顯示具有 安全 標籤的文章。 顯示所有文章
顯示具有 安全 標籤的文章。 顯示所有文章

2011年6月12日 星期日

就算沒有需要隱瞞的事也要在乎隱私

喬治華盛頓大學的法律教授 Daniel J. SoloveChronicle 寫了篇 Why privacy matters even if you have nothing to hide

摘譯部份如下:

許多人面對隱私爭議時,所持的態度是:我沒有什麼需要隱瞞的。或我沒有做虧心事,不怕別人知道任何事。當然也有變形的說法:我的資訊不值得別人蒐集。

全世界監視器密度最高的英國政府對人民說:如果你沒有要隱藏什麼,就不需要害怕。Daniel J. Solove 在他的部落格提了這個疑問,並詢問重視隱私的讀者都如何回應?

他收到了以下幾種回答:

一、你有裝窗簾嗎?你的信用卡帳單願意借我看嗎?

二、我不需要跟你解釋為何我要保護自己的資訊,你先說憑什麼收集我的資料吧,有搜索票嗎?

三、我的確沒有要隱藏什麼,但我也不想要讓你知道任何事情。

四、要知道我的什麼資料,那你先公開你的吧。

五、這跟我要隱藏什麼無關,而是這些都是我的私事,跟別人無關。

六、如果你真的沒什麼好隱藏,那你可能沒有私生活吧。

其實若我們仔細回想,表面上說得再冠冕堂皇的人,都會想起自己對某些人事物的愧疚,想對某些人物隱藏某些事物以維持關係。重點是你肯不肯面對真實的自己而已。每個人都有自己主觀的意識與真正願意公開的事物底限,誇張點說,有誰願意公開自己的裸照而不害羞的呢?

以上的說法可能都還算偏激的回應。但我們可以回到隱私的意義,每個人可能對隱私有不同程度的定義,但是當我們感覺隱私被侵犯時,感覺是類似的,即使目前被取得的資訊不會影響到生活,會不會又洩露更多資料後,真正開始影響到生活呢?感覺受到監視、怕被知道秘密而被勒索、盜用個人資料導致個人財產名譽受損,各種不要緊的細項資訊結合起來,可能就會拼湊出你不想讓人知道、或被誤解的不實資料。

比如你買了頂假髮,最近常上醫院,於是照資料上來看,可能會出現你得了癌症,正在做化療這種離譜的結論。實際上你可能只是要練習剪頭髮,或想要變裝。

類似這種不想被誤解而想要保有隱私的例子,在個人對個人的人際關係中也可以找到例子。

有些堅持沒有需要隱藏的事就不用在乎隱私的人,他們的論點是,除非造成人員傷亡了才是真正造成隱私損害,這是根本不尊重別人,自私、完全沒有人權觀念的論述。

隱私的侵害也常常是溫水煮青蛙般,逐漸失去的,因為被強迫公開某些資訊而勉強接受,接著進一步的被迫公開更多資訊,直到完全沒有隱私。

如果某天被蒐集的資訊被認為你有犯罪意圖,而像關鍵報告電影般,發生有人因私利栽贓你要如何自救?答案就是保有隱私權。

此文是節錄自耶魯大學出版社出版,喬治華盛頓大學的法律教授 Daniel J. Solove 所著作的新書 Nothing to hide: The false tradeoff between privacy and security。

2008年4月29日 星期二

恐懼之邦-草木皆兵

在讀 Schneier on Security 時,發現了一則
人匪夷所思的新聞


新聞裡面提到,在美國境內有許多遊客,遊客
最明顯的識別方法之一,就是拿著照相機四處
拍照的舉動。

美國 Shelby County 警官 Larry Allen 警告一
般的市民,當你看到有人在拍攝建築物時,比
如購物中心,那可能是正在監控建築物外觀安
全設施的恐怖份子,請看到這些舉動的市民通
報警方或 FBI.

FBI 聯合反恐任務組織的 Eric Jackson 補充說
:恐怖份子手冊中,其中一項就是教你如何監
控建築物,並且瞭解該建築的安全措施。

警長 Mark Luttrell 強調說,當居民在住家附
近看到有遊客拍照時,必定要通報警方,以
利過濾是否是恐怖份子正在尋找攻擊目標。

看完這篇新聞報導,真的很同情美國人,在
經過歷來包括九一一恐怖攻擊事件後,卻仍
生活在恐懼當中,甚至是由執法單位在散布
、加強這種恐懼氣氛。

當美國國民生活的氣氛,從充滿機會與希望
的民主自由美國夢,轉變成草木皆兵的恐懼
之邦時,美國還能強盛多久呢?

2008/05/01

美國比中國好一點拍照只是通報而已,一個
香港人在成都只是拍房屋拆遷示威,就被強
迫刪照片,被盤問了半小時,還差點被當成
示威民眾一起抓去關

2008年4月13日 星期日

電子投票機漏洞百出

美國的BlackBoxVoting.org針對2004年總統大選
中負責計算兩千五百萬票的的 Diebold Optical
Scan電子投票機,做了一份安全性檢查報告

