Thursday, June 23, 2011

电子邮件的安全问题

对内行来说,“电子邮件”和“安全”这两个词在同一句话里出现是不对的,因为电子邮件的设计从技术上来说,几乎就不可能是安全的。医院往外发的邮件都会自动加上一个免责声明:“Electronic Mail is not secure, may not be read every day, and should not be used for urgent or sensitive issues” -- 就是起一个警告作用。

比电子邮件安全的现代通讯手段多得是,但是,俗称“伊妹儿”的这东西可能是大多数网民第一个接触到的互联网通讯工具,方便、简单、实用。这也是为什么现在每个人的邮箱里都塞满了垃圾邮件,但还是无法舍弃电子邮件。通讯工具本质就决定了用的人多才方便实用,就算我个人不喜欢电子邮件,但是需要联系的人用 email,我也就只能将就了。两年多以前 Google Wave 推出的时候,我很激动了一阵,最终不得不放弃,在 Google 公布停止 Wave 的开发之前很久就停止了使用,原因很简单:我希望联系的人都不用 Wave。

写这篇文字的起因,是最近几天连续有几位平时有邮件来往的熟人都出现了问题,先是一位从英国伦敦发来一封紧急求助的邮件,述说财物被盗,让朋友们赶紧按信里给的地址汇钱相助。这种手法我见惯了,相信收到这封邮件的其他人也不会上当,但是我还是给所有人发了一封警告的邮件。第二天又收到另外一人的邮件,里面只有一个网页的网址,我知道多数也是被人冒名发的垃圾,点了进去,却发现冒名者还有更险恶的招数在里面。赶紧又给所有收件人发了一个警告,结果马上收到一位朋友的回邮,说她已经点了那个网页。幸好她还算有所警觉,没有再进一步上当。

这个网页点进去之后,浏览器里会弹出一个窗口,告诉你你的电脑有安全问题,你需要马上安装一个软件来解决问题。这次的这个网页设计得还不十分逼真,以前看见过更像真的。遇到这种情况,记住不要再点任何按钮,尽管弹出的窗口可能有“OK”和“Cancel”这样的选择,但是你点那个结果可能都是一样的。如果你不幸误点了任何按钮,记住千万不要同意安装任何软件;如果你更不幸安装了软件,那你就赶紧祈祷或者拜佛吧。

前段时间网上热烈讨论 Gmail,特别是一些中国维权人士的邮箱,遭遇来自中国的攻击一事。当时一位香港人士在 YouTube 上发了一段视频,显示了一个邮件里收到的视频链接,在点击了之后就在他的 Gmail 帐号里自动设置了一个邮件转发。随便在 YouTube 上搜索一下“Gmail hack”就能找到无数的视频,不过这并不是说 Gmail 特别不安全,实际上 Gmail 比其他一些同是通过浏览器操作的邮箱相对来说要比较安全一些 -- 注意我用的“比较”一词:我前面说过,目前的电子邮件技术不可能绝对安全,而浏览器操作的邮箱,如比较常见的 Gmail、Hotmail 以及 Yahoo! Mail 这些,又给恶人更多一些攻击的角度,所以,使用电子邮件记住一点:电子邮件不安全!

今天,我在三天之内收到第三个由熟人邮箱发来的垃圾邮件 -- 这三起一是 Hotmail,两个是 Yahoo! Mail,所以我想还是写一笔。

首先,是邮箱的密码:记得曾经看过一个教小孩上网安全的招贴画,说“密码象内裤一样,一定要定期更换。”一般人很少换密码,更不会象换内裤那么勤。但是如果你的邮箱密码十年没变,应该考虑变一下了。同时,密码也要讲究一些:不要太过熟悉、太过简单,比如电话号码、生日什么的,最好不要用。最好是自己设计一个规则:比如,如果你喜欢摇滚,可以记住一句歌词,或者记住一句俗语,象什么“害人之心不可有”之类的,然后抽取每个字(词)的第一个字母,加一些大小写变化,再加一些符号之类就不错:“H4zxbk6!”。

其次,还是要多一些安全意识。上述那位香港人士演示的通过 Gmail 邮件转发来偷人私信的手法,是利用了 Flash 软件的一个漏洞。Flash 是 Adobe 公司的一套软件,常被用来制作、放送网络视频、动画之类,基本上在所有的浏览器里都有 Flash 插件。如果有人恶意制作一个视频放在网上,然后通过电子邮件发给你,在你收看视频的时候,他背后偷偷地做一些小动作,比如偷你邮箱的 Cookie 去修改你邮箱的设置,你基本上根本不会注意。这种攻击手段往往容易让人中招,尤其如果你是从“熟人”那里收到转发的视频,你更可能放松警惕。Flash 是一个著名的不安全软件,但是挡不住用的人多,另外一个 Adobe Reader 用来阅读 PDF 文档的,也是 Adobe 公司的产品,两者都屡次被用作恶意攻击的工具。

再次,多数人使用微软的视窗 (Windows) 操作系统软件,但是多数人可能的都没有定期更新系统的习惯。这又是一个需要“象内裤一样”对待的事儿,一定要定期做。微软公司每个月至少发布一次安全补丁,如果你不修补你的电脑系统的话,后果就像裤子破了不补一样 -- 你知道会出现什么状况,对吧?当然,这些系统补丁有时候是会有意想不到的副作用,比如打完补丁系统无法启动之类的,可能会偶有发生,那也是无法避免的。作为微软的用户,你只能“两害相权取其轻”,或者闭着眼睛,在红药丸和蓝药丸两者之间选一个。

还有,就是微软视窗里的 IE (Internet Explorer) 浏览器软件,如果能不用,改用 Mozilla Firefox 或者 Google Chrome 浏览器最好。如果一定要用 IE,注意在定期做好系统补丁的同时,把 IE 更新到最新版本。

最后,还有一个办法就是彻底摆脱微软视窗的桎梏。以前,我一直向人推荐 Linux -- 这是一个开源的系统,相对来说市场占有率远远低于微软的视窗,没有病毒侵害之忧,而且操作上不比微软视窗差,只是有区别而已。现在,Linux 对我个人来说仍然是首选,但是市场上用谷歌安卓 (Google Android) 系统的智能手机、平板电脑类的产品已经非常丰富而且越来越多、越来越便宜,Google ChromeBook 一类产品也开始崭露头角,都是值得推荐的 PC 换代产品,当然如果你钱多的话,苹果公司的 Mac、iPhone、iPad 之类也是不错的选择。但是,从电子邮件的角度来说,安卓一类产品与 Gmail 的紧密结合用起来会比苹果公司的产品更方便。

说完这些,还是要重申一点:目前还没有什么能改变电子邮件不安全这一现实。

No comments:

Post a Comment