加密貨幣的教訓
今天的數碼世界存在著各種威脅,如同病毒一樣,看不見但四處都是。大部份電子裝置若要運作,無可避免地需要直接或間接連上互聯網,就有「被感染」的風險。一旦連上互聯網便要面臨包括監控、中間人窺看、網絡攻擊、釣魚、電腦病毒、軟硬件後門等。如果你風險意識不足,未必直接損失金錢,但失去私隱資訊影響可能更嚴重,系統更可變成殭屍網絡影響他人。在加密貨幣世界,若風險意識不足,資產隨時化為烏有,所以對連網風險較為警覺,而且有較成熟的應對方案。每一筆加密貨幣都有公開的數碼地址及私人密匙。暴力破解私人密匙並不可行,所以不法份子利用各種網絡攻擊或釣魚等方法偷取密匙。電子錢包用作管理數碼地址及密匙,一旦接上互聯網,就要面對各種攻擊及數碼威脅。市場已累積了不少經驗去應對風險,並可歸納為三種方法。第一類是用家親自管理的硬件錢包,除了交易時硬件不接上互聯網。第二類是連線空隙(Air Gap),通常是加密貨幣託管或交易所使用,錢包放在一個不連線的儲存,需要交易時才上載並連上互聯網,交易完畢馬上卸載。第三類是將密匙分割成多份,通常在託管使用,需要交易時將一定份額的分割密匙合併。因為沒有一方擁有完整鎖匙,就可避免單點失敗(single point of failure)的風險。。
三大資訊安全概念
上述加密貨幣風險管理帶出三個重要資訊安全概念,就是切斷直接連線、適時才連線及將資料分散。第一類離線作業是較高安全級別的操作,實施上並不太困難,基本需求是利用Linux作業系統及沒有作業系統的單板電腦。Linux衍生多款開源系統,因所需空間少,可放在USB或MicroSD直接起動。只要將個人資料放在另一外接加密庫並接上單板電腦,就可離線運作。資料可經過另一外接USB轉移。更新系統有兩個方法,一個是利用USB下載更新資料,另一方法是直接將整個載有系統的USB刷新。至於第二及第三類,先決條件是作業系統及所有軟件都必須「乾淨」,因為裝置始終要接上互聯網,如果系統或任何軟件本身有問題,連線後便會出事。筆者就見過不少垃圾及臃腫軟件,沒有連線時在背後不斷搜刮積集資料等待連線機會,一旦連線便將資料上傳。確定作業系統及軟件安全後便可以執行下列多種分隔策略。其一,帳戶分離。視窗、安卓或Linux系統皆適用,但蘋果系統暫時不支援。你可因應不同目的建立不同帳戶,而且避免給予帳戶管理人權限並限制安裝軟件,Linux甚至可以限制帳戶使用互聯網。每個帳戶通常將帳戶內的資料分開並加密處理,但使用時請留意,帳戶間可能有存取的共用空間,例如使用同一外掛硬碟,用戶應避免將資料儲存於其中。處理敏感資料的帳戶,筆者建議限制帳戶所有對外通訊,包括Wi-Fi及藍牙。
加密貨幣資料圖片。(OZAN KOSE/AFP via Getty Images)
落實執行並不困難
其二,善用作業系統提供的私密隔區。安卓系統提供兩類,一類是軟件隔區,區外軟件無法讀取區內軟件的資料。另一是額外提供上鎖的檔案夾,與一般檔案夾分離,需要輸入密碼才可取用。其三,選擇含有格區的軟件。安裝軟件時你需要了解軟件存放資料的位置。較佳的軟件設計是將資料完全放在軟件隔區內,除非用戶有特殊動作,否則資訊不離開軟件隔區。例如手機版的Signal通訊軟件就是預設隔區。其它類似軟件必須檢查選項,可能預設將媒體及檔案儲存於手機共用空間。其四,個人資料儲存與系統分離。若使用電腦,請習慣將個人資料及檔案存放在加密庫或可移除的加密裝置,需要時才上載加密庫,使用完畢馬上關閉。請留意軟件可能製造暫存檔,作業系統可能保留開啟紀錄,穩妥的做法是定期徹底清洗暫存及系統紀錄。其五,網絡隔區。高級的路由器容許建立多個網絡甚至虛擬網絡(VLAN),用作不同目的,並預設防火牆,例如限制訪客網絡與其它網絡互通。簡單的策略就是將資訊安全要求高的裝置與其它裝置分開網絡。最後就是將資料分隔傳送。典型的利用TOR瀏覽器,又或去中心化的VPN,可避免任何中間人擁有全部資料。當然資訊分隔還有其它策略,包括虛擬硬碟、虛擬電腦、沙盒等,這些操作較為複雜,日後介紹。
可見將資料分隔並非難事,選項亦多,且各有各好處,不少還可混合使用。只要用戶知道有這些選項,按自身需要而落實執行,就可將資訊外洩風險大幅降低。◇
----------------------
【新】📊 每周財經解碼
https://tinyurl.com/2asy8m4p
🔑 談股論金
https://tinyurl.com/yc3uda7e
----------------------
【不忘初衷 延續真相】
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
