问:近年市面有不少声称有加密功能的外置硬盘,这些硬盘宣称做到硬体AES标准加密,但最近有电脑保安专家发现,所谓有保密功能的外置硬盘,加密功能完全不堪一击,一旦资料落入公安手中,很容易就会被破解,这到底是怎样一回事?
李建军:有保安专家针对美国一个大品牌的加密外置硬盘进行保安测试,测试发现不同型号的加密硬盘,就算用了不同的硬件加密晶片都好,由于这些晶片设计上有保安漏洞,只震暴力破解密码、查表等手段攻击,就可以破解这些所谓加密功能。
由于这个美国大品牌所用的晶片,其他主要品牌都有用同类甚至同款晶片,因此,这几乎肯定市面上为数不少的声称有加密功能外置硬盘,其实有保安漏洞,并不能够真正保护消费者的资料安全。
问:在外置硬盘的加密功能不完整的情况下,要怎样做,才能够确保自己的资料百分百安全,就算落入公安或国保人员手中,都难以泄漏当中的资料?
李建军:要真正安全加密,并不能够只靠外置硬盘或USB手指本身的加密,硬件加密功能,可以作为辅助之用,提高解密的难度,但纯粹只靠外置硬盘或USB手指的硬件加密,由于晶片的漏洞,这是太危险的做法。
新一代作业系统普遍提供磁碟加密功能,无论Windows还是Mac,都提供合符AES标准的磁碟加密。可以将资料存在经Windows或Mac磁碟加密功能加密的影像档,再将有关磁碟影像档存放于硬件加密的外置硬盘或USB手指上,在双重加密的情况下,大大加大了破解的难度。不过要注意的是,如果你用AES 192或256位元的加密,读写速度会比较慢,你可能需要多一些耐性存取档案,或者考虑升级电脑,令电脑加密和解密资料的速度加快,从而提升读写效率。
问:最近苹果软件商店,大规模将不少中国公司推出的软件下架,而大部分都与侵犯私隐有关。这次又有什么新招数,可以令黑客或个别中国公司,可以回避苹果公司的审查,偷取客户私隐有关的各类资料?
李建军:这次中国的广告商有米,向手机应用程式开发商提供的软件开发套件中,包括会偷窃个人私隐,甚至取用蓝芽、相机等功能的程式码,这些程式码是苹果的合约中明文禁止出现,有电脑保安公司发现问题后,苹果就将所有含有有米提供程式码的应用程式全部下架,在有关程式删除了有米提供的程式码后,才会再度上架。
这次事件,连同上次XCodeGhost事件可以看到,中国的应用程式开发群组所用的工具其实很有问题,可谓千疮百孔,就算避到了XCodeGhost,都可能避不过其他大型广告商向开发人员提供的违例,甚至严重侵犯私隐的程式码。因此,同类的大规模下架事件,日后可能会继续发生,严重影响用户的生活。
要避免自己成为中国公司甚至政府的私隐侵犯程式受害者,在苹果App Store上由中国公司或程式开发人员开发的程式,在苹果未清查所有侵犯私隐问题前,应该暂停使用,甚至尽早删除,由其他国家开发商开发,具有中文介面的同类程式取代。
虽然谷歌未有对Google Play程式商店的程式进行大规模保安清查,但众所周知,Android的程式售卖监管比苹果宽松得多,换言之问题很可能更严重,在Android手机,就更加要避免使用由中国公司或个人开发的软件。
via 细节的力量 http://ift.tt/1MX1Awg
No comments:
Post a Comment