Archive for category 自由軟體

微軟更新中英文詞語的意義: 「棄權」 就是 「安全」

微軟經常談論安全。 微軟在消費者心中所深植的安全概念很簡單: 「你不懂電腦。 不懂電腦的人, 常常會做傻事。 做傻事, 很不安全。 讓我幫你把手綁起來, 讓我替你行使各種基本的選擇權。 放棄自主選擇權, 你就會很安全。 因為我最懂, 我幫你做的選擇最安全。」

但事實是: 很多時候微軟真正關心的, 並不是用戶的安全, 而是別人的安全。 過去發生的許多事件一再地證明: 微軟語的真正意義其實是: 你的 「棄權」, 就是別人的 「安全」。

交談中提及 piratebay 的連結? msn 說: 這個連結不安全 從三月底開始, 如果你在 msn 交談當中提及 piratebay 的連結, msn 會告訴你: 「這個連結不安全, 我們把它擋下來了。」 點擊 piratebay 的連結到底會傷害到你的安全, 還是會傷害到你朋友的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是 “企圖管制影片音樂的 MPAA 及 RIAA" 的安全。 身為閱聽者的你願意棄權 (因為你選用微軟的 msn), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。

去年 10 月微軟要求硬體廠商 (如果想得到 windows 8 認證標章的話, 就必須) 禁止用戶拿自製的光碟、 隨身碟開機。 這個功能美其名為 「secure boot 安全開機」。 如果允許你任意行使開機自主權, 嘗試使用各種不同的作業系統, 這到底會傷害到你的安全、 會傷害到那些 “想要幫你修電腦" 的電腦醫師的安全, 還是會傷害到那些 “幫回收電腦安裝 linux" 的資訊志工的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是微軟自己在市場上的壟斷地位。 身為消費者的你願意棄權 (因為你選用支援微軟的平板電腦), 微軟才能享有壟斷市場的安全。

MS Office 2007 (或更新的版本) 有一個 進階資訊版權管理和原則功能:

2007 Microsoft Office system 版本包含精密的 IRM 功能和原則控制, 設計目的在於協助組織保護數位資訊的安全,以防未經授權的使用。

所以使用 MS Office 2007 或更新的版本來創作文件, 採用內含秘密格式的 docx 格式來存檔, 文件就很保密、 很安全對嗎? 如果你沒空認識 DRM 遙控數位枷鎖, 那麼請簡單自問: 你身為讀者的時間多, 還是身為作者的時間多? MS Office 的 IRM 功能, 大多數時間是在保護你, 還是在限制你? 沒錯, 微軟 聲稱 要保護的, 是文件作者的安全。 但是請注意: 如果收到文件的讀者改用 「沒上手銬」 的 OO.o, 他就可以打開被封鎖的文件了。 所以… 其實 MS Office 的 IRM 機制也並沒有保護到作者的安全。 至於… 更常身為閱讀者的你, 因為你願意棄權 (因為你選用 「銬上微軟 IRM 枷鎖」 的新版 MS Office), 所以愛用新版 Office 的作者才能享有 想像中的 保密安全。 沒看懂嗎? 這個案例的 「安全」 根本就沒有保護到任何人好嗎? 只是藉機幫所有新版 MS Office 用戶 (不論你自己寫作時有沒有用到 IRM 功能) 銬上手銬而已。

Obscurity provides no security, only an illusion of it. — Gernot Heiser

再早一點, 2007 年 9 月, 網友發現: 即使設定要求 Windows 只通知但不要自動更新, Windows 還是會自動強制更新。 姑且撇開暗中更新的爭議不談, 既然是自動強制更新, 想必跟重要資訊安全漏洞有關囉? Windows 專家發現: 這個更新不但異常地欠缺說明文件 (Knowledge Base article) 而且還會導致那些曾經使用修復功能 (repair) 的電腦無法安裝其他八十多個安全更新。 這種神秘的作風, 到底是在保護誰的安全? 我們很難揣測。 唯一可以確定的是: 這看起來一點都不像是在保護用戶的安全, 反而比較可能是在侵犯用戶的權利 (所以微軟才需要偷偷摸摸地做)。 類似的 「暗中強制更新」 在 2009 年 2010 年 又發生了兩次。 2009 年那一次 Microsoft .NET Framework Assistant 的暗中強制更新當中, 微軟不只動到它自己的產品, 還 偷偷為 firefox 裝了一個外掛套件, 而且禁止用戶反安裝。 2010 年那次暗中強制更新的代碼為 KB982217。 再一次地, 微軟在你的 firefox 上偷偷安裝了奇怪的外掛套件; 再一次地, 這個強迫中獎的套件無法簡單地直接移除。

更早以前, 2006 年的 fairuse4wm 事件 當中, 身為閱聽者的你願意棄權 (因為你接受微軟的安全更新、 願意放棄 fairuse4wm 幫你爭取的影音媒體 「合理使用權」), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。 有趣的是, 就在 fairuse4wm 事件之前發生的 Sony rootkit 事件當中, 微軟卻反而無視客戶的安全, 對 Sony 的入侵沒有做出任何反應。 這些事我在 「作業系統開機鑰匙不在你家」 已經說過, 就不再重複了。 當初用這種態度面對客戶安全被侵犯的微軟, 現在竟然還自己推出 Microsoft Security Essentials – Windows 免費防毒軟體, 想來實在有點令人不安。

