就是資安

Apple (或者說 Steve Jobs) 持續引領風潮，不管是不是潮人，對於 Apple 這個品牌絕對都是耳熟而詳，甚至有不少人不顧一切地想要一親芳擇。這幾天 Apple 被 EFF (Electronic Frontier Foundation) 所槓上，原因在於 Apple 想要申請的專利內容。根據 EFF 的說法，Apple 這次要申請的專利，可以用來判斷手機持有者的身分。至於實際的應用嘛，美其名可以在 iPhone 或其他 Apple 產品落入它人手上時避免資料的外洩，但是 EFF 卻擔心 Apple 利用這些技術來收集個人的識別資料與追蹤行蹤。EFF 也擔心這樣的機制一旦被駭客所利用，其所產生的危害將更難以估計。其實這類軟體或功能很常見，尤其是收集個人資料早已經是許多惡意程式的主要目的，但是合法廠商這麼做倒是比較少見 (前幾年的 Sony 幹過)。這次 Apple 不但明目張膽地做，更想要為這樣的技術申請專利，真不虧是能夠不斷製造話題的 Apple。EFF 為了表示對 Apple 的敬意，更發明了一個新的名詞，叫做 Traitorware，指的是在你背後偷偷地違反你個人隱私的設備 (devices that act behind your back to betray your privacy)。雖然 EFF 對於 Apple 這個舉動表達了強烈的反對，但是 Apple 是否在產品內採用這樣的技術卻也不一定與專利的通過與否有直接的關係。話說回來，對眾多的 Apple 迷來說，也許非但不介意讓 Steve Jobs 多了解自己一些，甚至可能會覺得這真的是炫極了。

WikiLeaks 這幾年常常出現在政治與資安的新聞版面上，原因無它，因為 WikiLeaks 的宗旨就是揭露從各處收集而來的機密資料。在這些眾多的祕密裡，其中許多自然跟全世界最神祕的組織之一 (也就是美國政府，其他政府也都很神祕，只不過美國政府的干涉範圍實在太廣了) 有關。像是一些美軍的機密資訊以及美國在海外進行的機密外交，每次公布都引起不少的震撼。經過這些年的吞忍，美國政府終於再也按奈不住而決定展開反擊，針對相關的人、事、物加以嚴格處置。原先只是美國政府自己的行動，後來因為一些與 WikiLeaks 相關的商業組織也連帶”背叛”，所以導致 WikiLeaks 支持者的不滿，進而展開反擊。其中幾個原本提供 WikiLeaks 募款來源管道的網站 (包含 Mastercard、VISA、PayPal 等)，都因為遭受 DDoS 攻擊而影響到網站的運作。其中唯一的倖存者，大概就是提供 WikiLeaks 網站服務的 Amazon 了。Amazon 受助於本身所建置的雲端架構，所以讓資源有限的 WikiLeaks 支持者知難而退，如此一來 Amazon 不但順利全身而退，甚至為其雲端平台 - EC2 找到了一個很有力的賣點。

整起事件雖然還沒有落幕，但是至今已經佔據了許多的新聞版面，只不過很多僅著重在陳述事件的經過。其中我覺得比較有思考空間的觀點有兩個，一個是有關於網路是否會衍生出自己的恐怖主義，例如在這個事件中 WikiLeaks 支持者所扮演的角色。以往所謂的網路恐怖主義，僅是原本的恐怖份子將攻擊行為轉換到網路上，但是這個事件卻衍生出了新的恐怖主義集團，而且是一個沒有國界區分的集團。當然，以恐怖主義集團來描述 WikiLeaks 的支持者或許過於嚴厲，但是難保未來的發展不會演變至此，也或者未來其他事件的發生終將導致恐怖主義的誕生。

這幾年資料外洩的問題越來越受到大家的矚目，再加上新版個資法的通過，讓防止資料外洩不再只是口號，更是必須去認真面對的課題。不管是企業或是個人，重要資料的外洩都不是令人所樂見的。現在有很多機制可以利用加密的方式來保護資料，如此一來即使資料不幸遺失 (不管是無意或是有意的)，由於對方無法進行解密的動作，所以也無法窺視到資料本身的內容。這些機制包含硬碟/隨身碟本身進行整體資料的加密，作業系統進行的資料加密及各式各樣的第三方加密工具 (例如我之前分享過的 TrueCrypt)。雖然 TrueCrypt 功能強大，但是對於處理單一檔案的加解密，TrueCrypt 其實就並不適合了。

檔案的分享還是目前很常見的應用，不管是透過 Email、FTP、還是網站的形式，傳統上我們會將想要分享的所有檔案加入到一個壓縮檔中，這樣不但可以減少檔案的大小，還可以簡化分享的工作。這樣的作業方式雖然很簡單，但是也很容易造成資料的外洩。為了避免此一問題的發生，其實我們只要利用壓縮軟體的加密功能，就可以大幅減少資料外洩的可能性。以下我就以免費的壓縮工具 7-zip 為例，說明如何利用加密的功能安全地傳遞壓縮檔。