其中包括以下幾項安全漏洞:
一、可移除的記憶卡,卡上記載可執行的程式碼

二、主機可透過RS-232介面或modem等公開網
路進行連接。

三、主機上的執行碼沒有經過驗證〈checksum〉。

四、程式碼採用Accu-Basic語言,先轉譯成ASCII
的pseudo code,再由主機上的直譯器執行。

五、網路上可以購買到更新Diebold Optical Scan
記憶卡的機器,並且網路上也可取得Accu-Basic
編譯器,Diebold源碼。

經由以上媒介,主機的投票結果可能被任意操控
,包括預先載入投票結果,變造投票數,被放置
時間或邏輯陷阱。

幸運的是這些安全漏洞,仍舊可以經由人工計票
修正,得到正確的投票結果。

The price of freedom is eternal vigilance.
自由的代價之一,就是保持警覺。

2008年4月3日 星期四

美國 RFID 護照製造外包的安全問題

美國推行的 RFID 電子護照,因為生產開發成本而外包給國外公司,犧牲了電子護照所需要的安全性。

華盛頓時報新聞

立法委員也對於華盛頓時報的發現感到驚訝,為何需要高科技的電子護照不能交由美國本地公司製造,而非要外包到泰國等地的公司。

外包公司本身的空白護照製作流程、零組件的安全性、以及其流程的內部控管都存在重大的安全缺失。

當維護國土安全所需的電子護照外包到海外公司時,我們要檢驗的是其中涉及官員是否收取不法回扣、傭金?該外包公司是否可能在利益引誘下,輕易販售偽造電子護照給與恐怖份子、或政治、商業間諜?

2008年3月29日 星期六

腳踏車上路的安全問題

最近市區馬路上除了要注意機車、計程車、公
車以外,多了腳踏車一族。

如果是腳踏車像一般行人一樣,要過斑馬線時
多注意一點就還好。

但是現在腳踏車似乎越來越誇張。原本是應在
慢車道靠邊騎乘的腳踏車,常常都會出現在慢
車到橫跨到快車道,或是從快車道橫跨到慢車
道的危險行為。

尤其是夜晚開車,遇到這種騎士真的是非常危
險,那微弱的後車燈真的不足讓駕駛有足夠的
反應時間。

另外也常常有三五好友或是家人出遊並排在慢
車道,對於要右轉的車輛來說,真的是另一個
造成交通阻塞的主因。

雨天的話還有撐傘單手騎乘腳踏車,但是技術
又不是那麼熟練的,在右轉車輛來講也是相當
大的危險因子。

希望大家在做環保,騎輪散心時,也要注意到
自身安全與他人交通安全,不然還是當行人,
或是換乘機車、汽車、公車、捷運就好。

2008年3月16日 星期日

無線心律調整器有安全漏洞

專家研究發現,監控心臟的醫療儀器可能遭到
無線網路遠端攻擊,造成儀器關機失效。

數千人都使用 implantable cardiac
defibrillators (ICDs),心律調節器來幫助心臟
跳動更加規律。

ICDs 可以治療不正常的心臟問題,最近的新
機器更加上定步器。ICDs 可以在心臟跳得太
快時發出電擊減緩心跳,也可以在心臟跳得太
慢時加速心跳。

根據醫療裝置安全中心的研究顯示,病患身上
的隱私資訊可能遭到竊取,ICDs 也可能被遠
端關閉,更危險的是在病患不需要時遭到心臟
電擊。

醫院醫師可以透過無線電波為病患的 ICDs 遠
端重新設定。ICDs 的無線電波通訊並未使用
加密。

安全中心示範使用一台個人電腦、無線電波發
射器、及天線,就可能對 ICDs 造成威脅。該
實驗的 ICDs 並未放置在病患身上,該研究報
告目前已經公布在網路
上。

2008年3月1日 星期六

趨勢科技 Trend Micro Office Scan 8.0 遠端入侵漏洞

趨勢科技的 Office Scan 8.0 是由 CGI, ActiveX,
以及 Apache 提供 Web Service 的預製網頁操作
系統。

發現該漏洞的 Luigi Auriemma 指出,發生緩衝
區溢位的主因是檢查密碼的程式中,只使用 512
位元組大小的緩衝區,但在存放資料到緩衝區時
並未檢查資料長度,造成了顯而易見的安全漏洞
,某些版本的產品使用例外處理可以減緩受到攻
擊的嚴重性,但是這些使用例外處理的產品也會
遭到阻斷式攻擊,而無法提供服務。

目前為止趨勢科技並無法在他們的安全產品上,
解決這個安全漏洞。

2008/07/29

時隔不到半年,趨勢科技的 OfficeScan
ActiveX 再度爆發嚴重的遠端入侵漏洞

(百出?)。

2008年2月5日 星期二

駭客精神是進步的解藥

駭客一詞,在現今社會只是網路安全
出現問題時,拿來鞭打的草紙人。

但其實駭客一詞的發源,是指技術專
才,有能力及意願去發現問題,並解
決問題的人


社會的進步,在物質層面來看,是藉
由經濟規模的持續擴張支撐,而經濟
規模的擴張,所需要的基底可以分為
兩大種類。

其中之一,是在既有的產業、工作領
域中精益求精,不斷的提升既有領域
以達到升級,變強壯。也就是付出越
多體勞力與腦勞力,得到越多收穫的
紅海競爭。

其二,是較少發生的,創新、創意,
發現新領域的觀察與嘗試的工作。這
也需要第一種類的努力付出來支撐,
只是努力的方向是擴張層面,而非在
原有的層面上競爭短時間內,進步有
限的成果。並不只是開發新的需求,
也要勇於面對已有但未被重視的問題
,並研究解決方式。

駭客精神就是綜合了以上兩點的思考
,因此,在電腦硬體知識專精,在電
腦軟體專精,與在修理汽機車專精的
人,是完全平等的,這兩者之間,並
沒有任何差異。

同樣的類比,可以放在專於寫作的作
家,專精於演唱的歌手,專精於繪畫
的藝術家,專精於駕駛的司機,專精
於打掃除垢的清潔人員,專精於傳播
廣告說服群眾的廣告企劃。只要是肯
持續精益求精、發現問題與需求,並
努力學習、思考解決方法的,都是俱
備有駭客精神,也就是可以創造價值
的人。

因此,駭客精神才是進步的解藥。