早前 Google「保安公主」Parisa Tabriz 來了香港,跟迪士尼動畫不同,這位「保安公主」不僅不是楚楚可憐,反而更是自己帶頭領著 30 多人團隊,成為 Chrome 這座「城堡」最堅實的保安防線。Parisa Tabriz 是 Google 產品保安團隊的主管,正是所謂的「白帽黑客」,每天都在保護全球多達 10 億網民。
不一般的公主、不一般的白帽黑客
這個「保安公主」(Security Princess)名號不是叫假的,因為它確實是印在她的名片上的職銜。矽谷科技公司裡充斥搞笑幽默的名片頭銜,而「保安公主」又怎麼來?話說 Parisa Tabriz 某次出席會議時發覺「資訊安全工程師」(Information Security Engineer)的頭銜太無聊了,所以就改用「保安公主」這個名稱,並一直沿用至今。
奧斯卡電影《NASA 無名英雌》正在上映,故事裡三位黑人女性就以不同身分支持 NASA 的載人太空計劃。最近美國似在重新吹起種族和性別歧視之風,尤其矽谷科技公司更因特朗普總統的「移民禁令」而焦頭爛額,而 Google 亦是其中一家抗議特朗普政策的矽谷巨擘之一。
其實黑客世界絕對是「實力行先」,最受尊重的都是具有實力的黑客,跟你的年齡、性別、膚色沒什麼關係,畢竟大家其實都隔著屏幕。雖然 Parisa Tabriz 同時集合年輕、女性和有色人種的身份,但她憑實力就成為 2012 年《福布斯》選出的 30 名 30 歲以下必須留意的科技人物之一,是真正的實力派。
全球約 10 億網民正受到她的保護
自特朗普上台後,美國吹起一片排外風氣,雖然訪問中沒有回答自身對最近事件的看法,但相信 Parisa Tabriz 感受蠻深。她出自醫護家庭,雖然在美國出生,但父親是伊朗人,母親是波蘭人,是典型的移民家庭,尤其伊朗是特朗普禁令裡七個國家之一,說沒有壓力大概是假的。
但事實上 Parisa Tabriz 負責 Chrome 瀏覽器的保安,每天都在保護美國以至全球網民。據《NetMarketShare》最新統計,2017 年 1 月 Chrome 瀏覽器的市佔率就達到 57.94%,全球約 10 億網民正受到她的保護。而她更是 2014 年奧巴馬成立的數碼服務小組(USDS)的成員之一,為政府及美軍提供資訊保安建議。
換言之美國的資訊安全,其實正是由非白人的移民後代保護著。
未來人人上網、保護網民比保護作業系統更重要
最初她也不是學習電腦工程,笑言「只有跟兄弟玩遊戲機的經驗」,直到大學時學習網頁設計,網站卻被黑客入侵,她為了想搞清楚發生什麼事而開始接觸資訊保安。她每個周五晚都出席黑客聚會,由完全不懂到深深沉迷,從此便找到自己的天職。
大學時 Parisa Tabriz 參加了科技公司的實習,參加的正是 Google。當年雖然互聯網方興未艾,但人們還是接觸 Windows 等系統的機會比較多,如果想保護更多人不是該選擇 Microsoft 嗎?不過她看得更長遠,認為人們未來未必人人使用 Google 服務,但卻一定不能不上網,保護網民其實比保護一個作業系統更難也更保護更多對象。
2007 年她正式加入 Google,不過矽谷仍是一個男多女少的地方,即使是 Google 也只有約三成員工是女性,而且更遑論是工程師。因此就曾有男同事揶揄,Parisa Tabriz 是因為女性的身份才會獲聘,但她卻在加盟數月後就完成一項有關無線上網安全的研究,憑實力令人閉嘴。
Chrome 的安全就是互聯網的安全
前面提及過奧斯卡電影《NASA 無名英雌》,故事不僅探討了 60 年代美國的種族和性別歧視現象,其實也在表揚一班幕後英雄。事實上,即使是教科書也只會記錄 John Glenn 是第一個進入地球軌道的美國太空人(即是電影裡的太空人),並沒多少人記得更多幕後英雄 / 英雌的貢獻。
事實上,資訊保安本身就不是一種幕前精彩的工作。就像 iPhone 大家只記得 Steve Jobs、Facebook 只記得 Mark Zuckerberg,新產品或新功能推出時消費者只會記得光芒四射的開發者。比較起來,做資訊保安不僅不會成為焦點,要是真的受到注意,幾乎是肯定出了什麼保安漏洞。
因此說 Parisa Tabriz 是真正的「無名英雌」並不為過。不過她倒不覺得有什麼不好,反而很享受現在的工作。Parisa 和團隊的工作就是不停攻擊 Chrome 和 Google 網上服務,搶在黑客前找出漏洞加以修復,她認為白帽黑客能把技術應用在好的方面,甚至懸賞 3 萬美元給找出漏洞的黑客,而她和團隊找出的漏洞就超過 1,000 個。
她認為並不是那麼多人知道網路其實充滿危險,要保護一般人不受攻擊,瀏覽器可說是防禦的第一線,因此她才會說「Chrome 的安全就是互聯網的安全」。事實上很多人因為她而躲過了攻擊,透過「安全瀏覽網站」功能就阻止用戶訪問有風險網頁,比起讓瀏覽器速度更快,也許這些功能的意義更重大。
