我對foxy事件的看法

最近有則新聞讓我很想把自己對資訊安全的一些看法做些整理、並希望能和大家分享。該則新聞,大意是某員警在派出所的電腦上安裝foxy,不知是設定錯誤、或是安裝了被放置後門的軟體,抑或真如該單位所說的,流出的機密資料,是被『駭客入侵』竊取.不論如何,這件事情對突顯了管理我們個人私密資料的有權者,並非每個人都對資訊安全皆有正確認知。他們的管理失當,將使我們權益無意間招受慘重損失。以此事件的p2p軟體為例,其中泄漏的警察筆錄,可能記載了許多詳細的私密資料,這對於受害者而言,極可能造成嚴重的二度的傷害。坐在一架機長沒駕照、甚至對飛行沒概念的客機上頭,何等令人恐慌?peer-to-peer network有個有趣的特性,那便是除非所有nodes都掛掉導致整個網路癱瘓,否則這個network具有自我修復的特性;以常用的檔案分享為例子,除非網路中所有的使用者有志一同的都把某特定檔案刪除,否則該檔會不斷地在node之間流傳。柏克萊大學有個實驗計畫,名稱為OceanStore,該計畫便是利用這種特性,利用p2p network建立起超大的虛擬記憶體,彷佛人類所有的文化歷程,皆能儲存在這近似永久性的記憶網路中。我想,那些流入foxy的私密資料檔案,即便將foxy使用社群完全鏟除,仍然無法制止檔案的流傳。因為那些檔案會被有心人士,用各種不同的媒介繼續傳遞下去。這感覺就像是名人的八卦一樣,口語之間、世代之間流傳萬世。舉個實際的例子,我們都知道漢哀帝有斷袖之癖。究竟我們個人隱私的有權管理者,是怎樣的人,我們很難得知。但可以確定的是,對我們個人私密資料有興趣的人,不在少數-不管是出自於個人好奇心,像是想知道正妹的msn;或是有什麼特別目的,像是想推銷我買Wii。有人竭盡所能的買名單、入侵系統,以便希望得到機密;然而同時間,有權管理者卻不知預防-甚至我們自己也不知道該如何預防。在我們理解各種資訊安全的風險之前,我們已經將所有的個人私密資料推積在『桌面』上,並且,更嚴重的是,我們日益加深對電腦的依賴。當自己還在岸上時,有足夠的時間恐慌這一切的來臨;然而當人已深陷泥沼,得先思考如何纔不會越陷越深,foxy 音樂下載到桌面。雖然沒看過Foxy的程式碼。即便全部仔細讀過,其實也很難抓出被刻意安插的後門;誰又看過windows-一個大多數的我們日夜依賴的系統-全部的程式碼,並完全理解每行程式碼的意義?如果有人安裝軟體時,曾仔細閱讀軟體的授權與合約,會發現幾乎所有的軟體都是AS IF來規避責任。當制造者不願負起全部責任時,對其不信任-也就是不完全信任軟體,我想該是種基本態度。然而在問題爆發前,對什麼是可以信任的、什麼是不能信任的、有哪些風險必需承擔、而有哪些風險可以規避預防.此類的事情大部分人一點概念也沒有。甚至多半時候,只是繼續依賴那些自己不了解的東西。風險有許多的層面。有些風險是自己可以控制的,對於這部分,我們應該投注更多的時間了解資訊安全是怎麼一回事。而對於那些不能自己控制掌握的風險,如foxy事件中的那些失職警員,我們必須尋求政府的協助,至少在發生之後,能對因為管理有權者疏忽資安問題而造成的損失有所補償。