【WannaCry】炼成防Hack之身 前FBI教你点改密码先安全
“WannaCry?咩嚟㗎?我只系知我日日返工返到wanna cry(很想哭)。”对于近日电脑勒索软件WannaCry肆虐全球,有打工仔可能会说:“公司系统不更新是IT部门的事”,又或“我公司用Apple㖞”。
不能否认,很多企业的员工一听到网络保安,大多的反应是先打个呵欠,然后补一句:“唔关我事”,不过,若然大家仍以“abcd1234”为公司电脑的密码,那可能未必需要WannaCry,黑客们都可轻易把你朝9晚10的工夫全部扫光。
“现今的黑客技术不用高超,可能纯粹安排一场骗局即可成事,这不是安装最新防毒软件便可预防。”于美国有10年IT顾问经验的邝豪迪(Howard),以过来人身分指很多公司都是“针唔拮到肉唔知痛”,如餐饮业般近年以POS(Point Of Sales)系统取代手写单等,但部分传统服务性行业的企业向来较少投放资源在互联网保安上,因此收集到的大量资料时,便容易成黑客攻击的目标。
WannaCry在全球影响逾150个国家,美国网络保安公司Digital Shadows更在日前指出,跟这恶意程式有关的支付交易,已有合计3.2万美元(约25万港元)。原来WannaCry属勒索软件(ransomware)的一种,勒索软件是目前最流行的网络罪案。根据美国联邦调查局的调查指出,在2016年首3个月,单在美国涉及利用勒索软件的金额已经高达209亿美元。前美国联邦调查局的网络安全顾问Timothy Wallach于2016年来港时指,大部分企业因不想牵涉警方,于是索性付钱了事,但反而会开先例,增加日后被入侵的机会。
钓鱼电邮愿者上钓 遗失手指惨过败家 秒懂3大数据失窃陷阱 (按此进入内文)
综合Howard与Tim的意见,要减低受黑客入侵及袭击的机会,以下4点应能助你一把:
1. 最佳的密码
密码不设为“abc”“123”是常识吧?原来非也!
网络资讯企业Deloitte在2013年曾进行调查,发现9成由用家所设定的密码是容易被黑客入侵,因此Howard认为two-factor authentication(即同时征求密码及个人资料)虽费时,但在使用时亦有一定价值。
Tim则建议,密码长度应为13或14个字元,而且要凑合一些无关痛痒的词汇,如flower-roger-hello;Howard更建议“3大不”的原则:不用个人资讯、不用字典内的词语及不要单字后配数字或字母,“由于被盗取的档案通常是一堆已加密代码(encrypted code),而且一般加密方式亦大同小异,黑客只需轻松尝试即有可能配对出相应密码。”
2. 第三者非万能
Howard指企业如资源紧绌,例如在应用云端科技时,与其要大量“买铁”(即自设数据库),不如使用如AWS或IBM等成熟云端巨头的服务,将可更合乎经济效益,“中小企若遇上一些不太擅长的位置,不要因为成本而不放手交给专业人士处理。”但他提醒,企业应与多于1个服务供应商合作,免得在经济及保安上被第三方牵制。
Howard另提醒防毒软件并不如想像中“天下无敌”,“市场上的保安软件只可以查出及防止现有病毒,却未能防范未知病毒入侵。”
3. 设定多个Wi-Fi切入点
透过Whatsapp及Wechat等程式讨论公事,甚至发送文件截图已为生活常态,Howard表示市面的程式大多已将对话内容加密,因此导致网络盗窃的机会不大,不过要留意,“对话”的资料是有机会被服务供应商储存起来的。
如企业容许员工携带个人装置上班,Howard指只要设定多个Wi-Fi切入点,又或是采用流动装置管理(mobile device management)便可,便可避免黑客藉入侵员工的个人电子仪器而连累公司的互联网保安。
4. 仲坐系到培训?
不少企业会定时要求员工参加互联网安全培训班,要避免员工左取入,右耳出,Howard建议利用有趣的实例来寓娱乐于教育,如美国记者Mat Honan的电脑曾被黑客入侵,惨令他丧失所有女儿成长的照片,Howard指这类形的故事更能影响一个人的看法,而且效果比要求员工背诵PowerPoint来得更好。