Pages

Nov 15, 2008

社交網絡有多安全? (How Secure are Social Networking Websites?)

How Secure are Social Networking Websites?
梁兆昌
(載於 PC3 Corporate 2008年10月號)

互聯網技術的新趨勢 Web 2.0,是講求網絡使用者之間的互動。而Web 2.0眾多服務當中,尤其以社交網絡網站(Social Networking Site, 或SNS)帶領了浪潮。根據Alexa.com 網站的調查,十大最受歡迎網站中,SNS網站已佔了四個。至於在香港較流行的,則非Facebook莫屬;無論是企業的行政總裁,又或者是公司的小職員,也可能是FB的使用者。可見,今天的互聯網已從傳統的純以資訊為本的網絡,發展為可建立和維繫友儕社交關係的人際為本的網絡。


他山之(私)隱 可創商機

SNS的熱潮,造就了新一個網絡商機,這個商業模式的成功是建基於用戶群的數量,SNS抓緊人的本性中的「追求自我」和「與人溝通」這兩個本能,這些SNS的設計,就設法讓使用者能夠表達自己獨有的、個性化的一面,猶如踏進別人睡房的私人空間,參觀他的擺設、品味,瀏覽他的私人照片,甚或他的日記。SNS又讓使用者能與朋友無分國界、時區,彼此緊密連繫、互相學習,在互動中創造出新的文化,故此SNS使用者較少拒絕交友請求,讓SNS如潮水般湧進不同的使用者的生活中。最近,一些擁有龐大的用戶群的SNS網站,紛紛獲傳統大企業的青睞,入股注資,分一杯羹。

一些SNS系統,例如Facebook更開放應用程式介面(API),讓不同的軟件開發商和個人參與應用的創作,讓用戶可以隨意安裝自己喜愛的應用程式,既增加其對用戶的吸引力,也為軟件開發商以至用電子商貿作產品服務推廣的企業創造發揮和宣傳機會。此外,由於各SNS互不兼容,又再創造出無數新的商機,不少SNS整合工具 (aggregators)應運而生,為活躍於不同SNS用戶提供方便。


關注SNS的保安問題

然而,一張刀子是沒有兩邊利的 – 要參與這些好玩有趣的SNS,用戶先要乖乖奉上他們的個人資料和私隱。個人履歷和資訊,如姓名、照片、生日、學校、身在的城市、所屬的公司、組織、參加過的活動,以至性傾向和婚姻狀況等私隱,會毫無遮掩地和「朋友」分享,曾經有不法分子利用FB上得到的用戶個人資料進行詐騙。此外,Facebook有眾多類別的應用程式,例如游戲、交談、照片和其他可愛的小玩意等,卻獨欠缺資料保安和私隱的應用程式。Zombies、Vampire和 Hot potatoes是其中幾個較多用戶使用的應用程式,雖然名字看似電腦病毒,其實都是被扣上了人性的Facebook交友工具:被咬者會咬其他人,又或反咬;接到熱薯仔的又會急不及待的交往下一個「傻仔」的手;至於浪漫的點子,就是被擁抱的會擁抱其他人。就這樣,不同的得意有趣的應用就像是電腦病毒般狂野地擴散開去。不過,沒有人會留意到個人資料可能毫無保留地送到應用發展商的手中,宣揚出去。現在是時候數一數自己有多少個交友工具了。



SNS私隱危機越揭越多

以Facebook的應用程式為例,它的特別之處是跨網點應用(Cross site application),即應用程式可以在應用發展商的伺服器運行,但在資料輸出方面,卻在FB用戶的網頁上顯示。在Facebook平台下,使用者對應用程式的保安控制的模式,並不如一般運作系統可以設有防火牆、防毒軟件、私隱保護軟件等防禦工具,而只是當使用者在初始設定應用軟件時,回答幾個簡單的是非題。因此,儘管SNS設有數據存取控制機制,但由於沒有細緻的分級,加上幾乎所有應用程式均要求存取使用者個人資料,使用者可說是無從選擇下開放存取控制。使用者對應用發展商如何貯存和使用他的個人資料,更是無能為力。

五萬名Facebook用戶聯名抗議Facebook的Beacon 廣告系統洩漏用戶資料,事件逼使Facebook CEO向媒體道歉,承認用戶除非事先拒絶,否則無論當使用者登入還是已登出Facebook網站,Beacon系統也會追踪Facebook用戶瀏覽網站和網上購物的紀錄,並把資料自動傳送至Facebook的系統,再向使用者的朋友發出「通報 」。現時電子商貿盛行,不少企業管理人員都會透過互聯網搜集商業資訊和為公司採購物料,要是當中有Facebook的使用者,但他們的紀錄卻因Facebook輾轉外洩予第三者,後果真的不堪設想了。


遵守SNS的最佳保安守則

沒有人希望自己的個人資料在毫無保障的情況下被公諸於世。畢竟個人資料和私隱本身也是個人資產,若這些寶貴的資料甚式個人身份被他人竊取或盜用,後果實在非同小可。因此,SNS用戶必須先了解SNS服務網站和應用程式的運作和存取模式,才能保障自已個人資料的安全。

網絡上數以萬計的Facebook用戶,當中又有多少注意到此類服務可有損私隱?為了喚起網民、企業管理層、政策制訂者、SNS服務提供者對SNS保安的關注,歐洲網絡及資訊保安組織European Network and Information Security Agency (ENISA) 於十月推出一份關於SNS保安問題和建議的諮詢文件,探討包括第三方可下載和貯存網上SNS 使用者資料、SNS上濫發訊息、面孔(影像)辨析和照片標籤(摩登點相)等各類型SNS服務和應用程式所潛在的資訊保安問題,並提出一系列技術和政策建議。

該組織提出的分析和建議極具參考價值,但要政策制訂者又或SNS服務提供者採納和落實,相信不是一朝一夕可以辦到的事。因此,SNS使用者還是加倍注意自己使用SNS的習慣,以及遵守使用SNS的最佳保安守則 (見附表),才能在保障私隱的大前題下,玩得開心和稱心!




使用SNS的最佳保安守則
  • 使用安全密碼防止帳戶被盜用
  • 上傳生活照片、影像時,要留意其他人(包括陌生人)也可能看見
  • 不要發放敏感的資料 (No Disclosure)
  • 不要隨便安裝應用軟件 (Malware avoidance)
  • 調校你的FB私隱存取設定 (Access Control)
    1. 控制誰可以觀看你的履曆
    2. 決定誰人可搜查得到你
    3. 控制發布你的活動資料的內容(News feed and mini-feed)
    4. 控制和你的有交往的人的情報交換
    5. 控制那些應用程式可以存取
    6. 和你的有交往的情報交換

1 comment:

scleung 梁兆昌 said...

HKCERT 2009年1月資訊保安報內,我的同事就SNS寫了一篇不錯的文章:

http://www.hkcert.org/chinese/nan/home.html?newsletter&newsletter0103.pdf