2008-02-12

密碼、偷窺、web 2.0(上)

林宏嘉 2007/07/05 05:00

隨著Web 2.0變成當紅名詞,網路相簿或部落格也成為時興玩意。火紅程度讓最近淡大粉紅妹、黑澀會美眉、土耳其出賣男等五字訣的相簿被破解或親密照外流的新聞變成大家茶餘飯後的話題。

新聞熱鬧過後,作為資安工作者 同時也是網路重度使用者的筆者認為,這類應用的安全疑慮其實值得探討;這些新聞反映出由訪客、Blogger、 服務供應商構成對資訊隱私的危害。

網路偷窺時代到來?


CNET告訴我,該公司文章近來最受網友歡迎且留言眾多的文章是如何破解BIOS密碼專家:密碼防護己顯不足

這二篇為什麼那麼多人看,老實說和內文無關;如果讀者有耐心一篇篇點進去看留言,可以發現絕大多數的網友都希望能找到破解某個網路服務如Web mail或相簿某個密碼掉了或被駭的帳號。但每個破解、偷窺的理由是否都如此冠冕堂皇?破解密碼的動機,可能是老公為了掌握老婆行蹤、男女朋友為了偷看是 否有情敵、職場競爭對手則想致敵機先而絞盡腦汁。

這又讓我聯想起一位友人的事。我這位友人有著一位美若天仙的賢內助,己婚的她仍然是辦公室注目的焦點且愛慕者不斷。端午假期空檔他約了我說有重要事情詳 談。談話中他敘述了內心對婚姻維繫的擔憂,而且為此花費了不知多少心力去刺探他夫人的一切通訊--即時通訊、網路郵件、網誌以及網路相簿。其實他正希望筆 者能幫幫他,將各種他夫人已經上鎖的網路相簿等一一解碼!當然他並未從我這得到任何技術與實質上的協助(看了後面讀者就知道原因為何)。當事人的行為道德 並不在本文討論範圍,而是讓我對破解與偷窺有了新的認知;它讓我見識到,原來網路偷窺的世代已然到來—而且十分普及。

偷窺的代價


在為所欲為的網際網路,刺探隱私早就從該不該、能不能演變為要不要與想不想的問題。垂手可得的工具、眼花撩亂的討論區更助長了破解門檻的降低。當破解變得輕而易舉,有多少人抵抗得了這誘惑?像是黑澀會美眉的相簿,明明有密碼,卻還是給人破門而入。

但很多人可能忽略了,在滿足了感官及好奇心後,之後須付出的必然代價。以台灣的法律而言,破解他人加密的網路相簿,瀏覽並抓取照片就已經觸犯了刑法第 358、359條;而換成實際的處罰來看那應該將是五年以下的刑罰與數十萬元罰款,只要被窺者提出相當的數位證據與相關證明並未授權其瀏覽,那麼偷窺者, 你的代價其實相當高!至於在網路上,協助散佈流傳的人,根據刑法第235條,張貼「猥褻」文字、「違害善良風俗的」圖片的人也得小心連帶負起相關刑責啊!

部落格自我展露自由無限?


偷窺者固然有其應負之責任,被窺者呢?有人認為,Web 2.0的精神是互動、開放、平等。YouTube與無名正是網友創意無限、表現自我的最佳實踐。可是當露點、親密照片放上網路時,不啻是挑戰網友「柳下 惠」般的控制力。(小小密碼怎麼擋得了意志堅決的網友呢?)往往破解、偷窺就是必然結果。

這就談到,部落格照片是不是有「引發犯意的嫌疑」。現實生活中,女生穿迷你裙不等於他人有權利從樓梯底偷看她,雖然我絕對贊成這點,但如果相簿標題寫上 「我沒穿內衣」或是「第一次激情外拍」等,就有十足引誘犯罪的威力;這可以從各網誌與相本中的高點閱率—以及可能的強力破解--清楚的看出。即使妳/你是 被破解的受害者,但也不表示你只是單純受害;同樣依據刑法第235條,妳/你可能也會因為張貼具引誘性的文字而難辭其咎

許多相片被偷窺、傳閱的主角,往往不是一個人,而是兩個人(想也知道原因吧)。淡大粉紅妹本人沒有公佈照片,卻因照片中的男友為衝人氣而將之公佈在部落格 中,負心的土耳其男友分手後,透過留言方式將私密照片公佈於女方的部落格上;當郎心變狼心,傷心固然傷心,但他們有沒有法律責任呢?

這個問題或許即將有個答案。去年底發生的「慾望華府 隱私攻防戰」新聞,一名任職於華府的女性將她在國會山莊和六位男士的複雜親密關係撰寫成日記並張貼於個人的部落格中,原先僅供友人觀賞,但後來遭八卦媒體 挖出而轟動一時。這個官司至今尚未宣判,但它突顯了部落格作者能不能不經他人同意把私密內容公佈的問題:若其中一人未經同意將照片或情節曝光,就會傷害到另一人隱私

當我們對可憐受害者報以同情眼光時,應該要想到:為什麼他使用的是眾家「有名大站」的服務,卻仍然落得隱私被看光光?這裏要請問讀者:你可曾認真看完你申請網誌的使用條款?(請接下頁)

繼續閱讀: 供應商不用負責?
作者在IT及安全領域擁有十年經驗,具備BS7799 LA等認證,專業涵蓋資訊安全風險評估、威脅管理與應變、身份存取與控管機制及企業安全管理政策規劃。在實務上,曾協助政府、情治單位、金融與高科技製造 業進行安全管理流程評估與改善、整體管理方案導入、入侵暨洩密行為模式分析、防禦控管制度改善與相關資安事件之鑑識與分析

資料來源:
ZDNet Taiwan - 企業應用 - 名家專欄 - 密碼、偷窺、web 2.0

沒有留言 :

張貼留言

謝謝您的寶貴意見,凍仁一定會盡快處理 ~^^