可怕的Foxy
警方的Foxy泄密案十分轟動。明報的報導稱涉案的警務人員可能要受紀律處分。今天再看TVB的新聞,其中一段稱:
政府指,員工缺乏資訊保安意識,令過去三年,有近四萬六千名市民的,個人資料外洩,涉及十一個政府部門,及六個公營機構。
新聞報導中,商務及經濟發展局長馬時亨斬釘截鐵的稱,他們的內部指引是十分清楚,問題只在於員工沒有遵行。我沒有看過(亦沒有資格看)內部指引有多清晰,但我會建議,以後政府的內部網絡多建一點的限制,例如強制不讓人瀏覽甚麼特定的網站,包括Webmail等;亦應該強行封殺了某些P2P軟件常用的Port,好減少上述的情況。這不是封建社會的做法,其實現在有些銀行與財務機構也有這些限制。
老實說,我一直都覺得,我們的特區政府對資訊科技的認識是比較落後的。就以陳冠希的「艷門照」事件來說,他們如何輕看網絡,把「捉到源頭」等的說話掛在口邊,已經可略見一二。而近日接二連三的,有公務員犯上USB手指及Foxy導致資料外洩,如果內容指引是十分清楚,那就可能反映了執法出現問題、指引清楚但欠完善、內部教育不足,以及大家輕看了自己作為Information Worker的責任。
有論壇的網友稱,應該是警方有人用Foxy下載MP3,所以出了事。這個我可不清楚,說不定他們正研究如何解決網上罪案呢。但為何會把機密文件都「分享」了出來呢?一般來說,這類P2P軟件都讓我們設定分享與下載的Folder。如是這樣,除非警方的朋友設定把整個硬碟都分享出來,又或者直接把放置機密文件的Folder設定成為分享及下載的Folder,那才有這樣的「慘劇」。
網上亦有兩個傳言。一是,Foxy本身已經「先天不足」,有安全的漏洞,所以無論如何設定,也有機會分享了一些我們沒有指定的Folder,讓人看到一些機密的資料。另一個傳言是,網上流傳著一個被Hack了的Foxy軟件。而這軟件會把整個硬碟,所有檔案都分享出來。有些Foxy用戶稱,他們能在Foxy平台上找到一些系統檔案,似乎這兩個傳言也不無道理。
不過,因為Foxy而闖了禍的,似乎不單只是香港的特區政府。在維基百科的Foxy條目中,有一部份是「新聞事件」。其中有這樣的記載:
台灣內政部警政署刑事警察局科技犯罪防制中心與新波科技公司自2006年起,長期深入研究P2P軟體之運作模式,發現Foxy能搜尋到部分政府機關之文件及表格檔案、公司行號之內部文件(會議紀錄、採購紀錄等)及個人私密資料(帳號、密碼等)。刑事警察局科技犯罪防制中心主任李相臣批評Foxy在分享資料夾的設定上容易讓使用者誤設為「全機分享」,「且該軟體本身容易被植入木馬,所以資料外洩情況最嚴重。」
另外,根據Taipei Times報導,有關漢光演習一事的資料,也在Foxy之內被傳開。報導稱:
The Ministry of National Defense was in damage control mode yesterday after discovering that China had gained more data than originally thought on this year’s main military exercises…
…The Chinese-language Apple Daily reported the latest alleged leak yesterday. The newspaper said information about the Han Kuang exercise could be easily located and downloaded from “Foxy,” an information sharing platform.
The information included details of the exercise, names of military personnel, troop information, locations, dates and times…
我沒有用過Foxy,但我覺得,如果Foxy是這麼易把我們的硬碟內容,全裸的暴露人前,那我們還是不用為妙。而對於企業來說,大概也應該全面的Block了這類P2P軟件使用的Port,免得企業的資料外流。
道高一尺‧‧‧禁了軟件,可能會有網上版推出。若想杜絕,或可從流量控制來阻止員工上下載檔案,不過此舉必令 IT 部門工作量幾何級數上升。
魔高一丈,的確不錯,但這也只好要求大家與時並進吧