30% 政府電腦仍用 XP 港保安專家 5 招應急

香港政府內部的 XP 系統採用率又有幾高?採用 XP 電腦會否影響市民公眾?

早前 IE 出現嚴重漏洞,駭客可透過安全漏洞獲得作業系統的使用權限,引發不少機構關心安全問題,尤其是打算繼續使用已過了 Microsoft 支援期限的 Windows XP 系統的機構。英國和美國政府更罕有呼籲民眾,尤其是 XP 的用戶暫時停用IE,在 Microsoft 修復漏洞前轉用其他如 Chrome、Firefox 等瀏覽器,突顯問題嚴重。

目前香港政府各局及部門安裝 Windows 的電腦,約三成為 XP 系統。

雖然最終 Microsoft 為 XP 的用戶提供今次的系統更新,但其實 XP 仍然要面對未來出現漏洞而不獲修正的風險。早前本站曾報導,中國政府部門和商業機構的 XP 系統採用率仍然高企,達到 72.6%,遠比全球平均的 10% 左右為高。那麼更貼身的問題是,香港政府內部的 XP 系統採用率又有幾高?採用 XP 電腦會否影響市民公眾?

 

港府 XP 電腦約佔三成

據互聯網流量監測機構 StatCounter 資料,目前中國 Windows XP 的市場佔有率達 54.13%。而在商業機構和政府範疇,根據早前國家電腦病毒應急處理中心報告,在中國政府及企業用戶群中所抽樣的 121 萬台電腦設備中,裝有 XP 系統的設備竟然高達72.6%。反觀網路安全公司 Qualys 數字,全世界政府和企業所用的電腦中只有 10% 會繼續使用 XP 系統,中國機構高達七成的比例,遠高於全球平均水平。

本站向香港政府資訊科技總監辦公室查詢,原來香港政府目前仍有約三成電腦使用 XP 系統,雖然比中國低得多,但仍高於全球平均水平。政府資訊科技總監辦公室發言人回覆指出,目前香港政府各局及部門安裝 Microsoft Windows 系統的個人電腦,總數約為 16.5 萬台,其中約七成為 Windows 7 或 Windows 8 作業平台,僅約三成為 Windows XP 系統。

今次最終 Microsoft 為 XP 用戶提供系統更新,但 XP 仍要面對未來出現漏洞而不獲修正的風險。

 

去年已敦促盡快更新

個別局及部門因應其業務和運作需要,仍有使用 Windows XP 作業平台,主要原因包括需要多些時間測試,及處理現有應用系統在 Windows 7 或 Windows 8 平台上運作的技術及兼容問題、要配合部門的應用系統更新工程項目計劃,以及保存舊應用系統的備份及測試平台等。

至於政府有否限期要求各部門完成升級程序,有關發言人未有正面回應,僅表示政府資訊科技總監辦公室早於去年已發出實務指引,敦促各局及部門盡快更新 Windows XP作業平台,及要求各局及部門採取適當的資訊科技保安措施,保護未能及時更新的作業平台,例如加強保護系統、數據、應用程序和網絡,以及制備相關的應變計劃等。

 

已有紓緩保安措施保護

至於政府如何保障仍使用的 XP 電腦不會產生保安問題,影響公眾,政府資訊科技總監辦公室表示各局及部門已於 Microsoft 在 4 月 8 日正式終止 Windows XP 的支援服務前,已完成更新或保護系統的工作,包括建立獲授權軟件和網站的「白名單」(White List)、實施實時終端保護方案,以及在有需要時將使用 Windows XP 平台的電腦停止連接互聯網等。

此外,政府資訊科技總監辦公室表示會聯同其他資訊保安服務供應商,加強監察政府網絡風險和收集有關 Microsoft Windows XP 作業平台的保安資訊,以便適時向有關部門發出警報,以及聯繫和協調處理政府資訊保安事故。

政府未有回應有否限期要求各部門完成升級程序,僅表示於去年已發出實務指引,敦促各局及部門盡快更新。

 

未有發現香港入侵個案

雖然最終 Microsoft 快速為該 IE 漏洞釋出更新,但據發現該漏洞的安全公司 FireEye Inc. 透露,已發現有黑客曾試圖透過該漏洞進行入侵。香港生產力促進局香港電腦保安事故協調中心(HKCERT)高級顧問梁兆昌接受本站查詢時表示,他們暫時未收到有香港機構報告,因為該漏洞而受到入侵,但他提醒香港機構仍不能掉以輕心,應盡早下載修正補丁阻封漏洞。

