搜尋此網誌

2010年12月27日 星期一

[新聞時事] Apple 就是 Apple,連做 Spyware 都想獨一無二。

apple-eyespy

Apple (或者說 Steve Jobs) 持續引領風潮,不管是不是潮人,對於 Apple 這個品牌絕對都是耳熟而詳,甚至有不少人不顧一切地想要一親芳擇。這幾天 Apple 被 EFF (Electronic Frontier Foundation) 所槓上,原因在於 Apple 想要申請的專利內容。根據 EFF 的說法,Apple 這次要申請的專利,可以用來判斷手機持有者的身分。至於實際的應用嘛,美其名可以在 iPhone 或其他 Apple 產品落入它人手上時避免資料的外洩,但是 EFF 卻擔心 Apple 利用這些技術來收集個人的識別資料與追蹤行蹤。EFF 也擔心這樣的機制一旦被駭客所利用,其所產生的危害將更難以估計。其實這類軟體或功能很常見,尤其是收集個人資料早已經是許多惡意程式的主要目的,但是合法廠商這麼做倒是比較少見 (前幾年的 Sony 幹過)。這次 Apple 不但明目張膽地做,更想要為這樣的技術申請專利,真不虧是能夠不斷製造話題的 Apple。EFF 為了表示對 Apple 的敬意,更發明了一個新的名詞,叫做 Traitorware,指的是在你背後偷偷地違反你個人隱私的設備 (devices that act behind your back to betray your privacy)。雖然 EFF 對於 Apple 這個舉動表達了強烈的反對,但是 Apple 是否在產品內採用這樣的技術卻也不一定與專利的通過與否有直接的關係。話說回來,對眾多的 Apple 迷來說,也許非但不介意讓 Steve Jobs 多了解自己一些,甚至可能會覺得這真的是炫極了。

 

相關連結:

2010年12月17日 星期五

[新聞時事] WikiLeaks 不只是 WikiLeaks

WikiLeaksWikiLeaks 這幾年常常出現在政治與資安的新聞版面上,原因無它,因為 WikiLeaks 的宗旨就是揭露從各處收集而來的機密資料。在這些眾多的祕密裡,其中許多自然跟全世界最神祕的組織之一 (也就是美國政府,其他政府也都很神祕,只不過美國政府的干涉範圍實在太廣了) 有關。像是一些美軍的機密資訊以及美國在海外進行的機密外交,每次公布都引起不少的震撼。經過這些年的吞忍,美國政府終於再也按奈不住而決定展開反擊,針對相關的人、事、物加以嚴格處置。原先只是美國政府自己的行動,後來因為一些與 WikiLeaks 相關的商業組織也連帶”背叛”,所以導致 WikiLeaks 支持者的不滿,進而展開反擊。其中幾個原本提供 WikiLeaks 募款來源管道的網站 (包含 Mastercard、VISA、PayPal 等),都因為遭受 DDoS 攻擊而影響到網站的運作。其中唯一的倖存者,大概就是提供 WikiLeaks 網站服務的 Amazon 了。Amazon 受助於本身所建置的雲端架構,所以讓資源有限的 WikiLeaks 支持者知難而退,如此一來 Amazon 不但順利全身而退,甚至為其雲端平台 - EC2 找到了一個很有力的賣點。

整起事件雖然還沒有落幕,但是至今已經佔據了許多的新聞版面,只不過很多僅著重在陳述事件的經過。其中我覺得比較有思考空間的觀點有兩個,一個是有關於網路是否會衍生出自己的恐怖主義,例如在這個事件中 WikiLeaks 支持者所扮演的角色。以往所謂的網路恐怖主義,僅是原本的恐怖份子將攻擊行為轉換到網路上,但是這個事件卻衍生出了新的恐怖主義集團,而且是一個沒有國界區分的集團。當然,以恐怖主義集團來描述 WikiLeaks 的支持者或許過於嚴厲,但是難保未來的發展不會演變至此,也或者未來其他事件的發生終將導致恐怖主義的誕生。

另外一個觀點則是討論到原應屬於公眾的網際網路卻已經被少數幾個商業組織所把持,其中包含幾個網路網路運作的基本元素,如網域名稱、線路等,都早已經私人化,而不再屬於公眾的資產。在這種情況下,人民只能任由這些企業 (與政府) 所擺佈,而無法自由地使用網際網路的資源。而這更有可能成為網際網路 (概念) 本身最脆弱的一環,一旦這些元素失去應有的定位與作用,整個網際網路的開放特性將蕩然無存。

老實說,WikiLeaks 本來就充滿爭議性,其所衍生的議題都相當嚴肅,更直接挑戰許多舊有的體制。安全與自由之間,本就是兩難的抉擇,更何況還有不同角色間的衝突與矛盾。對此,我只能說雙方應該合作以找到一個平衡點,只是當一方是屬於”高高在上”的政府時,另外一方會有公平談判的機會嗎?

