从上周开始,“勒索病毒”席卷全球,超过150个国家30万台电脑设备受到影响。这款名为WannaCry的病毒将加密锁定中毒电脑的用户文档、资料,要想恢复则需交纳300美元等价的比特币。
病毒汹涌,WannaCry已经出现Uiwix等多个变种,腾讯安全反病毒实验室发现,该病毒已经开始利用捆绑正常软件进行传播,非官方正规渠道下载软件均存在安全风险,并且部分勒索病毒样本已经从“WannaCry”变为 “WannaSister”。
事实上,这并非网络病毒第一次造成全球性恐慌,在我们谈论信息安全时,如果将目光投向传媒界——我们的资讯安全吗?将会得到怎样的答案?全媒派(qq_qmp)聚焦媒体信息安全,从信息平台、媒体机构以及操作者等层面出发,为应对病毒渗透提供参考。
社交平台能做什么:甄别敏感内容,加强验证与安全合作
作为资讯分享重阵的社交平台,分享门槛低,常给恶意信息以可乘之机。在国外,以Facebook为首的社交平台是用户感染恶意链接的重灾区。研究发现,即便是陌生人社交,人们对社交平台的信息要比电子邮件、短信等方式更加信任。BitDefender调查数据显示,大约20%的Facebook网站链接中包含恶意软件,22%恶意软件声称可以告诉用户谁在浏览他们的个人信息;15%的恶意软件称可为用户在农场等社交游戏中加分;另有11%的应用提供虚假广告。
安全合作:海量信息如何甄别恶意链接
为保障用户账号与系统安全,早在两年前Facebook就开始了与知名反病毒软件卡巴斯基的合作,在Facebook的防毒安全服务中加入了重量级武器“卡巴斯基反恶意软件扫描器”。
Facebook合作卡巴斯基扫描目标是那些已被Facebook团队检测出行为可疑,并可能已经感染上恶意软件的账户,用户登陆后会看到安全扫描的提示信息,若设备存在安全隐患,系统就会进入自动查杀的解决程序。
反恶意软件扫描服务双方的合作也取得了明显成效,在推出后的3个月里,这项扫描服务就成功保护了超过26万名Facebook用户免于恶意软件侵扰。Facebook的软件工程师Trevor Pottinger表示,与专业反病毒厂商合作是Facebook的重大安全战略之一,除卡巴斯基以外之前的合作方还有ESET、F-Secure等安全公司。
风险规避:物理秘钥加密账号验证
大众被教导要提防电子邮件的附件链接,要警惕社交平台的网页跳转,但是却往往忽略了平台的用户登录这一环。Facebook安全工程师Brad Hill表示,社交媒体的安全性对千万用户而言至关重要,公司今后也会把登录安全和帐户恢复提上安全防护措施的重要位置。
今年1月,Facebook 宣布推出物理密钥身份验证技术。这项技术基于FIDO U2F安全标准,用户可以将密钥注册到个人Facebook帐户,当他们登录时需要点击一个插入电脑USB端口的设备。这项技术同时也适用于其他主流网站,用户可以为Google,Salesforce,Dropbox和GitHub等多个帐户使用相同的密钥。
Brad Hill解释道,通过这种方式用户不必再输入字符,硬件本身就提供了加密证据,所以在安全性上有大幅提高,能够使账户对钓鱼链接“免疫”,对于企业用户而言,物理秘钥的安全优势将更为显著。
在宣布U2F安全密钥后不久,Facebook 还与GitHub 合作推出了一个双向帐户恢复项目,以规避传统的邮箱验证、手机验证过程中的不确定风险。GitHub用户可以使用他们的Facebook帐户进行认证,作为GitHub帐户恢复过程的一部分。用户可以通过使用他们的Facebook帐户保存加密的恢复令牌来进行设置,如果他们需要恢复GitHub帐户,他们可以将令牌发送回GitHub进行验证。
Twitter:对“潜在敏感内容”的隐藏与隔离
今年2月,Twitter工程项目副总裁Ed Ho在博客中公布了Twitter解决语言暴力信息扩散的新举措,即通过征求用户意见后的数据收集,来识别可能含有语言暴力的推文,并对相关的“潜在敏感内容”进行自动隐藏。
当然这些潜在危险信息并没有被完全删除掉,如果用户通过搜索准确的关键词,仍然可以看到这些信息,但对于绝大部分阅读自动化信息推荐的用户而言,敏感信息的过滤效果仍然非常强。
