每天在全球抓两亿只网路毒虫!Google连资安都要有创意
Google 在今年的开发者大会中发表了很多重点产品,当中不乏有语音搜寻、进阶地图搜寻、进阶的 Google+、Google Glass 等创新功能性平台,不过却很少有人提到最基本的资料安全防护的部分;对此,《ETtoday 东森新闻云》与台湾媒体特别在美国访问了Google 资安防护的负责人,针对资讯安全做了进一步的解说。
Google 针对产品使用者端的资讯安全做了很多事情;根据 Google 安全管理师(Security Princess) Parisa Tabriz 所说,目前在 Google 内部有超过 250 个安全工程师,包括工程师、骇客跟研究员去进行资讯防护的相关工作;此外,Google 除了内部骇客与工程师会不断的尝试用各种方式骇进自己的网站外,对外也会在每个城市举办骇客大赛,并把最多的奖金送给最会骇进 Google 网站的骇客们。
▲Google 为了网路资讯安全,对内每年都会找来骇客与工程师来尝试骇进自己的产品,对外也会举办全球骇客大赛,甚至还把奖金颁发给最会骇进公司网站的顶尖骇客。(图/记者洪圣壹摄)
另一方面,Google Director of Security,Google Apps Eran Feigenbaum 表示,Google 内部相当重视资讯安全,不管是开发甚么产品,最大的要务,就是会先把资安考虑进去。此外,Google 内部也会针对工程师、设计师进行资安教育,确保所有人都会以安全作为第一考量,才开始去设计产品。
Parisa Tabriz 以 Chrome 为例,当 Google 在网路上发现有问题的时候,都能立即找到问题点,并能立即解决,这中间很重要的一个因素,就是 Chrome 在设计之初,便从伺服器到各种系统平台,都会推出安全解决方案,而且都要层层把关,然后也会接受外面公开机构认证的考验之后才能上线。
▲Google Director of Security,Google Apps Eran Feigenbaum 表示,Google 相当重视资讯安全,不管内部哪个部门的工程师开发甚么产品,最大的要务,就是会先把资安考虑进去。此外,Google 内部也会针对工程师、设计师进行资安教育。(图/记者洪圣壹摄)
除此之外,每位工程师都会去思考有关安全创新(Google Security innovation)的事情,针对安全问题,Google 做了以下创新的网路安全措施:
1.密码:像是针对钓鱼网站,工程师就提供给消费者免费下载应用程式,透过创新的 two step verification 服务,让使用者登入时,除了个人密码之外,每次登陆都还要透过手机等其他载具产生一组安全密码,才能真正登录,而且这一层密码只能使用一次。
2.浏览器:安全浏览技术,Google 每天都在找寻有恶意软体的不安全网站、目前已经找到 1 万个不安全网站以及 3 万个钓鱼网站,并主动观察目前网这些站的骚扰技术然后提供更新软体。
3.抓虫:目前为止 Google 每天至少都会在网路上找到 2 亿只骇虫,当 Google 发现有问题的时候,就会立刻找到问题点,甚至会立刻找到解决的方式并赶快解决,这是为什么他们一直强调浏览器更新很重要。
4.SandboxGoogle 都会在基础技术之上,放置了有最新安全防护机能的 Sandbox,然后才在 Sandbox 之上允许使用者或是Google 工程师加入各种应用程式。
5.骇客活动Google 会在全球举办骇客活动,鼓励全球顶尖骇客来骇进 Google 的产品,进而学习经验与寻找人才,近期在亚洲,Google 选在新加坡也举办了一场类似的活动,给跨越25个国家的学生,最后是一位香港人得奖。
整体来说,处在资讯爆炸的时代,其实有许多人,并不会特别去在意资讯安全的问题,不过Google 安全的理念跟想法却是横跨所有产品,不再只有单一个面向。 Google 也很清楚的了解自己的产品定位与未来的走向,举例来说,Google 要做到所有的使用者都能立基于一个高阶资讯安全底下来使用产品,因此即使针对没付费的使用者来说,也只是与付费使用者差别在额外的资安控制介面而已,基本上的安全机制几乎都是一样的。
Google 两位设计师相继呼吁使用者,安全防护应该要是双向的,Google 除了努力保护用户安全,同时也提供使用者建议,希望使用者能透过安全宣导做到登录网页之前,至少要能考虑到三件事情,首先是设定密码,再来是要确认浏览器版本是最新的,第三个是要确定密码遗失的话一定要确定密码可以找回来,而且可以重设密码的机制。透过这样的方式一方面提升网路安全性,也能进一步拥有更好的使用经验。