大學不敢談的資訊安全問題(瀏覽器戰爭裡的宗教狂熱)
Created at Monday, 08 February 2010 03:04 Last Updated on Tuesday, 09 March 2010 21:32
Written by 洪朝貴
一般人或許以為大學的人力與軟硬體資源豐富,面對資訊安全問題的反應力較強。不過在臺灣,似乎有一種資安問題可以打敗絕大多數的科技大學,可以讓絕大多數的電算中心悶不吭聲,避而不談,不論如何危險刺痛,也只能靜靜地看著所有的教職員生暴露在風險當中。那就是 IE 的安全漏洞。不過我認為:問題的癥結不在微軟,而在各大學的電算中心,和資訊科系-包含敝校。
先前 Google 中國被駭事件當中,入侵者的切入點,正是微軟 IE 瀏覽器的重大安全漏洞。受影響的並不只有 IE6 -- IE7 與 IE8 一樣有相同的安全漏洞。很快地,微軟在 1/14 就已經公告此一漏洞 (但並未修補),並且呼籲大家應停止 ActiveX 功能,或至少將它設定成高度安全模式 (基本上就是很難用的模式)。詳見 "Dump Internet Explorer Now" 一文。第一時間,敝校電算中心沒有反應-並沒有把微軟的公告轉知給教職員生。
但是在 1/15,攻擊用的程式碼已經被公佈在網路上。微軟不能再等到下一個月的定期更新才處理這個問題,於是趕緊在 1/21 推出安全更新(格主替微軟拜託您,如果您正在用 IE,如果您暫時還不打算改用 firefox,請務必去更新一下 IE。您如果不立即去更新,將來還有立場罵微軟的 IE 不安全嗎?)但是已經來不及了。1/20 號左右,出現了利用此漏洞的大規模攻擊事件 -誘騙 IE 使用者前往某些惡意網站,並利用這個漏洞入侵 IE 使用者的電腦。敝校電算中心仍舊沒有反應-並沒有提醒教職員生要盡快安裝更新。
為什麼敝校電算中心沒有反應?是因為不重要嗎?顯然不是。連微軟自己都緊急在非常規時間推出更新了,事態當然很嚴重。德國與法國甚至都由政府出面,先後警告民眾避免使用 IE。在臺灣……當然,大家都懂得不要過度期待政府把關的能力,以免自己的權益受損。但是大學為什麼噤聲呢?而且我相信敝校不是特例;跟敝校一樣噤聲的大學,極可能是絕大多數,甚至還可能是全部。)是因為只有資訊人權貴在注意外國新聞嗎?是因為中文媒體不談,所以資訊教授們忙到不知道這個重大安全漏洞嗎?顯然也並不是。臺灣 zdnet 的報導:「IE攻擊範本已在網路上流傳」也早在 1/18 就已刊出。
是因為大學長期自殘,已經無路可逃。請參考敝校的「線上簽核系統資料下載區」,並請注意 (8) 共用手冊 (IE6 設定) 和 (10) IE7 設定方式兩份文件。IE6 還好,除了一些基本設定,只需要放棄一點隱私(因為要允許彈跳視窗)放棄一些好用的工具(因為系統不打算與其他任何工具相容)就可以了。至於 IE7 呢?我有印象當初 IE7 出來時,學校叫大家不要升級。因為我們的系統不僅僅綁死在 IE,而且綁死在時間定格特定版本的 IE!後來顯然 IE7 終於也可以用了(IE8 就算了);但是……天啊!步驟如此複雜,比自己製作開機隨身碟要困難多了。不過困難事小。請看看文件要求你如何將門戶完全大開!「下載已簽署的 ActiveX 控制項」就算了;甚至要允許「下載未簽署的 ActiveX 控制項」。看了這些文件以後,我有一種被要求脫到只剩內褲的感覺 -- 如果你想在敝校生存,想要使用線上簽核系統的話。而這些要求,正好與微軟的建議相反。難怪敝校對於 IE 這個重大的安全漏洞,完全無法做出任何有意義的回應 -- 因為一旦照做,系統就廢掉不能用了。不如就讓大家繼續暴露在危險當中吧。不去看/不去聽/不去談這個問題,這個問題就不存在了,很簡單,不是嗎?