在互聯網保護網民、Google 可以負起更多角色
Parisa Tabriz 坦言世上沒有完美的系統,漏洞一定繼續存在,即使瀏覽器沒發現漏洞,但如果遇上網站本身有問題,網民仍然暴露在危險之中。「瀏覽器只是接入互聯網的窗口,用戶到網站之間其實經過路由器、ISP 和很多不同的節點,每一個環節都有被中間人攻擊(Man-in-the-Middle Attack)的風險。」她說。
誠然作為網路搜尋器,Google 可以負起更多的角色,例如在搜尋時有機會看到搜尋結果旁邊會提示網站可能存在風險。而 Chrome 使用者則有更多保障,「安全瀏覽網站」功能就收集了大量網頁數據,要是使用者要打開有釣魚、木馬或惡意軟體件網站時就會出現紅色的警告頁面提醒。
另一個保護使用者的方式就是加密瀏覽。最新版本的 Chrome 就加入新功能,如果要登入網站就必須使用 HTTPS 加密連線。近年經常都有利用中間人攻擊來偷取網民資訊的新聞,而對抗方法就是加密連線,由於互聯網實際不是點對點,要避免中途被黑客甚或政府截取就必須保證過程加密。
盡量希望能在使用者不察覺下已受到保護
據 Parisa 提供數字,全球 100 大網站中就有 44 個預設採用 HTTPS、54 個支援 HTTPS,其中又以預設採用最安全,因為這代表任何時候瀏覽都在加密狀態,不管有沒有密碼登入或輸入信用卡等資料。相比 2015 年只有 39 個預設採用和 24 個網站支援,增長已經很大。
Parisa 坦言很多網站都不重視加密連線,除了成本、維護和效能考慮,更多的情況是覺得「沒需要」:「很多網站都不覺得網站裡有值得使用加密連線來保密的內容,因此不覺得有需要採用 HTTPS,這正是推廣 HTTPS 時的最大障礙。」
但試想像一下,大多數人只會在網址欄直接輸入網址,不會額外自己輸入 HTTPS,因此網站預設採用 HTTPS 的話才能保證網民在需要加密時確實處在加密連線的狀態。除了 Chrome 會有紅色圖示提醒外,Google 也透過為預設支援加密連線的網站提升搜尋排名的方式來鼓勵更多網站採用 HTTPS 加密連線。
「Google 盡量希望能在使用者不察覺的情況下已受到保護,例如保持使用最新版本瀏覽器便是安全上網的其一關鍵。而 Chrome 的設計就做到完全的自動更新,瀏覽器更新自動在背景完成,使用者不需要自行更新,甚至不察覺已經更新了。」她說。
教育公眾始終是重要一環
雖然 Google 在背後已擋掉很多危險,但如果網民仍執意在提醒後仍瀏覽有危險的網站,那問題仍然沒解決。就像每一個保安專家所說,任何防火牆也不及使用者自己的安全意識重要,因此要真正做到安全的互聯網使用環境,除了有一個安全的瀏覽器,教育公眾始終是重要一環。
不管是作為一個資訊保安專家要教育公眾,還是作為女性工程師希望有更多女性參與這行業,Parisa 一直有參與不同的團體的網絡安全教育,例如親身參與女童軍或兒童的黑客松活動,讓她們親身感受網絡安全的重要性,培育未來的網絡安全工程師。
最後 Parisa Tabriz 給了幾個建議網民,雖然是老生常談,但仍然值得一再提醒:
● 便宜莫貪:各種用優惠或免費招徠的網站或下載,都要留意是否釣魚或惡意軟件。
● 不要重覆使用密碼:曾使用的密碼有可能因網站資料外洩而被黑客知悉,黑客會試圖使用舊密碼登入你的其他網上服務。事實上,Mark Zuckerberg 的 Twitter 帳號就是因為這而被入侵過。如怕忘記密碼,Parisa 就建議使用 Chrome 的密碼管理員功能。
● 避免使用公共電腦和定期檢查帳戶安全:如果必須使用公共電腦登入,Parisa 就建議使用多重登入認證,這樣即使黑客偷取到密碼也難以登入帳號。
● 小心下載的軟件和應用程式:近年常見的勒索軟件和木馬都利用網民疏忽而入侵,Parisa 就建議網民檢查 Google 帳戶有沒有可疑的登入。
● 保持軟件在最新版本:就算漏洞發現了並修復了,但使用者沒安裝更新也沒用。雖然 Chrome 會自動更新,但其他瀏覽器插件或軟件並非如此,因此仍得留心。
總結:真正意義上的無名英雌
也許 Parisa Tabriz 為自己加上「保安公主」的稱號並非僅只是好玩,畢竟資訊保安從來不是那種鎂光燈下的明星,要讓公眾留意到資訊保安的重要性,正好需要這樣一個「話題性」來吸引注意。事實上,如果你在網路搜尋資訊保安,幾乎都是事故新聞、發現漏洞,沒多少人會注意到他們的努力。因此用「無名英雌」來形容 Parisa Tabriz,並非只是筆者借題發揮,反而認為她是真正的無名英雌。
作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。