「電腦一開就會洩密」讀後心得
科學人雜誌 NO.88;96-101頁;撰文:W. Wayt. Gibbs;翻譯:王怡文
重點提要:
(i)即使最嚴密的網路安全系統,也無法確保你的電子資料不被有心駭客竊取。
(ii)研究人員已經證實,光是利用眼球反射的電腦螢幕影像或印表機發出的聲響,就能從中讀取資訊。
(iii)這類攻擊難以防禦,而且無法追蹤。最簡單的竊密管道是繞過網路安全系統偷窺,而且事後完全不留痕跡。
肥蝦先前曾經上過ISO27001跟CompTIA Security+的課程。感覺上ISO27001(Information security management system)強調資料分類、資料存取、人員、環境與實體、通訊與作業…等的安全規範。CompTIA Security+比較著重在網路與通訊的安全(雖然在資料存取、人員、環境與實體等議題上也有著墨。)。因此肥蝦心中對於資訊安全的定義與範圍,就是僅以ISO27001與CompTIA Security+為主軸。身為一個金融軟體系統整合商的員工,肥蝦僅是在意,程式碼與文件的安全控管,使用者身份鑑別與權限管理,資料存取與trace log的機密性,程式換版的作業管理,網路通訊的加/解密,PKI,目錄管理、Signal Sign-on、網路病毒、防火牆/UTM等有關議題。直到翻閱本文,發現自己像個"缸中之蝦",不知外面的世界是如此的寬廣。
在本篇文章中,提到了一些正在發展/已發展的一些竊取資料的方式-從電腦螢幕的倒影(眼球、杯子、眼鏡…等反光物體),鍵盤的電波,印表機的聲響,網路視訊,網路設備的閃爍訊號-等所謂旁通道(side channel)的資料竊取方式。雖然該文提到旁通道攻擊有一定的限制,如:必須要接近目標,而且必須使用者正在讀取資訊時行動。但所謂:「殺頭的生意有人作,賠錢的生意沒人作。」在肥蝦所專長的金融軟體資訊領域,不正是屬於「殺頭的生意有人作」的範疇嗎?
資訊安全在國內目前可說是在如火如荼的推展當中,就金融產業來說:除了政府內政部門的要求外,金管會銀行局與銀行公會也相繼推出新的資安要求與法令。其目的之一:就在保護消費大眾的權益,以及社會的安全。記得肥蝦在四月二十三日與二十四日參與的「2009台灣軟體品質與資訊安全研討會」。不少學者也提出:目前國內軟體廠商從軟體設計開使就忽略了資訊安全的要求,導致國內產品與國際大廠無法於市場角逐的要素之一。其實,肥蝦也深深感受到客戶端雖然有考慮資訊安全,但在業務導向下,也僅是遵照政府的法規行事而已。但對身為專案管理與系統分析的肥蝦來說,在產品設計之時就能考量資訊安全的需求與必要性,這是一個重要且必要的課題。
雖然如本文所說明的旁通道攻擊,真得很難有有效的防範方式,但是資訊安全是目前與日後的重大議題,背後的商機也是無限的龐大,值得大家一起來關注。