當然, 並不是每次微軟談論 「安全」, 就一定是要你棄權。 微軟呼籲大家支持 ie6countdown, 這件事的確是在顧慮你的安全。 多數具有清楚說明文件 (Knowledge Base article) 的安全更新, 可能也都是真的在顧慮你的安全。 至於那些偷偷摸摸進行、 或是支吾其詞避重就輕的 「安全」 說辭, 你可就要提高警覺了。 請隨時帶著警戒心、 上網搜尋蒐集事實、 留意自己的自主選擇權有沒有被剝奪, 下次當你再聽到微軟談論 「安全」 時, 才能心智清楚地判斷到底微軟心中的主詞是誰。 至於有些 品牌忠誠的肥羊 永遠無法相信微軟會欺騙他、 傷害他 (例如 Office 證照卓越大學 裡面某些 追隨錯誤強權的資訊教授?) 面對這些隨時準備 「棄權」 以換取 「安全」 的人, 我就只能送幾句希特勒的名言給他們了…

編織一個天大的謊言。 要夠簡單, 要不斷地重複。 然後人們就會相信它。
人們不太思考。 這對領袖而言是多麼讚的一件事啊!
抵抗信心永遠比抵抗知識要更加困難。 — 阿道夫 希特勒

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。

===================================================================================================

雖然微軟開發了Windows造福了不少人,但我個人對於他們的行商手法始終還是很不滿意。雖然真的要說的話,蘋果也沒好到哪裡就是了;不過現時給人負面印象新聞的似乎都是微軟居多?

Anyway,現在就算我有錢和有心支持正版,我也應該不會去買Windows8就是了XD。如果能夠順利通過HKDSE升上大學的話,基本上iMac便是我的第一選擇;當然按照慣例,我應該還是會裝一下Windows跟Linux進去就是了。(前者為了玩遊戲,後者為了繼續支持自由軟體)

讓我們一起為大家的電腦和網絡自由而努力吧!

微軟經常談論安全。 微軟在消費者心中所深植的安全概念很簡單: 「你不懂電腦。 不懂電腦的人, 常常會做傻事。 做傻事, 很不安全。 讓我幫你把手綁起來, 讓我替你行使各種基本的選擇權。 放棄自主選擇權, 你就會很安全。 因為我最懂, 我幫你做的選擇最安全。」

但事實是: 很多時候微軟真正關心的, 並不是用戶的安全, 而是別人的安全。 過去發生的許多事件一再地證明: 微軟語的真正意義其實是: 你的 「棄權」, 就是別人的 「安全」。

交談中提及 piratebay 的連結? msn 說: 這個連結不安全 從三月底開始, 如果你在 msn 交談當中提及 piratebay 的連結, msn 會告訴你: 「這個連結不安全, 我們把它擋下來了。」 點擊 piratebay 的連結到底會傷害到你的安全, 還是會傷害到你朋友的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是 “企圖管制影片音樂的 MPAA 及 RIAA" 的安全。 身為閱聽者的你願意棄權 (因為你選用微軟的 msn), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。

去年 10 月微軟要求硬體廠商 (如果想得到 windows 8 認證標章的話, 就必須) 禁止用戶拿自製的光碟、 隨身碟開機。 這個功能美其名為 「secure boot 安全開機」。 如果允許你任意行使開機自主權, 嘗試使用各種不同的作業系統, 這到底會傷害到你的安全、 會傷害到那些 “想要幫你修電腦" 的電腦醫師的安全, 還是會傷害到那些 “幫回收電腦安裝 linux" 的資訊志工的安全呢? 不是這樣解釋的。 微軟要保護的, 其實是微軟自己在市場上的壟斷地位。 身為消費者的你願意棄權 (因為你選用支援微軟的平板電腦), 微軟才能享有壟斷市場的安全。

MS Office 2007 (或更新的版本) 有一個 進階資訊版權管理和原則功能:

2007 Microsoft Office system 版本包含精密的 IRM 功能和原則控制, 設計目的在於協助組織保護數位資訊的安全,以防未經授權的使用。

所以使用 MS Office 2007 或更新的版本來創作文件, 採用內含秘密格式的 docx 格式來存檔, 文件就很保密、 很安全對嗎? 如果你沒空認識 DRM 遙控數位枷鎖, 那麼請簡單自問: 你身為讀者的時間多, 還是身為作者的時間多? MS Office 的 IRM 功能, 大多數時間是在保護你, 還是在限制你? 沒錯, 微軟 聲稱 要保護的, 是文件作者的安全。 但是請注意: 如果收到文件的讀者改用 「沒上手銬」 的 OO.o, 他就可以打開被封鎖的文件了。 所以… 其實 MS Office 的 IRM 機制也並沒有保護到作者的安全。 至於… 更常身為閱讀者的你, 因為你願意棄權 (因為你選用 「銬上微軟 IRM 枷鎖」 的新版 MS Office), 所以愛用新版 Office 的作者才能享有 想像中的 保密安全。 沒看懂嗎? 這個案例的 「安全」 根本就沒有保護到任何人好嗎? 只是藉機幫所有新版 MS Office 用戶 (不論你自己寫作時有沒有用到 IRM 功能) 銬上手銬而已。

