近日接二連三出現因有人使用一款名為 Foxy 的 p2p 分享軟件,引致政府機密資料外洩的事件,除了顯示出這軟件頗受港人歡迎外,市民對軟件使用的技巧和處理機密資料的方式也是一個很值得探討的問題。
為什麼 Foxy 會受歡迎?
很多人都說 Foxy 用法簡單是其受歡迎的主因,不錯使用 Foxy 只需要安裝好,不作設定就可以開始搜尋和下載,但這只說對了一半,任何一種 p2p 軟件如果沒有大量用戶也不會流行。
在技術層面上,Foxy 只屬於初代 p2p 軟件,世界上原本有其他較好較安全的初代 p2p 軟件,例如 napster, winmx, 及台灣的 ezpeer 等,可惜很多已被多國政府打擊之下消失了。而 Foxy 是台灣開發的軟件,在處事上,開發 Foxy 的公司比其前輩低調得多 (相信是怪引來法律問題吧),令軟件帶來更多神秘色彩。在設計上更針對一般香港和台灣人使用 p2p 軟件的劣根性,不設上傳限制 (速度和連接數),務求在最短時間完成下載。
所以說, Foxy 受歡迎的原因也基於同地區的用家數目多、下載速度快、和欠缺同類 p2p 軟件選擇。
Foxy 的安全陷阱
世上有這麼多 p2p 軟件,為什麼 Foxy 的問題好像特別多?首先我假定其設計者沒有立心不良,不會把用家不願意分享的檔案也傳出去,但其設計有以下幾個問題:
1. 安裝了 Foxy 後,其預設是一開機便運行,並會縮小成小圖示,很多人根本不知道原來 Foxy 一直在開啟
2. 其 “分享” 設定大有問題,令一些用家不小心 (或者年紀太少根本不知道是什麼) 就會把整個硬盤的資料分享,其他軟件多數是要求用家逐個資料夾設定為分享,而且原來很多人都會用"桌面"當作分享資料夾,結果什麼新舊東西放在桌面上也會無聲無色地讓人下載
3. 沒有顯示正在上傳什麼檔案,如果有這一功能,可使用家較易察覺設定上出了問題
4. 沒有上傳記錄,同上
以往這類 p2p 軟件都會顯示什麼人在下載自己的檔案,自己由什麼人下載,甚至可以瀏覽其他用家分享了什麼檔案,但這些功能最後成為執法部門起訴的證據。我想 Foxy 在設計上也考慮過這點,結果減少了透明度令軟件變得更不安全。
機密資料處理的方法
我想政府人員是不會在辦公室安裝 Foxy,最大可能性是因為在家中電腦處理機密資料,而剛巧家中的電腦被小朋友安裝了 Foxy,又沒有留意原來一開電腦便會運行這軟件,結果把資料外洩。
問題是究竟機密文件,是否應該以文書處理軟件處理呢?其實早前醫院因遺失 USB Drive 的事件也令我想到同一問題, 就是用文書處理軟件,製作出來的檔案其他人也可以看到。資料的安全性全靠員工的安全意識,而很明顯這不是人人都可以做得到。我們可以怪責這些不小心的人,但他們的過錯又不算很嚴重 (大家請注意過失的性質和後果兩者不同)。究竟有沒有方法處理得更好呢?
個人認為,機密文件應該用一套系統處理,而非普通文書處理軟件。員工就算不在辦公室,也可透過 VPN 登入和使用系統,這些技術不新,開發也不難,比單靠員工的安全意識妥善得多。
留言
寫下留言