(給好奇的讀者:為什麼我先前都不知道?我如何在敝校生存?因為過去遇到 IE-only 的網頁,我就放棄。只是少申請一些補助,沒太大的損失 -- 至少目前領薪水還不需要用到這個系統。這一兩年執行計畫,所以可以請可憐的助理代為出生入死-把我的帳號密碼給他,讓他代替我承受 IE 的折磨。)
回到主題。OK,IE 很糟糕沒錯。這也是為什麼德國法國政府叫大家改用別的瀏覽器。但那不是重點。微軟很糟糕也沒錯。但那更不是此次事件的重點-這次是:微軟已經仁至義盡地公告,甚至推出安全修正;但大學沒反應。有人回嗆 firefox 也不安全。我不同意;不過就算 firefox 真的不安全,這仍舊沒抓到重點。還有 chrome 呢?opera?safari?w3m?lynx?konqueror?這麼多替代瀏覽器,至少總有一個暫時安全吧?再怎麼迷戀 IE,至少可以暫時先改用另一個瀏覽器吧?至少可以叫大家安裝安全更新吧?這次的重大資安漏洞事件,所突顯的重點是:資訊應用長期一元化、狹窄化、單一版本化的大學,自斷選擇,自斷生路,甚至暴露自己學校所有資訊科系教授的無能-面對一個原本有簡單解的全面性資安危機事件,沒有一位教授能夠給學校提供一個可行的建議。
請想像:某甲只吃牛肉,而且堅持只吃美國版的牛肉。當狂牛症出現時,他不斷地安慰自己:沒關係,輪不到我頭上。
某乙勸他:「暫時改吃豬肉吧。」
他說:「豬也有口蹄疫呀!」
「那麼改吃雞吧。」
「你有沒有聽過禽流感呢?」
「那麼暫時吃素吧。」
「你判斷得出來你吃的蔬菜,都沒有問題嗎?」
其實乙並不是要甲永遠別再吃美國牛肉,也不是非得要說服他那一種特定的食物比較安全。乙只是想勸甲給自己留下彈性,留下多元選擇的空間而己。但是甲對乙的勸告完全聽不進去,仍舊繼續吃他的美國牛肉。當然,這兩個人也就沒辦法再談下去了。其中一位認為另外一位對於自己選擇的堅持已經失去了理智分析的能力,已經陷入了無法以理性溝通的宗教狂熱。於是他停止辯論,開始沈默,開始忽視對方所說的話-因為他知道理性溝通不敵宗教狂熱。(當然他不好意思把這個詞說出口)
不過神奇的是:當我們把場景換回瀏覽器戰爭時,在類似的情境底下,較常被認為宗教狂熱的人,卻是上述故事當中,正好相反的那個角色。乙在他任教的學校裡,長期地、經常地抗議學校並未在網頁設計上,給自己的師生留下彈性,留下多元選擇的空間。他呼籲系上的同事甲(有許多位甲,其中包含多位歷任電算中心主任) 要正視這個問題。多位甲們最後放棄與乙辯論這個議題,繼續吃他們的美國牛肉,我是說,諸位甲們繼續放任自己學校的網站自殘;極少人公開贊同乙的意見。(當然,所有的甲們都很客氣,沒有人開口說乙是宗教狂熱。他們只是停止與乙辯論,開始沈默,開始忽略乙所說的話。畢竟,看來這是對付宗教狂熱者唯一的辦法。) 乙甚至在部落格上進一步勸告正在考慮進入科技大學資訊科系的同學們,優先考慮「能像德法各國一樣,由校方公開出面,有勇氣有能耐公告 IE 安全漏洞並且鼓勵大家暫時或永久改用其他瀏覽器的學校」。乙說:「道理很簡單:面對嚴重的資安漏洞,一所科技大學的資訊科系教授,如果沒有意願或沒有能力幫助自己的學校做出最基本、最簡單的防護措施,如果集體保持沈默,那麼你還期待在那裡能學到什麼對企業真正有用的技術?你期待在那裡學到什麼價值觀?什麼責任感?」 其實乙的重點並不是要扯自己學校的後腿,並不是要吃裡扒外。乙的學校的現任電算中心主任,甚至已經表達歡迎提出建議的善意。(但並未針對此事做出明確的承諾。當然。畢竟,責任也不能算到他一任主任的頭上。) 也許乙的學校的資訊系所,有一天將有機會成為全臺灣第一所值得來唸的科技大學資訊系所。
但是那一天真的會到來嗎?乙的學校 (或其他任何科技大學) 的教授們,有一天終於敢開始看/聽/談 IE 的安全問題嗎?或者這一切都只是宗教狂熱者一廂情願的幻想?那就要看乙的同事裡面,有多少位的想法接近甲,又有多少位的想法接近乙了。一個學校的資訊科系如果有越多位的甲教授,那麼乙就會被視為宗教狂熱者,大家也就會習慣性地忽略他的警告,而全校教職員生 (不只是資訊科系的教授們) 也就必須在不被告知的情況下繼續被迫吃美國牛肉用破洞 IE。相反地,一個學校的資訊科系如果有越多位的乙教授,那麼也許校長和電算中心主任就有機會覺醒,有機會了解什麼是資訊多元化,有機會下定決心整修「歧視其他瀏覽器的網頁」,有機會停止用行動傷害自己學校的資訊科系的資安能力聲譽。
ps. 歡迎大家在這裡替自己的大學或其他任何大學(普通大學或科技大學)打廣告:如果您看到任何大學有類似官方的公告:「因應 IE 資安漏洞問題,請教職員生(暫時或永久)改用非 IE 瀏覽器」,請在這裡留下大學名稱及公告網址。就算因此而破壞了乙教授對自己任職的大學懷抱的第一名美夢,也沒有關係 :-) 謝謝!
※ 本文已徵得洪朝貴老師同意轉載,原文請見其
部落格。