利用他們對微軟源代碼的研究成果胡作非為,只不過如今中國搞的是戰狼外交,當中國政府變成戰狼的時候,他們便不再顧及一些國際上的慣例。中國當局濫用他們可以審視微軟源代碼的獨有優勢,利用從源代碼探測得到的保安漏洞進行攻擊。因此,某程度上,在中國使用微軟的軟件並非百分百安全,因為中國當局對Windows以至微軟辦公室軟件的弱點,其實有相當的研究和了解,而這次攻擊,亦反映了中國政府在這方面的實力。
問:有越來越多公司利用雲端系統修改和傳閱文件檔案,這樣做雖然很方便,但會不會有甚麼安全顧慮?
李建軍:雲端系統一般在設計上不會讓文件內部的代碼越過瀏覽器行事,再加上不會因突然斷絕連接令編輯的成果消失,因此安全程度本身已經比直接在電腦上編輯檔案為高,而雲端系統另一好處在於,正正因為檔案不在電腦上,因此木馬要偷竊檔案的難度大增。除非雲端系統公司被黑客大規模入侵,或者相關公司與中國當局合作,讓中國當局堂而皇之進入系統偷檔案,那就另作別論。因此,考慮用哪一間公司的辦公室雲端系統更安全,將會是不少人都要思考的課題。從上述微軟讓中國政府查看源代碼所產生的惡果可見,大公司與中國當局合作,本身是另一個很嚴重的保安問題。