【WannaCry】鍊成防Hack之身 前FBI教你點改密碼先安全

撰文:陳彥婷
出版:更新:

「WannaCry?咩嚟㗎?我只係知我日日返工返到wanna cry(很想哭)。」對於近日電腦勒索軟件WannaCry肆虐全球,有打工仔可能會說:「公司系統不更新是IT部門的事」,又或「我公司用Apple喎」。
不能否認,很多企業的員工一聽到網絡保安,大多的反應是先打個呵欠,然後補一句:「唔關我事」,不過,若然大家仍以「abcd1234」為公司電腦的密碼,那可能未必需要WannaCry,駭客們都可輕易把你朝9晚10的工夫全部掃光。

要在網絡世界裏求得第一道保障,首先是要懂得設置一個安全度高的密碼。(視覺中國)

「現今的駭客技術不用高超,可能純粹安排一場騙局即可成事,這不是安裝最新防毒軟件便可預防。」於美國有10年IT顧問經驗的鄺豪迪(Howard),以過來人身分指很多公司都是「針唔拮到肉唔知痛」,如餐飲業般近年以POS(Point Of Sales)系統取代手寫單等,但部分傳統服務性行業的企業向來較少投放資源在網路保安上,因此收集到的大量資料時,便容易成黑客攻擊的目標。

學返兩招辦公室小智慧,效率、士氣隨時返哂嚟! (按此進入)

WannaCry在全球影響逾150個國家,美國網絡保安公司Digital Shadows更在日前指出,跟這惡意程式有關的支付交易,已有合計3.2萬美元(約25萬港元)。原來WannaCry屬勒索軟件(ransomware)的一種,勒索軟件是目前最流行的網絡罪案。根據美國聯邦調查局的調查指出,在2016年首3個月,單在美國涉及利用勒索軟件的金額已經高達209億美元。前美國聯邦調查局的網絡安全顧問Timothy Wallach於2016年來港時指,大部分企業因不想牽涉警方,於是索性付錢了事,但反而會開先例,增加日後被入侵的機會。

釣魚電郵願者上釣 遺失手指慘過敗家 秒懂3大數據失竊陷阱​ (按此進入內文)

綜合Howard與Tim的意見,要減低受駭客入侵及襲擊的機會,以下4點應能助你一把:

1. 最佳的密碼

密碼不設為「abc」「123」是常識吧?原來非也!

網絡資訊企業Deloitte在2013年曾進行調查,發現9成由用家所設定的密碼是容易被駭客入侵,因此Howard認為two-factor authentication(即同時徵求密碼及個人資料)雖費時,但在使用時亦有一定價值。

Tim則建議,密碼長度應為13或14個字元,而且要湊合一些無關痛癢的詞彙,如flower-roger-hello;Howard更建議「3大不」的原則:不用個人資訊、不用字典內的詞語及不要單字後配數字或字母,「由於被盜取的檔案通常是一堆已加密代碼(encrypted code),而且一般加密方式亦大同小異,駭客只需輕鬆嘗試即有可能配對出相應密碼。」

設置密碼?還要教的嗎?偏偏很多人就是靠着保護能力極少的密碼來度日呢!(視覺中國)

2. 第三者非萬能

Howard指企業如資源緊絀,例如在應用雲端科技時,與其要大量「買鐵」(即自設數據庫),不如使用如AWS或IBM等成熟雲端巨頭的服務,將可更合乎經濟效益,「中小企若遇上一些不太擅長的位置,不要因為成本而不放手交給專業人士處理。」但他提醒,企業應與多於1個服務供應商合作,免得在經濟及保安上被第三方牽制。

Howard另提醒防毒軟件並不如想像中「天下無敵」,「市場上的保安軟件只可以查出及防止現有病毒,卻未能防範未知病毒入侵。」

3. 設定多個Wi-Fi切入點

透過Whatsapp及Wechat等程式討論公事,甚至發送文件截圖已為生活常態,Howard表示市面的程式大多已將對話內容加密,因此導致網絡盜竊的機會不大,不過要留意,「對話」的資料是有機會被服務供應商儲存起來的。

如企業容許員工攜帶個人裝置上班,Howard指只要設定多個Wi-Fi切入點,又或是採用流動裝置管理(mobile device management)便可,便可避免駭客藉入侵員工的個人電子儀器而連累公司的網路保安。

4. 仲坐係到培訓?

不少企業會定時要求員工參加網路安全培訓班,要避免員工左取入,右耳出,Howard建議利用有趣的實例來寓娛樂於教育,如美國記者Mat Honan的電腦曾被黑客入侵,慘令他喪失所有女兒成長的照片,Howard指這類形的故事更能影響一個人的看法,而且效果比要求員工背誦PowerPoint來得更好。

Timothy Wallach(左),前美國聯調查局網絡安全顧問(陳彥婷攝);Howard(右),擁有10年在美國擔任IT顧問經驗(受訪者提供)