Obscurity provides no security, only an illusion of it. — Gernot Heiser

再早一點, 2007 年 9 月, 網友發現: 即使設定要求 Windows 只通知但不要自動更新, Windows 還是會自動強制更新。 姑且撇開暗中更新的爭議不談, 既然是自動強制更新, 想必跟重要資訊安全漏洞有關囉? Windows 專家發現: 這個更新不但異常地欠缺說明文件 (Knowledge Base article) 而且還會導致那些曾經使用修復功能 (repair) 的電腦無法安裝其他八十多個安全更新。 這種神秘的作風, 到底是在保護誰的安全? 我們很難揣測。 唯一可以確定的是: 這看起來一點都不像是在保護用戶的安全, 反而比較可能是在侵犯用戶的權利 (所以微軟才需要偷偷摸摸地做)。 類似的 「暗中強制更新」 在 2009 年 2010 年 又發生了兩次。 2009 年那一次 Microsoft .NET Framework Assistant 的暗中強制更新當中, 微軟不只動到它自己的產品, 還 偷偷為 firefox 裝了一個外掛套件, 而且禁止用戶反安裝。 2010 年那次暗中強制更新的代碼為 KB982217。 再一次地, 微軟在你的 firefox 上偷偷安裝了奇怪的外掛套件; 再一次地, 這個強迫中獎的套件無法簡單地直接移除。

更早以前, 2006 年的 fairuse4wm 事件 當中, 身為閱聽者的你願意棄權 (因為你接受微軟的安全更新、 願意放棄 fairuse4wm 幫你爭取的影音媒體 「合理使用權」), MPAA 跟 RIAA 的會員廠商才能享有著作權的安全。 有趣的是, 就在 fairuse4wm 事件之前發生的 Sony rootkit 事件當中, 微軟卻反而無視客戶的安全, 對 Sony 的入侵沒有做出任何反應。 這些事我在 「作業系統開機鑰匙不在你家」 已經說過, 就不再重複了。 當初用這種態度面對客戶安全被侵犯的微軟, 現在竟然還自己推出 Microsoft Security Essentials – Windows 免費防毒軟體, 想來實在有點令人不安。

當然, 並不是每次微軟談論 「安全」, 就一定是要你棄權。 微軟呼籲大家支持 ie6countdown, 這件事的確是在顧慮你的安全。 多數具有清楚說明文件 (Knowledge Base article) 的安全更新, 可能也都是真的在顧慮你的安全。 至於那些偷偷摸摸進行、 或是支吾其詞避重就輕的 「安全」 說辭, 你可就要提高警覺了。 請隨時帶著警戒心、 上網搜尋蒐集事實、 留意自己的自主選擇權有沒有被剝奪, 下次當你再聽到微軟談論 「安全」 時, 才能心智清楚地判斷到底微軟心中的主詞是誰。 至於有些 品牌忠誠的肥羊 永遠無法相信微軟會欺騙他、 傷害他 (例如 Office 證照卓越大學 裡面某些 追隨錯誤強權的資訊教授?) 面對這些隨時準備 「棄權」 以換取 「安全」 的人, 我就只能送幾句希特勒的名言給他們了…

編織一個天大的謊言。 要夠簡單, 要不斷地重複。 然後人們就會相信它。
人們不太思考。 這對領袖而言是多麼讚的一件事啊!
抵抗信心永遠比抵抗知識要更加困難。 — 阿道夫 希特勒

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。

廣告

發表留言

個人資料保護法 「安全維護措施」 的提醒: 不只客戶, 員工的隱私權也應受尊重

原文地址:http://ckhung0.blogspot.com/2012/02/privacy-law.html

 

你的電腦受到公司監控嗎? 不少企業基於保護商業機密、 盤點智財避免侵權等等因素, 早就開始對員工的電腦進行監控。 個人資料保護法 預計將於 七月一日上路, 這讓企業有更大的壓力與正當性要求 IT 部門擴大規模佈署這類監控技術, 作為保護客戶個資的 「安全維護措施」。 而員工在公司 (說不定連回家以後也是) 使用電腦/平板/手機的一言一行, 也將有更多機會與細節會曝露在僱主或上司的目光之下。 本文要提醒員工: 個資法保護的對象並不只有客戶, 也包含你自己 — 尤其是自備機器上班 (BYOD) 的情況 — 你也有權利依據個資法向公司詢問自身隱私資料如何被使用。 也要提醒企業: 不要迷信技術, 把 「安全維護措施」 通通交給軟體。 事實上, 從降低企業自身風險與責任的角度來看, 最好:

  1. 用互信的文化培養員工的向心力以及對所有人隱私的尊重; 把重心放在防止粗心洩密的制度和員工資安意識/職業道德宣導而不是軟體監控技術
  2. 避免資訊外洩的 「安全維護措施」, 技術部分宜採 「軟體提醒/警告」 取代 「軟體監控」
  3. 在滿足法律責任的前提下, 監控員工電腦行為的相關記錄檔應該盡量減少蒐集資料量、 縮短保留期限 (data retention)

個資法的立意良好; 對於 舊版施行細則 應如何修正, 法務部也慎重地 預告修正草案並徵詢各界意見, 充分展現其對於民意的尊重。 法條就留給法律專家分析; 本文僅僅針對 施行細則當中的第九條 「適當安全維護措施」 提出一個觀察: 某些企業很可能會以 「個資法要求保護客戶隱私」 為由, 在員工的電腦上安裝各種監控軟體, 監看員工的一舉一動 — 在聲稱保護客戶隱私的同時, 卻也矛盾地侵犯了員工的隱私。

但重視個人隱私權的員工應該要注意到: 個資法並未限定保護對象只有客戶。 公司對員工 — 例如透過企業內部的監控軟體 — 進行 「個人資料之蒐集、處理及利用」 一樣也要受到個資法的規範! 也就是說, 一方面個資法的施行, 讓企業繃緊神經強化內部控管以保護客戶隱私, 另一方面卻也同時讓員工本身開始有法律依據可以爭取 「不被監控」 的權利。 你在公司使用 e-mail、 msn 等等個人通訊軟體, 是否疑似被公司監視/側錄? (可疑跡象: 速度比其他網站慢、 會掉信、 掉訊息、 管理階層知道你的秘密 ==> 公司可能安裝 DPI 深度封包檢測軟體侵犯你的隱私) 勞工團體、 各行業的工會應該更積極地針對此事提醒勞工捍衛自身權益。