对于敏感账户的内容,Twitter还设立了自动折叠的软性的隔离墙,起到提示用户“内容有风险,阅读需谨慎”的作用。用户界面将对风险信息进行遮蔽,用户需要点击同意阅读的按钮后才能继续查看,比起直接屏蔽,这种妥协式的处理措施则避免了将敏感内容一棒子打死,给予了用户更多的自主浏览空间。
Twitter风险信息折叠提示值得关注的一点是,数据收集的不透明性仍引起了用户的忧虑,Twitter没有公布具体会获取用户的那些数据,但告知用户可以在个人数据(Your Twitter Data)的页面看到平台获取用户数据的总体情况。
媒体机构能做什么 BBC模式:员工进行“信息安全检疫”
BBC作为老牌传统媒体,对员工的信息安全十分重视,从入职到离职,BBC有一整套针对员工个体的安全检疫措施。
在正式进入工作岗位之前,BBC有权对员工进行法律法规范围内的个人背景调查,并且告知员工BBC内部信息安全政策,与信息安全事故的责任风险。在就职期间,全体员工需要参加定期的安全意识和技能培训,帮助每位员工在独立的工作过程中规避一切可能带来风险的操作。而离职时,员工也需要签署明确的协议,不得泄露公司有关机要信息。
对于有合作关系的第三方外包员工、云服务商而言,BBC的信息安全的条例则更为严密。
首先在合作之前双方需签署严格的合约披露条款,在此过程中的信息泄露事故会规定责任方需承担的明确后果;
其次在设备安全方面,每一位员工需接受BCB的设备管理办法,如安装特定的反恶意软件、iOS设备的越狱规范、个人终端的数据托管、设备数据同步、设备锁、加密规则等具体设置等;
在系统安全方面,BBC开发了内部安全应用商店、拥有自己的邮件加密机制,也有较为成熟的内部自动监控的系统。
信息安全的挑战与共识:信息素养+数据素养双提升
近年来,全球性的信息安全峰会、论坛越来越多,这是外部网络安全严峻现实的反映。联合国教科文组织(UNESCO)曾发布报告,强调新闻业正面临着日益增长的信息安全风险,并提出了媒体机构所面临的12个关键挑战,分别为:
监控:数据存储与攻击的成本更低了;
安全工具并不对所有用户友好:记者的使用门槛较高;
安全工具价格昂贵:对自媒体人员可能难以负担;
开源的信息安全软件不具备可持续发展的商业模式;
阻断服务攻击可能会造成巨大的经济损失;
记者与技术人员的分隔:帮助无法及时送达;
记者对数据匿名化及安全加密技术的理解不足;
新闻业的数据攻击信息并不公开;
新闻记者容易被定位,信息保密成难题;
媒体从业者家属容易受到钓鱼网站的攻击;
向黑客妥协的用户和设备会导致更大规模的风险扩散;
数据安全教育往往是特设而非普及化、系统化。
那么,记者和新闻编辑部应当如何应对这些威胁?
报告作者JennHenrichsen指出,新闻机构应当提升信息安全意识,及时了解技术进展与黑客们潜在的作案工具。
UNESCO言论自由与媒体发展主任Guy Berger 则提出,媒体机构的安全防御需要进行风险建模,并动态评估信息安全的威胁指数。在实操层面,记者们普遍需要注意的事项有:
通讯安全:定期更改邮箱密码、在不同系统上使用不同密码;
登录验证:手机、PC等终端的交叉身份验证;
提防钓鱼网站:识别虚假网址和域名;
加密设备驱动器:预防数据丢失。
此外,在赴外报道的工作中,信息安全同样值得警惕。来自美国保护记者委员会CPJ的建议是:多重通信渠道是保障前后方联络的必要手段,反监控是重要防范方向。记者在出发前研究当地环境,进行风险评估,寻求有经验同事的建议,研究报道任务所可能涉及的法规和有可能会牵涉到的安全隐患。其次,建立与专业救援人员、后方工作者以及家人的联系网络,以备出现自然灾害等因素影响下通讯受阻等紧急情况。
在此,我们也向读者朋友征集好的建议,在日常生活中,你有什么保护信息安全的好方法?欢迎留言分享。
====================
本文系腾讯新闻旗下媒体研究平台全媒派原创稿件。
授权转载请联系全媒派小助手(微信号:qmp_001)。欢迎关注微信公众账号“全媒派”(ID:qq_qmp),阅读更多精选文章。
