問:釣魚網站一直都是黑客及某些政府偷竊個人資料常用手段。近日有指,Google Drive也變成了「釣魚網站」,成為木馬溫床——黑客利用Google Drive的分享連結,散播一些看起來無害的Word、Excel或PowerPoint檔案,很多人下載了文件,不覺中了木馬也不知。
Google Drive不是谷歌其中一項服務嗎?為何GMail沒有這個問題,反而Google Drive成為了病毒傳播媒介?
李建軍:沒錯,GMail擁有十分之嚴謹的反病毒以至垃圾附件機制,但這個系統只適用於GMail本身,GMail會對附件進行病毒掃描。但上傳到Google Drive就不會受到這類監管——因為GMail接受的附件大小有限制,因此能做到對所有檔案都掃毒;但Google Drive對檔案大小不設限制,要Google Drive掃描每一個檔案基本上不可能,亦未計不少用戶利用Google Drive的文書處理、試算表等功能去建立檔案,基本上,谷歌是無法阻止有人利用這些文書處理、試算表功能去建立釣魚連結。
網民對此應要有足夠警覺,不要以為谷歌的產品服務就定必安全,以致見到任何人分享Google Drive連結都照樣去打開。對來歷不明的連結或檔案要抱持懷疑態度,不要胡亂將連結的檔案下載,或打開文件內的任何連結。
問:如果連Google Drive都有問題,本身肯定沒有病毒防護功能的Dropbox或者亞馬遜S3豈不是更危險?
李建軍:確實如此。Dropbox本身並無病毒或木馬防護功能,所以網民對任何Dropbox分享的連結,都要金睛火眼,使用前均應假設是不可信任。至於亞馬遜S3,由於S3只不過是十分之簡單的儲藏檔案服務,只不過比起FTP好一些,所以假定來自S3的檔案都是安全,這個想法已經十分之魯莽。除此之外,其他網絡公司都有推出類似S3的服務,包括谷歌的專業版雲端服務谷歌雲在內。如果有人分享谷歌雲的連結,也不要貿然認定下載內容安全可靠——因為谷歌雲是專業使用,換而言之,假如內容有詐,其危害可能會比Google Drive所傳播的病毒更專業也更加之危險。
問:如果有人分享一些有問題的檔案,能否向谷歌或Dropbox一類公司舉報?
李建軍:理論上,假如有人在網上分享危險檔案,你都可以向相關服務供應商舉報。特別是Google Drive以及Dropbox在這方面的機制相對成熟,如果你發現有人上載有毒檔案並公開分享,一般經舉報後都會刪除。
但如果像亞馬遜S3或谷歌雲這類專業服務,恐怕並不容易透過舉報刪除有毒有害共享鏈接。原因是會有研究保安技術的人員或白客,透過亞馬遜S3或谷歌雲這類專業服務,儲藏一些有毒檔案作內部研究用途,而有檔案被公開很可能僅僅是因為一些保安事故的緣故。而作為提供儲存服務的公司,假如隨便刪除檔案可能觸發民事訴訟。因此,作為一般網民,如果收到檔案鏈接是來自S3或者谷歌雲,最好不要隨便打開,除非你十分之肯定檔案來源是安全。
現時由於越來越多人因疫情在家工作,利用網上的各類雲端檔案儲存服務分享檔案是大勢所趨,黑客會濫用這些服務也是意料中事。因此,長遠而言,各雲端服務公司要引進網上掃毒服務,似乎都是無法避免,因為這些公司都不希望自己的服務,成為了病毒溫床而要承擔各種民事責任。