對於公司在辦公室所配發的電腦, 一般員工也許早已很能接受遭到監控。 (其實你並不需要百分之百照單全收。) 但至少在一個場域裡, 員工特別應該勇敢站起來捍衛自身權益: BYOD。 Bring Your Own Device 就是帶你自己的筆電/手機來上班。 員工如果 只從 「自己的電腦/手機配備比公司的棒」 的角度著眼, 或許會欣喜地迎接 BYOD。 但是從另一個角度來看, 公司的 IT 部門是否有權利監視、 遙控、 甚至銷毀員工自己擁有、 帶入辦公室的電腦/平板/手機 (或其中資料) 呢? 既然公司的機密資料進了員工自購的電腦/平板/手機, 公司甚至可能還幫員工付部分的通訊費用, 那麼公司上述行為的正當性似乎也就確實提高了一些。 員工是否意識到: 公司 IT 部門以 「保護商業機密、 盤點智財避免侵權、 保護客戶個資」 為由, 在自己的電腦/平板/手機安裝了監控軟體, 有可能會:

  1. 自動鎖機或遠端搖控鎖機?
  2. 遠端搖控刪除資料? (公司資料還是全部資料 — 包含我的通訊錄?)
  3. 上傳我這支手機的行蹤及各種使用記錄? 包含我瀏覽網頁、 使用臉書或噗浪的記錄?

公司做這些事情的時候, 會通知我嗎? 我的電腦/平板/手機在非上班時間也受到控管嗎? 公司裡有哪些人有權限可以看到我手機及電腦裡面的上述種種個人資料? 如果我這部電腦/平板/手機跟家人共用, 他是否也受到監控? 如果我這部電腦/平板/手機因為疑似 (我或他人) 不當使用而遭鎖機或沒收檢查, 公司對我有沒有相對應的補救措施, 例如允許或幫我把我私人的資料救出來、 借我一部備用機等等? 我離職的時候, 公司還保留著這些資料嗎?

The Dark Side of BYOD – Privacy, Personal Data Loss and Device Seizure 一文提醒員工: 「如果你不怕聽到答案的話, 你應該向公司提出上面這些問題。」 個資法固然不能解決上述所有問題, 至少讓員工可以依法對公司提出上述隱私相關部分的問題。 值得一提的是: 據說最受歡迎的 BYOD 裝置是蘋果的產品; 但蘋果在為企業設計行動裝置管理 (MDM) 的時候, 似乎主要是 從公司控管 (而不是從員工隱私與自主權) 的角度出發。

再來從公司 — 特別是 IT 人員 — 的角度來看監控員工電腦的問題。

首先指出一個重要的基本觀念: 安裝在使用者的機器上的任何監控軟體, 永遠都無法徹底阻止有心人士偷渡資料。 軟體應該 協助員工避免意外 洩漏公司機密資料 (包含客戶隱私資料), 而不是 禁止員工主動 外洩公司機密資料。 DRM 遙控數位枷鎖的失敗, 就是一個很好的警惕。 DRM 原本意圖封鎖的, 是受到智慧財產權所保護的數位內容; 現在因應個資法, 未來市場上也可能會出現一些軟體聲稱可以封鎖員工電腦上的客戶隱私資料。 兩者企圖封鎖的內容固然不同, 但面對的技術困難與侵犯用戶人權的事實則是一致的。 事實上還有先前中國大陸… 企圖封鎖言論 呃, 根據官方說法, 是要封鎖色情 … 的 「綠壩」 也一樣。 從軟體設計的角度來看, 意欲封鎖資訊的內容固然不同 (版權有限的數位內容/不和諧的言論/色情/客戶隱私); 軟體的邏輯和面對的挑戰都是一樣的。

協助員工保護客戶隱私的軟體 (以下簡稱 「客戶隱私保護軟體」), 其設計原則應該摒棄 DRM 或綠壩的心態/思考模式, 改從封鎖第五和第六類資訊的心態/思考模式出發 — 阻擋垃圾信及防毒軟體。 再一次地, 封鎖垃圾信的技術也必須面對上述各種應用所面對的類似技術問題 (例如: 要不要進入壓縮檔和映象檔 zip/7z/tgz/tbz/iso/… 裡面檢查? 要不要進行圖=>文轉換 OCR? 要不要進行深度封包檢測 DPI? …); 但垃圾信過濾軟體或防毒軟體 vs DRM 或綠壩的最大的差別在於: 垃圾信過濾軟體或防毒軟體尊重使用者最終的判斷, 把最後的決定權交回到使用者手上。 任何垃圾信件過濾軟體都提供誤判回報, 並且讓使用者可以自行新增刪除過濾條件。 設計客戶隱私保護軟體, 也應有相同的心態: 它的任務應該是 警告 而不是 禁止 員工, 減少員工 意外 傳送 電腦判斷 疑似 客戶隱私的資料 (及公司機密) 的機會。 因為這個根本上的 心態/思考模式 差異, 讓垃圾信過濾軟體和防毒軟體免於 DRM 軟體及綠壩的窘境 — 後二者的演算法見不得人, 所以從資訊安全的角度來看, 不符合 Kerckhoffs’ principle, 是必敗的技術。