附註:由於 WikiLeaks 的內容實在太令人難以抗拒,再加上網站已經被關閉,所以出現了許多宣稱擁有 WikiLeaks 內容的複製網站,其中當然也包含了駭客所假冒的。所謂好奇心殺死一隻貓,在決定是否要窺視這些外洩的祕密前,請記得先好好地三思。

 

相關連結:

2010年12月15日 星期三

[工具介紹] 利用 7-zip 加密壓縮檔

7ziplogo這幾年資料外洩的問題越來越受到大家的矚目,再加上新版個資法的通過,讓防止資料外洩不再只是口號,更是必須去認真面對的課題。不管是企業或是個人,重要資料的外洩都不是令人所樂見的。現在有很多機制可以利用加密的方式來保護資料,如此一來即使資料不幸遺失 (不管是無意或是有意的),由於對方無法進行解密的動作,所以也無法窺視到資料本身的內容。這些機制包含硬碟/隨身碟本身進行整體資料的加密,作業系統進行的資料加密及各式各樣的第三方加密工具 (例如我之前分享過的 TrueCrypt)。雖然 TrueCrypt 功能強大,但是對於處理單一檔案的加解密,TrueCrypt 其實就並不適合了。

檔案的分享還是目前很常見的應用,不管是透過 Email、FTP、還是網站的形式,傳統上我們會將想要分享的所有檔案加入到一個壓縮檔中,這樣不但可以減少檔案的大小,還可以簡化分享的工作。這樣的作業方式雖然很簡單,但是也很容易造成資料的外洩。為了避免此一問題的發生,其實我們只要利用壓縮軟體的加密功能,就可以大幅減少資料外洩的可能性。以下我就以免費的壓縮工具 7-zip 為例,說明如何利用加密的功能安全地傳遞壓縮檔。

假設我們有一個存有密碼的檔案想要傳遞給朋友,我們當然不希望任何人都可以看到這個檔案的內容。7zip 001

利用滑鼠右鍵選取 7-Zip –> Add to archive。 (如果你還沒安裝 7-Zip,請至這裡<="下載<">下載並安裝)

選取 zip 格式與 AES-256 的加密方式,輸入密碼才有加密的作用。請記得選用不容易被猜到的密碼。7zip 002

產生的壓縮檔外觀與一般的壓縮檔無異。7zip 003

甚至可以點選進入壓縮檔內的目錄。7zip 004

但是當要開啟檔案時會出現錯誤訊息。7zip 005

此時你就可以放心地將這個壓縮檔傳送給遠方的朋友。你的朋友收到檔案後想要解開加密的壓縮檔,只要在壓縮檔上使用滑鼠右鍵的 7-Zip –> Extract (當然你的朋友也要先安裝 7-Zip)。

輸入剛剛選用的密碼,如果輸入正確的密碼就可以取回原先的檔案。7zip 006

如果輸入錯誤的密碼將會出現錯誤訊息。7zip 007

如果你的朋友是 Linux 的愛好者,他可能會使用 unzip 指令來解開這個壓縮檔,很可惜的是他失敗的機會很高。7zip 008

在 Linux 下可以使用 p7zip 這個套件來解開加密過的壓縮檔。如果系統採用 yum 來管理套件,就可以使用 yum –y install p7zip 的指令來安裝 p7zip 套件。

使用的指令為 7za x 壓縮檔名稱,程式會要求使用者輸入密碼。此一密碼就是壓縮時輸入的密碼。7zip 009

輸入正確的密碼後就可以順利地解開檔案。7zip 010

檔案內容正確無誤。7zip 011

透過 7-Zip 的功能,我們可以輕鬆地建立起安全的 (AES-256 加密) 壓縮檔以便於分享。除此之外,它是完全免費的,而且也沒有討厭的平台限制。一個小小的動作,將可以減少日後很多不必要的困惱與損失。

About