IT業界資訊媒體

【Mr. Smith週記】語言偽術之漏洞 vs 後門

呢個禮拜嘅網絡安全關鍵字,唔使公投都知答案肯定係「漏洞」啦!當大家知道原來醫管局一個機密度咁高嘅系統,係可以唔需要用密碼登入,成個業界即刻嘩聲四起,乜原來咁都得?有老闆講笑咁話早知新入果張標書唔使寫埋 2FA 之類嘅多重驗證安全系統入去咁多餘啦!官方仲有啲更抵死嘅回應,話因為電腦附近 24 小時都有人 on duty,所以就算唔用密碼登入,理論上都係好安全咁話。如果當佢啱,咁銀行入面點解仲要有夾萬?差館夠人多喇啩,出入咪又係要嘟卡?

好嘞唔講呢啲,講返今次重點先。有人話呢個係系統漏洞,將來會修補返,但其實呢個好明顯唔係漏洞而係後門。漏洞(Vulnerability)係指執行系統時出現咗超出預期或無考慮過嘅反應,而結果係可以俾黑客利用嚟攻擊,呢啲先叫做漏洞,例如近來最火熱嘅 Microsoft Windows 系統 BlueKeep 漏洞(CVE-20190708),就可以俾黑客遙距執行惡意程式。

不過,如果喺設計系統時一早預留咗條秘密通道,又或者黑客利用漏洞嚟植入後門,將來可以繞過驗證方法 log in,咁就應該叫暗門(trapdoor) 或後門( backdoor)至啱。其實留定條秘密通道可以有好多原因,正常用途包括為咗方便 programmer 測試或修改系統,又或者作為正常登入系統失靈時嘅後備救援方法;至於暗黑系用途,自然係用嚟監測其他用家嘅私隱,或暗中安裝各種 malware 。

其實漏洞呢個字眼而家真係好使好用,好似一啲設備或系統供應商,俾人踢爆設計上有 backdoor,可以用嚟偷私隱或其他非法用途,都可以用漏洞一詞嚟 downplay 成件事,認衰仔話係無心就得。至於係真無心抑或假大意,大家醒目仔,識得自己估啦。