採用這個心態/思考模式來設計客戶隱私保護軟體, 也更能促使軟體設計者盡量減少回報與記錄員工的電腦活動, 降低企業對 員工隱私 保護的法律重擔。 例如, 如果我來設計這類軟體, 可能只會將員工的 「警告過濾器設定檔的更新歷史」 跟 「軟體判斷封鎖但員工認定放行」 的資料記錄並傳回公司主機。 還有, 為了提高安全性, 我會盡量撿既有的自由軟體來改, 並公佈修改後的程式碼 — 這也比較符合個資法七、八、九條強調 「告知」 的概念, 遇到法律爭議時, 可以用這點展現公司尊重員工隱私的誠意。 我不會 用苦行僧的方式從頭開發, 更不會採購自己看不見原始碼的軟體安裝到員工的電腦上。 如果有一天員工依據個資法要求公司告知公司透過電腦對他所蒐集的個人隱私資訊時, 開誠佈公釋放原始碼的這種策略比較有利於公司自保 — 比較容易說明公司蒐集員工資料的行為符合個資法第五條的 「尊重、 誠實、 信用、 不踰越、 有正當合理關聯」。

另一方面, 軟體 尊重員工最終判斷, 並不表示公司同意員工可以自行決定任意洩漏客戶隱私或公司的其他機密。 這只表示公司具有正確的資訊安全意識: 軟體不可能百分之百正確判斷每一筆資料是否為客戶隱私或公司其他機密。 軟體尊重員工的最終判斷, 反而讓軟體作者可以放心大膽地從嚴判斷、 誠實以告, 對於任何可能洩密的未檢查或已檢查但沒把握的途徑都不厭其煩地提醒員工。 (「您有一個無法辯識的映象檔未經本程式掃描。 請手動掛載並啟動本程式掃描。」)

推薦採取如此心態/思考模式的原因, 不只是技術考量, 更重要的是企業文化考量。 第一, 最終的責任歸屬 ( accountability, 不是 responsibility) 因而落在員工身上, 而不是落在難以究責的軟體供應商身上。 被軟體提醒的員工如果遇到沒有把握的狀況, 應該主動請示相關主管, 這才是保護客戶隱私資料負責的態度與流程。 第二, 尊重員工 (的隱私與自主權), 是尊重客戶 (的隱私與自主權) 的第一步。 企業主/CEO/CIO/其他高層/IT員工 這些人對於基層員工隱私的態度, 究竟是認真地予以尊重, 或是仗著本身的業務優勢而為所欲為? 看在所有員工眼中, 這將造成一種具有潛移默化效果的 企業文化。 當員工有機會接觸客戶資料的時候, 也會有類似的心態。

最終, 資訊總是渴望自由。 不論你我喜不喜歡, 除了對所有員工 (還有訪客) 挖眼睛挖耳朵改植 DRM 版本以封鎖類比漏洞 (analog hole) 之外, 技術方法是不可能完封資訊的。 而且, 企業資安出問題的原因經常是因為員工疏忽而不是因為員工惡意外洩或外人入侵。 技術只能稍微提高門檻, 讓資訊不容易因為員工疏忽而外洩。 也就是說, 從技術的角度來看, 「監控員工」 並不是保護客戶個資 (及公司機密) 的好方法。 單單從技術觀點來看, 最重要的是: 員工資訊安全意識的教育訓練 (你們的 CIO 還沒叫大家 丟棄舊版 IE 嗎!?)、 密碼限制存取、 (最後, 如果有額外的資源, 才是…) 軟體檢查警告。

Security is a process, not a product.
(資訊) 安全是一個程序, 而不是一個產品。 — Bruce Schneier

更何況, 比技術更重要的事, 是提升員工對公司的向心力以及尊重他人隱私的文化。 而 「採用軟體監控員工」 恰好會大大地破壞這兩者, 對於保護客戶個資的目標來說, 最終很可能得不償失。

CIO 如果還是堅持繼續延續過去 「一切問題用採購軟體搞定」 的錯誤心態, 主張採用 「監控員工以確保客戶隱私不外流」 的矛盾策略的話, 除了會產生上述員工將失去向心力、 可能會不顧情面依法強勢捍衛隱私 (尤其是離職員工)、 … 等等問題之外, 還會遇到許多實作上的困擾。 企業內高階主管的電腦要不要接受監控? IT 部門員工的電腦要不要接受監控? 誰來確認這些人也受到監控? CIO 建議要把監控的業務委外給軟體廠商嗎? (如果我是老闆, 聽到這個建議, 就先開除 這個欠缺職業道德的 CIO 。) 如果不委外, 那麼誰才是最終握有監控紀錄檔密碼的企業內部 KGB 特務警察頭子? 當個資外洩時, 特務頭子是否永遠免責, 不會受到懷疑? 或者特務頭子永遠是第一個被懷疑的? IT 部門整天接受來自客戶及員工 「依據個資法第三條」 的查詢請求, 還能做其他的事嗎? 做這等煩鎖小事的, 顯然不是特務頭子。 那麼全公司的個資都握在這個年輕小子手上, 而他與其他員工彼此猜忌, 客戶個資會更安全嗎?

最後, 也要提醒各事業主管機關: 未來進行行政檢查時, 不要過度解釋 「安全維護措施」、 不要對監控軟體有不切實際的期待, 不要迫使企業以保護客戶隱私為名, 在員工電腦/平板/手機上安裝監控軟體, 實行侵犯員工隱私之實。 各事業主管機關 (Hi, 教育部!) 如果過度解釋, 迫使企業犧牲員工隱私, 恐怕不是造成 「企業大門, 民主止步」 (照原文直譯應該是 「工廠大門…」) 就是造成 「離職員工依據個資法控告企業主侵犯隱私」 的案件大增, 不論是何者, 對社會都不是好事, 也都違背了個資法的初衷。 只看法條, 不用 去感受法律的原始良善用意, 恐龍法官就是這麼產生的。 法律專業的他們, 這麼做也許還有一點藉口; 一般人自己如果也這麼做, 以後還好意思批評恐龍法官嗎?

