潰客攻擊的報導當中提到: 『查郵件來源...發現很多都是假冒, 利用私人企業閒置電腦當「跳板」, 寄發電子郵件攻擊行政院資訊系統, 經查部分來自韓國與中國大陸等。』 而 IE 零時差漏洞報導文中則摘要微軟所發佈的安全警告代號 2458511 號安全警告, 建議 IE 用戶安裝 EMET、 啟用 DEP (限 IE7)、 以純文字 (勿以 html 方式) 閱讀電子郵件等等。 筆者沒有直接的資料可以百分之百證實; 但從攻擊爆量的時間點, 及病癥與處方的對應關係來看, 兩者顯然有高度的相關性。 更多報導, 請見新華網: 「金山安全預警:"新IE 0day"漏洞借"租房郵件"傳播」, The Register: Nasty IE 0day exploit hosted on Amnesty International site。 據報導, 甚至連香港的人權團體國際特赦組織, 都已經淪陷成為惡意跳板網站。 最近搜尋 "IE 零時差" 和 "ie 0day", 可找更多相關報導。

筆者呼應微軟的警告, 在微軟推出安全更新之前, 呼籲 IE 用戶採取安全措施, 避免淪為潰客所操縱的殭屍電腦。 但事實上比安裝 EMET 與 DEP 更簡單的方法, 是聽取 德國 法國 政府的勸告, 改用 firefoxchrome 等等較安全的其他瀏覽器。

令人遺憾的是, 行政院認為 「本部通過ISO27001國際資訊安全認證」, 是充分的因應之道。 從行政院管轄的範圍來看, 這充其量只是獨善其身的鋸箭自療法。 如果沒有全面提升全體民眾對於各種瀏覽器資訊安全的認知與素養, 全面減少殭屍電腦的數量, 那麼 「加強行政院本部的資安措施」, 只不過是在鼓勵潰客將攻擊目標轉移至他處而已。 或者鼓勵更多機關通過認證, 也只是間接讓無力參與認證的剩下的中小企業曝露於更密集的攻擊當中。 就像鼓勵安裝鐵窗無法根治治安問題一樣, 行政院對於這個資安問題應有更高格局的思考。

然而從禍源的角度來看, 各大學與臺灣銀行其實更是潰客入侵民眾電腦的幫兇。 今年 1 月中國 google 遭受 IE 安全漏洞攻擊一事, 只見媒體報導; 但事發至今已近一年, 全國許多大學卻還是 堅持著對於破敗瀏覽器的宗教狂熱, 不敢談論這個資訊安全問題。 即便 攻擊程式碼已經公開上網, 大學卻還是沒有警告師生改用安全的瀏覽器。 也就是說, 任何想要利用 IE6 未修補漏洞的潰客, 都可以很方便地起步, 同時又有著廣大的基本目標 -- 絕大多數的大學師生 -- 作為他的殭屍電腦大軍募集人口。 例如本校, 時至今日, 電腦教室及電腦講桌內, 預先安裝的瀏覽器仍是 IE6。

大學電算中心的鴕鳥心態可以理解。 第一, 學校內部仍存在著某些 自殘的資訊系統, 必須使用 IE6, 甚至無法輕易使用新版 IE。 如果將電腦教室的瀏覽器改為較安全的瀏覽器, 怕引起師生覺醒, 知道有其他瀏覽器的存在, 並質疑校內系統為何卻又要指定使用特定廠牌的特定版本超舊版瀏覽器。 第二, 反正電算中心所管轄的電腦, 都有還原卡保護, 就算淪為殭屍電腦, 隔天重開就沒事了。 (跟行政院的 「本部通過ISO27001國際資訊安全認證」 心態, 是不是很像呢?)

