當你聽到加密 ( Encryption) 這名詞時,首先浮上腦海的或許是這是技術人員或電腦狂才會了解或使用的東西。但實際上加密並不難懂。加密是種用來將資料加以編碼的數學演算法,只有預期的對象可以加以讀取。雖然聽起來簡單,但是數學及額外的步驟對初學者來說可能還是很繁瑣。不過在你決定關掉它並尋找其他方式來保護你的網路通訊前,有幾個例子可以讓你相信加密是保護隱私最好的方法之一,有些你甚至不知道它有發揮效用。
電話、電子郵件、網路購物、社群媒體和一般的網頁瀏覽都已經是我們日常生活不可缺少的線上活動。雖然我們一直在網路上尋找或分享資訊,但我們的資料基本上都儲存在某些地方。大多數人不知道「某些地方」是哪裡,這些資料只有給幫你建立對話的服務廠商。但傳送你網路封包的電信業者也可能看到,你所謂私人和安全的通訊可能會被攔截。有許多案例都證明使用者和公司資料越來越被駭客和網路犯罪份子所覬覦,造成資料外洩和針對性攻擊。光是這原因就該足以警示那些還沒有想要用加密來保護他們通訊的人。
趨勢科技自從在2013年底注意到加密勒索軟體家族以來,就持續地監控其修改及演進的過程。雖然加密勒索軟體在威脅環境中相對較「新」,但已經將自己打造成對無辜使用者的巨大威脅。加密勒索軟體就是類似Cryptolocker這樣會去透過檔案加密功能來強化的勒索軟體。
趨勢科技發現這兩個變種持續進化的加密勒索軟體。
CoinVault 勒索軟體讓受害者可免費解密一個檔案
CoinVault(或稱TROJ_CRYPTCOIN.AK)勒索軟體從其他變種脫穎而出是因為它提供使用者一個少見的機會:解救一個加密檔案的機會。這惡意軟體經由從惡意網站或受感染隨身碟來自動下載以進入系統。一旦存在系統內,CoinVault能夠收集資訊,連到特定網站,並且加密檔案。
加密受感染系統的檔案後,CoinVault會秀出一段訊息來告訴使用者可以選擇免費解密一個檔案。
圖1、CoinVault在受感染系統中秀出的影像
圖2、(左):TROJ_CRYPTCOIN.AK(或CoinVault)勒贖訊息,(右)TROJ_CRITOLOCK.A勒贖訊息 繼續閱讀
在過去幾個禮拜,PGP 作為使用者電子郵件加密方法的效果成為備受爭議的話題。最新一波來自約翰霍普金斯大學的密碼學教授Matthew Green,他對 PGP 的批評主要在於金鑰管理的缺陷和缺乏遠期安全(Forward Secrecy)。
對於這整個產業來說,做好加密是非常重要的。這是在21世紀確保網路生活安全的根本。PGP 在多年來都是防護電子郵件安全的重要組成部分,因此,如果是因為它被破解而需要修正的建議是必須被認真看待。
但 PGP 本身的加密功能被認為還是健全的,雖然它一直被視為不方便使用。不過它從未真正被認為是提供給一般使用者。一直都是有技術能力的使用者才會去依賴於PGP。這些使用者有能力去使用 PGP 客戶端,儘管它們不夠精良。
現在,事情改變了;可以想像人們可能有興趣去使用PGP,但不具備足夠的技術能力去使用現有的客戶端。這些使用者需要的是「點了就用」的軟體。在「安全」和「易用」之間有個不容易消彌的根本鴻溝。
PGP 有個的確值得批評的地方是它管理金鑰的方式。簡單來說,PGP 將管理金鑰的所有負擔都放在使用者身上。其他加密解決方案(如SSL/TLS)則恰恰相反,這些過程基本上對於最終使用者來說是不可見的。 繼續閱讀
在過去的一年裡,加密一直是個熱門話題,因為個人和企業越來越意識到監視活動的增加,還有像CryptoLocker勒索軟體這樣顛覆性的惡意軟體,讓加密變成一種破壞行為而非保護功能。在這期間,網路公司(如雅虎)終於開始預設提供SSL和HTTPS給所有的使用者,以確保通訊安全和更好的資料隱私。
不過加密並非廣泛地被使用,雲端儲存服務是最明顯的例子。Dropbox和SugarSync等產品已經在消費者心中具有相當大的佔有率,它們的普及率也開始滲透進企業,有越來越多企業開始熱衷於將簡單的檔案分享功能整合進IT運作。但這些最初設計給消費者的服務是否具備有足夠的安全性呢?
