Monday, June 06, 2005

HKCERT 必須改革

A survey finds Hong Kong to be the paradise of zombie computers. We better improve our self-protection with an emphasis on network monitoring, and a re-definition of the role and funding support for HKCERT.

HKCERT 必須改革

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

  作為國際性城市,香港常常在不少的國際排名上名列前茅,但最近香港獲得的一個第一名,實在令人擔憂,原來,香港是「全球DDos之都」。

  什麼是DDos?首先,要了解什是DoSDoS的全稱是Denial of Service(阻斷服務),那是一種網絡攻擊方法,在一段期間內透過傳送大量而密集的封包(packets),令被攻擊的網站或伺服器不能正常運作,正常及正當地使用的用戶,反被拒諸門外,不能登入。為了攻擊不被發現,DoS目前已變形成透過網絡不同來源的DDoS(分散式阻斷服務,Distributed Denial of Service),近年不少網絡安全系統已包含「反DDos」功能,但道高一尺,魔高一丈,新的DDoS攻擊,愈來愈能假扮成正當的網絡交通。為了掩飾DDoS活動,攻擊者需要利用大量不同來源的真實IP地址,所以就先要入侵網絡上無數不設防的Zombie(喪屍)電腦,「騎劫」它們來不斷發出大量封包。

欠缺主動監察

  在一家名叫Prolexic的網絡安全公司,最近發表一項2005上半年的「喪屍報告」,從發出攻擊量計算,香港是排名十一的國家或地區,佔了總數的2.35%,落後於榜首的美國、中國和德國;但若除以人口計算,香港就得了這不光采的「全球最多喪屍肆虐」地區之名。如以個別網絡比較,AOL佔攻擊量的5.32%,排名第一;香港寬頻的ctinets.com,也以1.51%高踞第八位,即佔全港問題60%以上。

   雖然,喪屍肆虐沒有讓香港用戶和網絡即時癱瘓,但問題比一、二個新的電腦病毒有更大的潛在危險,直接點說,那是一個計時炸彈,一點也不算過分或危言聳 聽,香港如果不正視處理這問題,不止令香港資訊界面目無光,更是讓香港成為全球網絡不法分子的「天堂」,遲早外國政府也要和我們過不去。

  為什香港會被人感染這多的「喪屍」,除了個人和企業的電腦和網絡安全的保障行為不足之外,香港整體對網絡監察意識也不夠,難怪會被人利用來試行各種新的攻擊方法。香港雖然有一個HKCERT(電腦保安事故協調中心),但只限於「應變」,沒有資源做任何的主動監察,甚至教育的工作。

  在今天資訊世界內,網絡監察在很多歐美地區,甚至中、日、韓、澳洲等地,都已經推行,新加坡是最新積極進行的國家,該國在2月宣布的資訊通訊安全重點計劃,斥資二千三百多萬美元的「種子撥款」開發人力等資源,應付各種網絡威脅及成立攻擊預警系統,項目包括教育、認證、宣傳,但最核心的是成立一個新的國家網絡威脅監察中心。

  新加坡政府此舉確認了網絡監察的必要性,以及需要投資和專才,香港遲早也要這樣做,問題只是是否要啞忍至災難發生呢?HKCERT當年成立,也是在互聯網業界提出建議後約三年,被多個資助渠道的外行人拒絕,然後愈來愈多的病毒出現,終於令官員要向公眾解話,中心才能成立。既然如此,何必當初?預防勝於治療,請不要等出現大癱瘓才檢討應變吧。

郵局電子證書屬「大白象」

  今天,HKCERT每年的預算只得三數百萬元,亦沒有常設性撥款,根本不足以應付嚴重的問題,難道政府要它將來為了生存而出外「接客」?這相當於叫警察去兼職護衛員。再說,港府也非沒有於網絡安全投資,只不過資金和精神都錯誤地花了在電子證書身上。

  筆者上周與三位香港電腦網絡界數一數二的專家「吹吹水」,發覺三位專家中無一人使用香港郵局的電子證書:A君指電子證書並非國際承認通用,反而多年來使用PGP保密電郵已覺足夠,B君曾經安裝電子證書但很少用,近期改用Mac機後,電子證書並不支援!C君最近幾經艱苦,安裝了電子證書,也只為一個電視訪問的示範而已;大白象的例子,莫過於此。

   即使智能身份證可安裝電子證書,但最近香港的網上銀行採用即時密碼作雙重認證,而棄用電子證書,就可清楚看到市場的眼睛是雪亮的;與其繼續花錢宣傳「用 了電子證書就好像足夠」這等訊息,不如投資專才培訓(因為香港現在仍缺乏這個層次的人才知識)、廣泛教育及預警系統,否則香港「資訊自由流通」這「社會四 大支柱」之一,前景堪虞。

刊載於《信報》2005年6月6日

1 Comments:

At 11:46 AM, Blogger wow power leveling said...

This comment has been removed by a blog administrator.

 

Post a Comment

<< Home

-->