從事業主管機關到企業內部上下, 請讓我們一起用 去感受法律的原始良善用意, 彼此 釋出誠意 以換得對方的信任和體諒, 一起建立 「尊重所有人 — 客戶與員工 — 隱私」 的文化, 一起處理導入保護個資作業流程當中所遇到的問題。

* * * * *

特別感謝上學期研究所在職專班 「網路公民素養」 課程的修課同學。 他們提供了這個重要的題目、 許多顧憂慮、 一些想法、 和很多連結, 才促成我完成這篇文章。

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「」 或 「」。

發表留言

惡意軟體 Citadel 採用開放源碼模式開發

原文地址:http://is.gd/rCPFPV

作者是 謝良奇/編譯

開放源碼成功地為用戶帶來了 Linux、Apache、Hadoop 等軟體,既然如此,那為何不能將開放源碼的開發模式,運用到其他類型的軟體上呢?大量惡意木馬軟體背後的電腦犯罪者,已經開始採用開放源碼模式來加強其惡 意軟體的功能。根據網路安全公司 Seculert Research 的報告,Zeus 木馬程式的變種 Citadel,正是開放源碼模式下的產物。

去年惡名昭彰的 Zeus 電腦犯罪工具集釋出原始程式碼,電腦犯罪者就開始在此銀行木馬程式的開發上,擁抱開放源碼模式。最近數週內出現了名為 Citadel 的多個 Zeus 木馬程式變種。

Zeus 可說是最早、最常見的線上銀行木馬程式之一。Zeus 的作者在 2010 年底停止開發,並於數月後在網路上釋出該軟體的原始程式碼。此後,Zeus 的程式碼成為其他木馬程式的開發基礎,包括 Ice IX 與新的 Citadel。2011 年 12 月 17 日,Seculert 的研究實驗室首度發現 Citadel 殭屍網路的跡象。該公司宣稱,Citadel 的普及與開發都在快速成長中。

除了開放源碼,Seculert 的報告更指出,該軟體的主要開發者也採用了軟體即服務 (SaaS) 模式,並使用客戶關係管理系統 (CRM),透過論壇和留言板與使用該木馬的犯罪者溝通。

Citadel 的用戶可以提出新功能的需求、貢獻模組、進行測試並回報臭蟲,並且和其他電腦犯罪者進行討論。Seculert 指出此種模式大大助長了惡意軟體的開發。Citadel 因此增加的新功能與模組包括了可針對設定檔與伺服器通訊進行 AES 加密、避免追蹤網站的偵測、支援安全廠商網站黑名單,以及基於觸發器的影片錄製。

Seculert 技術長 Aviv Raff 表示,由於採用這種新的開發週期,這套惡意軟體得以快速演進,從去年 12 月以來他們已經發現由 Citadel 作者釋出的 5 個新版本,每個版本都增加了新功能與模組。

擁抱開放源碼惡意軟體的電腦犯罪者,使用新的 Citadel 惡意軟體建構了 20 個殭屍網路。該軟體逐漸成為電子銀行詐欺者的強大工具。Raff 指出,其中若干殭屍網路已經感染了超過 10 萬部機器。

事實上,網路犯罪者跟隨合法業界的潮流早已行之有年,例如 Citadel 作者會提供其用戶使用手冊、發行說明、授權協議。Seculert 指出,他們認為採用開放源碼模式的趨勢將日益增長。網路犯罪圈對於快速開發、尖端技術的追求,以及黑客們對於不斷受到認可的渴望,恐怕將使開放源碼模式在 網路犯罪生態圈裡也和在軟體世界一樣,受到廣泛採納。

相關網址

  1. 壞傢伙也開始使用開放源碼了
    http://www.networkworld.com/community/node/79789
  2. 惡意軟體開發者擁抱開放源碼
    http://www.theregister.co.uk/2012/02/10/open_source_malware/
  3. Citadel 銀行木馬程式透過開放源碼開發演進
    http://www.computerworlduk.com/news/security/3336390/citadel-banking-trojan-evolving-through-open-source-development/
  4. Citadel 木馬程式:開放源碼惡意軟體社群多了客戶服務
    http://www.techweekeurope.co.uk/news/citadel-trojan-open-source-malware-community-adds-customer-care-60069
  5. 惡意軟體作者透過社群改進網路攻擊
    http://www.computing.co.uk/ctg/news/2145226/malware-authors-social-improve-cyber-attacks

=================================================================================================

連木馬等的惡意軟體都已經開始採用開放源碼的方式發佈了,我們到底應該為此感到歡喜還是悲傷呢?

