近年,如何保障用戶私隱,成為Facebook、Apple、Microsoft等各大平台,集中硏究的課題。用戶愈來愈重視保護私隱,加上連串濫用個人資料事件,一旦用戶對平台失去信心,足以導致用戶大量流失。
從上月蘋果開發者發佈會,以至最近Google網誌,均陸續提出不少開發工具,以助個人或企業保護用戶私隱。當中包括在不同應用,隱藏用戶電郵和身份;商戶間交易(B2B)過程之中,自動加密用戶資料;加強登錄雲端平台的安全性。
首先回顧各大平台推出的安全方案,可解決那些安全隱患。
企業之間若果能分享客戶交易數據,並加以開發研究,打造及優化各種商業方案。沒有真實數據,難以數碼化經營,但基於客戶保密原因,往往又未能交換數據,作跨行業數據分析,以改善經營。
最近,Google 便公佈一套基於開源碼建立API,業界可解決上述的問題。譬如企業希望分析員工薪酬和購買保險的關係,企業和保險公司當然要互相公開薪酬和員工投保方案的資料,但是貿然公開上述敏感資料,當然會遭反對。Google就利用了一種70代開發的計算程式,將雙方的敏感資料先加密,同時又可抓住相關資料分析,並命名為「Private Join and Computer」,此舉一來保障客戶的私隱,又便利數據分析。Google上周透過GitHub,公開了源碼和API,預計企業可解決分享機密資料,又不會透露了個人身份資訊。
本月初,蘋果公司亦在全球開發大會之中,軟件工程部總裁Craig Federighi也展示了新一代iOS 13作業系統在iPhone的新功能。筆者最感興趣,便是蘋果提供的私隱工具「Sign in with Apple」新按鍵,就是為解決用戶經常分享個人電郵,給予不同App的困擾。
一般來說,若用家要登錄一個新的網站,或下載某個App,一般被要求以個人電郵登記和核實身份,App才接受注冊。後果是電郵有機會被濫用,最後收到垃圾郵件,用戶大感困擾。雖然,現在可使用Sign-in with Google 或Facebook等社交媒體,以登錄第三方App,但仍會把大量的個人資料,通過Google和Facebook傳送。
蘋果的登錄新功能,當用戶註冊或登陸一個新網站,可繞過Google或Facebook,同時隱藏個人電郵。網站要求用戶加入電郵的時候,蘋果會即時生產一個代用的電郵信箱,以代替用戶真實個人電郵,之後郵件會經上述的暫代信箱,再轉發至用戶個人電郵。每一個新App,可用不同代電郵登記,確保用戶不會受垃圾電郵的滋擾。
除此之外,不少Apps 都會設有追蹤功能,一直紀錄和收集用戶所到過地點和日期之類,配合市場或銷售用途等。iOS 13會展示那些Apps,正在追蹤用戶的活動動態,用戶可選擇即時關閉。
最後值得一提,便是微軟新增「堡壘主機服務」Azure Bastion,保護必須遠程登錄Azure雲端虛擬機器的用戶私隱。
RDP是Windows或Windows伺服器常用工具,用戶或管理員可隨時登錄到系統。上月微軟曾發警告,發現RDP軟件漏洞,黑客通過遠程登錄控制伺服器。所以管理好用戶認証和權限,登錄前要作出檢查,並不時作軟件更新,就是Windows重要的保安策略。
現時運行雲端伺服器,往往建立真實IP地址,才能讓管理員以RDP或SSH的協議來連接及登入。讓虛擬機真實的IP地址,暴露到互聯網上,結果引來黑客掃描甚至攻擊,出現保安危機。Bastion就是「堡壘」的意思,Azure雲端保壘,主要通過是Azure用戶Portal的新服務,用戶可在Portal上以RDP 或SSH直接登錄至Windows 伺服器,毋須使用公共IP,情況跟目前的Google雲端管理差不多。未來,微軟也準備整合Active Directory和SSO登錄方案,並在Azure的環境使用多重認證,雲端運算方案更加安全。
作者:梁定康(Andy Leung)網絡保安工程師,向電信商及企業提供網絡保安設計方案。