梁兆昌引述 StatCounter 的數據,指出目前香港機構的 Windows XP 採用率仍有 15.3%,即約 126 萬台電腦。他表示 Microsoft 在上周末已釋出該漏洞的修正補丁,而且也包括了XP 的用戶,他呼籲香港機構盡快更新。同時他表示 HKCERT 會繼續監視該漏洞的修補狀況,並會在網站上提供協助,如本地機構在處理時出現問題,可到他們的網站參考或尋求協助。

HKCERT 高級顧問梁兆昌表示,未收到有香港機構報告,因該漏洞而受到入侵。

 

XP 風險是 Win 8 的六倍

梁兆昌表示,不管是政府或是商業機構, 繼續使用 XP 系統始終會有風險。他引述 Microsoft 安全報告的數字,在 2013 年第二季 Windows XP 和其他視窗系統的遭遇率相約,但是 9.1% 的感染率卻明顯地高於 Windows 7 的 4.9% 和 Windows 8 的 1.6%。「各個視窗操作系統暴露在攻擊的機會是相約的,但是 XP 的感染率卻是 Vista 或 Windows 7 的兩倍,更是 Windows 8 RTM 的 5.7 倍。」他說。

梁兆昌警告,Microsoft 已停止為 XP 提供更新,日後的攻擊風險會比現在更高:「如果有些漏洞是 XP、7 和 Windows 8 共享的,黑客可以在 7 和 8 安全修補程式上面,以逆向工程方法找出可以使用來攻擊 XP 漏洞的方法,令 XP 在未來暴露在更多的攻擊之下,承受較高的風險。」他呼籲這些機構應盡早更換到較新的 Windows 系統版本。

梁兆昌警告 XP 的感染率是 Windows 8 RTM 的 5.7 倍。

 

第三方保安非治本之法

梁兆昌提到,不少續用 XP 的機構希望有「白騎士」出手拯救,而且也發現坊間有安全廠商推出第三方的保安方案,但他警告機構這樣同樣有風險:「在 XP 終止支援服務後,可能會有第三方開發人員請纓,為 XP 提供的非官方安全修補程式,HKCERT 建議不要依靠非正式的安全性修補程式。」

「這些廠商對 XP 內部結構的認知,以及處理不同環境和不同應用的經驗,都不如 Microsoft 人員那樣全面,以致由他們開發的非官方的安全性修補程式,在質量和兼容性都不能與 Microsoft 的同日而語。」他說:「更有甚者,一些惡意人士可能藉機向用戶提供包裝有木馬程式的所謂安全修補程式,引誘用戶安裝惡意軟件感染電腦。」

 

五招應急措施減風險

如果機構逼不得已要在短期間內繼續使用 XP 系統的電腦,梁兆昌給這些機構幾個應急的處理方法:「首先是把這些電腦停止接上互聯網,因大多數攻擊都是來自網絡,最好把這些電腦配置在已隔離的網絡上。其次是減少這些電腦的用戶者帳戶,並且不要提供管理員權限給普通使用者。」

「即使未來已不會有其他更新,但 IT 管理員應將管理下的 XP 電腦更新至目前最新的版本,並把所有修正補丁都安裝。此外不要再使用 IE 瀏覽器,改為使用仍有更新修正服務的 Firefox 或 Chrome 等較安全的瀏覽器。最後則是保持警覺,監視電腦有否出現任何異常行為。」但梁兆昌強調應急措施只能減低風險,並非保安措施,長遠最佳解決辦法,仍然是把電腦視窗系統更換至較新的版本,或其他包括 Linux 和 MacOS 在內的新款作業作系統。

 

嵌入式 XP 專業版亦將終止支援服務

眾所周知,不少銀行櫃員機等設備都是使用 XP 系統,但其實這類型的嵌入式系統(Embedded Systems)採用的並非普通版本的 XP,而是嵌入式 Windows XP 專業版操作系統。此軟件的正式終止支援服務日期是 2016 年 12 月 31 日,HKCERT 警告使用嵌入式 Windows XP 專業版的硬件廠商,必須立即為升級制定計劃,因為嵌入式系統的改造、測試和部署都需要較長的時間。

 

嵌入式 Windows XP 專業版,正式終止支援服務日期是 2016 年 12 月 31 日。