儘管Cracker行為是讓人唾棄的,但換個角度上--這不是證明了開放源碼軟體的威力到底有多強大了嗎?所以某種程度上這應該也能說得上是一件好事…只是應該。

嘛,不管怎樣說也好--但願這種好現象能夠持續下去(當然,只限於非惡意軟體!)吧。

 

發表留言

Ubuntu上十大我常用的軟體

顧Blog名思義,我其實只是個非常普通的高中三年級學生。由於個人並不算很常玩遊戲,單是Ubuntu可以很輕易地滿足我的需求;在此也分享一下個人認為不錯的自由軟體給初入門的人參考。不過我不曉得自己在Ubuntu上的軟體組合以學生來說算不算「普遍」就是了。:P

 

*除了FocusWriter外,以下軟體皆可在Ubuntu軟體中心中找到,又或者Ubuntu本身已自行附帶。

 

1.FireFox:這個是Ubuntu剛安裝就已經附帶的了,不過我本來就已經很喜歡FF;喜歡它的高自訂性和高穩定性,以及與Ubuntu系統的配合度。雖然在速度上比不上Chrome,但個人覺得現在這樣已經足夠了。(順帶一提,其實我的電腦裡還裝有Opera,不過那是在觀看慢速網站時才會用到。)

 

2.Thunderbird:同樣是Mozila出品,個人用它來管理自己的不同郵箱帳號;這樣便不用老是到網站上檢查郵件了。個人主要喜歡它的高自訂性,既可以換介面主題也可以新增附加元件。

 

3.aMsn:雖然有點胖,但卻功能十分齊全的MSN客戶端;透過更換介面主題和新增附加元件,可以變得跟Windows上的Msn幾乎一模一樣。

 

4.Smplayer:喜歡看動畫或電影的人必備。儘管Ubuntu自身已帶有影片播放器,但Smplayer的好處是即使你在看影片時中斷了程式,下次再開同一檔案的時侯它會在你中斷的地方開始播放;這樣就算你無法一次過看完影片,也不用費心去找回自己到底看到哪個部份。

 

5.Shotwell:也是Ubuntu自帶的軟體,方便管理大量的相片。

 

6.LibreOffice:同樣為Ubuntu自帶,用來寫文件或簡報給老師,以及讀取其他人的doc或其他微軟Office的專屬檔案。

 

7.FocusWriter:讓自己能夠專心地寫小說的軟體,可以自定背景,也有自動字數計算和打字機音效等功能;某種程度上可以幫助激發靈感。

 

8.Audacious:輕巧,簡單的音樂播放器;支援絕大部份的音效格式。

 

9.Gwibber:Ubuntu自帶,用來接收及發送Twiiter上的推文。

 

10.Ubuntu Tweak:方便設定Ubuntu以及清除硬碟上的垃圾,例如已安裝完畢的套件包及

發表留言

問題解決筆記:FocusWriter打字機音效消失

有時侯安裝了FocusWriter這款寫作軟體並起動後,它會顯示「Unable to load typewriter sound」這段訊息(即意味著打字機發聲功能失效);

這是因為系統裡缺少了libsdl1.2-mixer這個套件的緣故。

如果你是使用Ubuntu發行版的話,你可以到http://packages.ubuntu.com/natty/libsdl-mixer1.2重新下載並安裝這個套件,之後再重開FocusWriter

並打開打字機發音功能便能夠恢復了;其他發行版則因為還沒嘗試過所以不清楚,但理論上做法都是一樣的,只是libsdl1.2-mixer安裝包的不同罷了。

另外祝各位新年快樂:)

發表留言

教科書平價化運動, 也是大學自我行銷的機會

原文地址:http://ckhung0.blogspot.com/2012/01/textbooks-expensive.html

大學教科書好貴! 加州參議員 Darrell Steinberg 推動 open source 大學教科書, 希望幫每位大學生每年省下大約一千美元的書籍費用, 減輕大學教育對中低收入家庭的負擔。 這項方案得到許多教授和學生共同支持。 也請搜尋 「(senator) Steinberg open source」。 在臺灣, 大學校長是否願意請教授們撥一點生產力幫學生減輕教科書費用的負擔, 順便行銷學校?

事實上幾年前我還在教技術課程的時候, 就發現網路上有太多講義可以下載了 — 尤其是科學與技術類的熱門學科。 把學科名稱 (例如 calculus 或 algorithm) 加上 (lecture) notes 拿去搜尋, 很容易就可以找到很多教授們所分享的教學講義。 也經常不小心逛到 Open Educational Resources 之類專門搜集開放分享教學資源的網站。

在臺灣, 其實我們有很合適的教育生態可以推動這件事。 先看看這幾年在臺灣, 教授們的生產力 (被迫拿來) 對社會產生了哪些 「貢獻」?

  1. 透過寫論文, 把自己的智慧免費送給期刊作為他們的財產 (然後讓期刊回過頭來向大學收高額費用);
  2. 透過鼓吹/強迫學生考證照, 免費幫軟體廠商強迫行銷新產品, 幫 BSA 製造盜版原料;
  3. 透過申請專利, 製造更多 「傷害擴散的創新」 — 束諸高閣的專利; (但就是不能將自己的發明商品化、 實用化 — 特別是經過 「生醫所長 專利」 跟 「宇昌 懶人包」 兩事件之後, 科學家們要格外小心被指控涉及不法… 請搜尋)
  4. 透過填寫各種表格, 向工廠生產線看齊, 實踐 扼殺創意的教學品保;

教授在從事這些活動的時候, 本來也就沒有額外的錢可以賺; 光是教育部和大學的政策就已經給了很強大的壓力… 呃, 我是說… 很充份的動機。 更何況寫教科書抽版稅本來也就賺不到什麼錢 ( 美國教授嘆: “錢都被二手書生態系跟書店賺走了") 那麼為什麼不乾脆把 「撰寫 cc 授權 的教科書」 也列入大學教授的績效呢? 如果大學一定要繼續 追求頂尖卓越、 如果上面所列舉的傷害社會的事情不可能從頂尖卓越的績效指標當中移除, 那麼至少可以把 「創作、 分享、 嘉惠經濟弱勢學子」 加進去當做另外一項績效指標吧?

