六都春秋 LADO POST

新聞焦點

【評論】民進黨官網被駭!軟體開源才是解決之道

熱門議題
2018-07-24 | 日前,民進黨官網遭駭客攻擊

民進黨官網在七月初遭到駭客攻擊,頁面上出現了「蔡小英加油我們大陸網友都愛你喲」等簡體字樣,並且還預告「下一個輪到國民黨」。對於此事,民進黨發言人表示會強化資安防護,而國民黨的發言人則表示:「國民黨中央黨部是使用封閉式網路,目前未有遭駭的跡象,但可能因為人為點擊來路不明的連結而開出破口。」

筆者對於國、民兩黨在資安方面的回應深感好奇。如果主導國家發展方向的執政黨、或是負責監督的最大在野黨,對於資訊安全沒有一定的著墨,那國家中央政府、各級地方政府的資訊安全品質也就可想而知了。

對於資訊安全的防護,大概可以分成兩個大類別:一個是純軟體技術的類別,另一個則是社交工程的類別。所謂社交工程(Social Engineering)是指利用人性弱點,應用簡單的溝通、欺騙技巧,以獲取帳號、密碼等其它機密資料來突破安全防護。在國民黨發言人的回應中,提到「已通告中央黨部所有黨工,勿點擊來路不明信件的連結」,這種防禦方式,就是屬於社交工程層次的防禦。

社交工程的防禦之道,可以從組織的行政、管理制度加以設計,避免人為的失誤而遭到欺騙。那純軟體技術攻擊的防禦呢?以惡名昭張的資料隱碼攻擊(SQL injection)為例:如果網站既有的程式碼忽略了對使用者輸入字串的檢查,直接將其用於資料庫的查詢,網站只要可以接觸到網際網路(Internet),永遠都有可能會被資料隱碼攻擊入侵。換言之,資安問題的根源之一,就是在於軟體的設計。


開源才是資訊安全的基礎

如何可以得知「我們使用的軟體,在設計之時,有好好地設計,因而沒有資訊安全的疑慮呢」?這個大哉問的答案,出乎意料之外的單純:「只要軟體的源碼(source code),公開在網路上,讓無數開發者的肉眼仔細檢查過,再刁鑽的資安漏洞,也會被一一挑出。」(語出Linux之父--Linus Torvalds)開源軟體正因為程式碼攤在陽光下,因為全世界有相關領域知識的開發者都能一起加入修補行列,而修補的結果也完全公開透明在陽光下,反而在資訊安全上相對有保証。

 


美國白宮的網站在歐巴馬任內使用的是開源的Drupal,川普上台之後,改用了WordPress,也是開源軟體。而樹黨在2018年也針對資安的議題,提出了改革的政見--「政府預算製作的軟體,必須開放源碼」(Public Money, Public Code)。這個政見來自於歐洲自由軟體基金會的一封公開信,在這篇文章撰寫的時候,已經有超過15,000位個人及100多個組織響應。另外,保加利亞已經率先立法,要求政府軟體開源。除了保加利亞之外,法國、挪威、巴西、美國政府也都有一定程度地採用開源軟體,西班牙的巴塞隆納政府也決定在下年度的規畫中,投入 70% 的軟體預算在開源軟體上。

「加強升級資安門檻」這句話,每一次政府的官網被駭,都會被一再地提出。這句話到底是浮在雲端不著邊際的口號,還是會有具體的政策、法規加以改革、加以落實?端看執政者的決心。


 
【六都春秋】臉書:https://goo.gl/hshqvS
【六都春秋】Line:https://goo.gl/Evnz7p

作者

陳家宏

樹黨中評委、自由軟體開發者、善長 Clojure 語言、現任職於點石創新(http://intowow.com) senior backend engineer

我要留言

【友站連結】台灣公義電子報
【迷航的國度】陳昭南著,購書優惠,限量倒數!

置頂

短網址