許多大學的電算中心主任心中大概想著: 「至於師生因此而也在家裡使用老舊破敗瀏覽器, 以致淪為殭屍電腦, 被潰客拿來攻擊行政院或其他網站, 反正與我無關。」 是啊, 「反正死的是道友, 又不是貧道, 何必多管閒事呢?」

事實上老舊自殘的 IE6-only 資訊系統, 並不是現任電算中心主任的責任。 然而重點也不是追究過去的責任, 而是勇於承認過去的錯誤, 然後正面迎擊眼前的資安問題。 電算中心應該大方承認過去設計系統時因為資訊不足、 時代背景不同, 所以考慮不周延; 應該從今天開始採取各種配套措施逐漸改版, 積極採取有遠見、 能夠永續經營的資訊政策。 這些勇於概括承受、 勇於扛起責任的舉動, 將搏得師生的認同, 而非怨言。

反過來說, 如果全國的大學持續漠視 IE (特別是 IE6 與 IE7) 所製造的安全問題, 持續間接鼓勵甚至強迫學生 (因為使用舊版 IE 而) 加入潰客的殭屍電腦軍團, 那麼受害的將不只是社會整體, 大學資訊科系本身受傷將更嚴重。 當越來越多企業發現大學資訊教授不僅沒有積極替自己的學校處理資訊安全問題, 甚至還坐視自己資訊科系的學生使用破敗過時的瀏覽器以致淪為殭屍電腦危害社會, 企業還能信任這些教授所訓練出來的資訊科系學生的能力嗎 -- 尤其是資訊安全的常識? 如果我是企業主, 當然會對資訊科系失去信心, 當然寧可不分科系, 改僱用熟悉 linux 的員工來負責資訊安全工作。

大學資訊教授如果在乎自己科系的招生狀況, 應該趁著政府推動雲端運算之際, 協助電算中心將這些老舊的 IE6-only 系統改以 成熟穩定、 眾人檢視並驗證過、 適合架設私有雲端服務的 SaaS 工具 取代之。 諸如 Joomla、 Drupal、 Wordpress 等等成熟的 SaaS 雲端方案, 一方面可保障伺服器自身安, 另一方面他們所製作的網頁無歧視, 將來不論那個廠牌那個版本的瀏覽器出問題, 都可隨時呼籲使用者暫時改用安全的替代產品。 能夠以此簡單具體行動作為新聞文宣的學校, 正可順勢向企業界展示其負起社會資訊安全責任的決心。 (我很樂意協助任何已有具體行動計畫的大學寫新聞稿 :D) 另一方面, 一項資訊產品 (特別是與瀏覽器密切相關的雲端產品) 背後的開發團隊, 其成員教授的學校, 有沒有處理 IE6、 IE7 問題的常識與策略? 這些資訊教授是否真的有能力處理 (特別是雲端的) 資訊安全問題? 這是每一位消費者應該睜大眼睛檢視的問題, 也是任何具有社會責任思維及永續經營眼光的大學, 用以突顯 「自身資訊科系與他校競爭力優劣」 的最佳著力點。

順便一提: 白宮、 華納、 SonyBMG、 ... 全面或部分採用 Drupal (請用 「white house drupal」 查詢; 餘類推); 很多知名企業則用 joomla (請搜尋 「joomla sites」)。

最後談一下臺灣銀行。 其就學貸款網頁更是奇特: 其他瀏覽器明明可以使用, 卻一定要在首頁聲明必須用 IE。 如果說各大學 IE6-only 的資訊系統, 是潰客殭屍電腦軍團的無心幫兇, 那麼臺灣銀行就是潰客殭屍電腦軍團的得力與得意助手。 「積極促成經濟弱勢學生的電腦加入潰客殭屍電腦軍團」 是臺灣銀行的榮幸與努力的目標。

談到 花費百億, 創造兆元虛幻產值 的雲端 "產業" 時, 行政院非常積極; 相對地, 談到 「督促下屬單位停用 IE6,7 以便提升社會整體資訊安全」 時, 行政院會不會也有所作為呢? 行政院會不會責成教育部電算中心發文各大學及臺灣銀行, 請改善其老舊小眾專屬資訊系統, 請停止強迫用戶使用特定版本、 老舊、 具有嚴重資安問題的瀏覽器呢? 各大學資訊教授對於雲端熱潮, 只有寫計畫搶錢的熱情, 還是也能夠從瀏覽者端的觀點思考資訊安全、 也在乎產品使用者及企業僱主的資訊安全呢? 廣大的消費者與僱主, 有沒有智慧善用集體的消費力量, 促成 既不能文,又不能武的頂尖大學 在招生競爭激烈的今天, 重新思考自身存在的意義、 對社會的價值呢? 我們拭目以待。