一個包含了第三方附加程式和替代方案的生態系統已經如雨後春筍般地湧現,好幫組織消除安全上的疑慮。比方說,Boxcryptor和Cloudfogger可以在本地端檔案上傳前先加以加密,而來自服務供應商(像Egnyte)所提供的企業級解決方案可以讓企業無縫地結合本地和遠端代管檔案管理。換句話說,企業檔案分享和雲端儲存持續進行著領土爭奪戰,而加密和安全機制成為了產品差異化的關鍵。為什麼會變成這樣呢?
雖然並不乏有廠商提供檔案加密功能,但Dropbox和類似服務迄今都沒有預設提供類似功能,成為雲端服務市場內一個顯著的弱點,不管有多少第三方補救措施出現。最近Dropbox的伺服器突發事件凸顯出確保雲端資料安全的高難度 – 雖然該事故短暫且相對無害,也讓人省思如果發生了惡意資料外洩事件,數以百萬未受保護的檔案會發生什麼事。
Dropbox突發事件可能讓加密變成預設
有些雲端儲存服務已經開始實施加密,也許是為了反應像美國國家安全局的監視計劃。Google Cloud Storage,該公司提供給開發者和企業運作在雲端的平台,在去年夏天變成預設加密,不過Google並沒有提供相同的功能給其面向消費者的Google雲端硬碟服務。
Dropbox,最古老也最為人所知的消費者雲端解決方案,目前擁有超過2億的使用者,並沒有預設加密。不過該公司指出,其員工工作在零認知的環境,意味著他們並不知道使用者儲存在服務內的任何檔案內容。
不過,Dropbox使用者很難去驗證這說法,該公司及其類似的儲存服務已經成為服務總是會加密的一個例外。加密憑證可以包含比之前更多的位元,而現在靜態資料(data-at-rest)加密可以透過硬體完成,讓網際網路的大部分在未來都經過加密變成可能。
雲端儲存供應商避免預設加密的原因仍然未明,雖然可能和法律審查或技術考量有關。不過都一樣,使用者被要求必須要高度的信任這些公司,並相信他們所說的會運作在安全的環境。
最近的事件顯示出雲端儲存公司在保護檔案方面還有事可做。在其所謂的例行維護期間,可以看到Dropbox有好幾天呈現出核心服務斷線或不穩的狀況。這不是Dropbox首次停止運作,2012年因為Amazon Web Services故障也導致了停機,桌面客戶端程式同步上傳檔案也在2013年初出現過問題。但這次後果可能最為嚴重,一些進階方案(如Dropbox for Teams)使用者對於缺乏溝通和延遲的長度感到失望,這是由於漫長的資料庫檢索操作所造成。
Dropbox事件和「駭客」無關,也沒有證據顯示敏感資料外洩或使用者受到傷害。但這事件顯示出超大規模服務的脆弱性 – 如果伺服器作業系統升級可能會出問題而影響到數百萬的使用者,那也值得讓我們思考一下,如果缺乏預設加密可能會導致的後果。
預設加密已經成為顯學 – 為什麼儲存供應商故步自封?
美國國家安全局透露,隨著近來零售業者出現的網路安全問題,已經讓一些網路公司強制預設加密。在今年初,雅虎信箱預設使用HTTPS,這是因為惡意軟體導致廣告以及出現入侵資料庫意圖等安全問題所做出的反應。 繼續閱讀
在上周 OpenDNS 發表了他們新工具 – DNSCrypt的預覽版。將它吹捧成是網路私密性和安全性的巨大進步。立意很簡單,就是加密使用者在查詢DNS過程中的全部流量。這是個很好的想法,但我覺得他們並沒有真正解決問題。
根據OpenDNS所說,這是世上第一支真正實作DNSCurve的程式。他們的目標是提供整個DNS查詢過程的私密性(Privacy)和真實性(Authenticity)。不幸的是,你不能只用加密來包裝現有的通訊協定,就期望會變得比以前更安全。你還必須要看看整體的網路運作模式。當然你的DNS查詢會變得私密,讓同一個網路上的其他使用者或攻擊者都無法看到。但問題是出在你得到結果的幾毫秒之後。當瀏覽器對伺服器發出請求時,你透過加密DNS封包所得到的私密性瞬間消失。一個能夠看到你DNS封包的攻擊者,也就可能可以看到其他的網路流量。
如果你對資料的真實性比對私密性還重視,那有更好的方法可以做到。DNSSEC是給你的最佳答案。一個DNSSEC的主要優點是一些頂級網域(TLD)可以做到完整的認證直到根伺服器(該列表會指出有哪些頂級網域是簽證過的)。根據OpenDNS的DNSCrypt常見問答集,DNSSEC和DNSCrypt的功能完全相容:「他們完全不會有任何衝突。」 繼續閱讀