兩本教科書, 價格差十倍 在瑞典, 繼盜版黨之後, 又有 19 歲哲學系大學生 成功地註冊了 「拷貝教」 — 這個宗教認為分享知識是神聖的行為。 在美國, 學生們發起 「給我平價教科書!」 聯署、 發起 「教科書革命」 校園巡迴。 在臺灣, 誰會發起 「教科書平價化」 的運動呢? 會是願意為了學弟妹而出面、 願意 「前人種樹、 後人乘涼」 的大學生與家長嗎? 會是總統或教育部長嗎? (算了, 當我沒說。 政治人物比較願意協助美國老大哥對師生 「智財洗腦」。 <== 請搜尋)

或者會是 「有遠見與智慧、 有學術道德與勇氣」 的大學校長呢? 技專校長呼籲開放自訂評鑑指標; 但高教評鑑中心說: 系所就可以自訂評鑑指標校長 大可以帶動修改學校法規, 給教授們 「創作分享中文教科書」 的動機、 大可以鼓勵那些決定採用英文教科書的教授們, 請將 cc 授權 分享的網路講義納入考量、 大可以在公開場合及媒體上發表支持教科書平價化的論述。 「本校教授關心教學與學生權益, 積極撰寫平價教科書」 這不就為校園增加了一項吸引學生的誘因嗎? 這不是比撥款提供獎學金給極少數學生更有意義、 更具有全面性的吸引力嗎? 這不是比 「賀! 本校榮獲教育部補助圈圈叉叉」 的紅布條跟跑馬燈更能讓學生熱切地在臉書上幫學校宣傳行銷嗎? 如果單單一位 「資訊人權貴」 的部落格就可以創造每個月數千人次的流量, 那麼一整所大學許多教授藉由上網分享 cc 授權的教科書著作, 又可以為大學帶來多少網路流量、 提升多少網路排名呢? (當然, 有些技術細節要注意, 例如為什麼 TED 演講都不超過 18 分鐘, 甚至 有許多短於 8 分鐘的場次?)

善用網路力量、 善用校長職權的影響力, 用以減輕學生的經濟負擔, 這不就是校長在親身示範 「獨立思考與創新、 專業知能、 道德思辨與實踐、 履行公民責任、 人文關懷、 溝通表達與團隊合作、 國際視野」 嗎? 在臺大淪為口號的 「十大素養」, 有沒有機會在其他哪一位大學校長的手中實現呢? 這個年代有許多 「馮諼」 教授; 但是有沒有 懂得放手讓馮諼幫他買 「義」 的 「孟嘗君 校長」 呢? 或者, 貴校的校長與教授在宣傳 「尊重智財權、 勿印教科書」 的時候, 甚至竟然也沒有學生提醒他們 「教科書平價化」 的呼聲與趨勢嗎?

 

發表留言

超性感的女Cosplayer?假Youtube頁面再次回歸

相信大家最近用Facebook的時侯都會有一個經驗:朋友在你或者其他朋友的Wall上貼了一條看似是Youtube的連結,點了進去之後也是Youtube的樣子;

然而它卻會跳出一個警示要你下載「Youtube HD」的附加元件,否則便會無法觀看影片。如果你這時選擇照著它的指示安裝的話….就出事了!

你會發現自己的Facebook帳號跟將連結給你的那個朋友一樣,到處將這條連結轉貼給其他人;然後其他不知情的人又進行了同樣的動作,這個連結就會像病毒

一樣一傳十,十傳百;如果是一些在Facebook上擁有許多朋友的人的話,這一招的威力便更大了。

最近我就有朋友不小心中了這個「Youtube HD」的計,結果像失控似的在所有朋友的Wall裡都貼上這個所謂「超性感的女Cosplayer」的影片連結;

幸好他在Facebook上的朋友不多,所以問題還不算大。但也因為這件事,所以才讓我有寫這一篇文章的衝動…(汗)

雖然目前確認這個附加元件只會影響Facebook帳號,但無法確認它會不會暗中記錄你其他網站的帳號和密碼;所以就算你不是很常用Facebook的人,建議還是將它清除掉會比較好。

由於我用的是Firefox,所以在此以它作為教學說明(雖然說是教學,但其實也只有幾步:P)

1.先打開工具列上的「工具」,然後進入「附加元件」頁

2.在這裡尋找一個叫作「Firefox Extension Updates」的擴充套件,並將它停用/移除

3.重開Firefox,然後到Facebook修改你的密碼

4.安全起見用防毒軟體再掃一次確認沒有問題後,完成!

如果是其他瀏覽器的話作法其實也是差不多,只要到附加元件裡面將可疑的套件停用掉就行了;

不過如果是IE的話….嗯,我很久沒用過了所以不清楚,如果不能用這招解決的話就乾脆改用其他瀏覽器吧|||

其實這個假Youtube頁面已經不是第一次出現了,只是影片的名字跟現在的不一樣;而網絡上其實還有其他類型的假Youtube頁面等人上釣(詳見:YouTube 突然無法觀賞影片?當心遇到假貨 -Youtube假頁面產生器做的跟真的一樣ˍ)

最重要的是無論你進入什麼知名網站,都應該先確認一下網址列:以這次的假頁面為例,它的網址其實是Blogspot.com;也就是說其實一眼就可以看得出它並不是真正的Youtube網站。無論你是用什麼瀏覽器,用什麼系統也好,最重要的還是自己的防護意識;否則就算有防毒軟體守護,始終還是有機會中毒。

最後遲來地祝大家新年快樂!

5 則迴響