讓WFH令人抓狂的網路安全技術…

作者 : Ann R. Thryft,EE Times特約作者

在家工作(work-from-home,簡稱WFH)的安全技術對使用者來說有多糟?也許你也已經感受到,真的是非常非常糟糕…

我們已經討論過目前全球數百萬開始在家上班的員工為企業IT部門──他們現在必須管理並且保障所有在辦公室防火牆之外新終端裝置的安全──帶來的麻煩,以及WFH相關技術多麼缺乏安全性考量。不過終端使用者又是如何看待WFH技術的?

因為美國加州的一場無情野火(參考筆者先前文章「沒人想成為難民!」),我從8月18日到9月23日這段時間進行了一場無預警的隨機實驗,充分感受到遠端工作者若嘗試從家裡或是外面的旅館使用網路安全技術,是多麼糟糕的體驗…不只是因為大多數WFH (我這裡的H是Hotel)技術很爛,也因為那些技術的佈署方式非常愚蠢。

從8月18開始,我跟我先生因為加州聖塔克魯茲山區閃電複合大火(CZU Complex Lightning Fire)離家避難,也展開一段冒險──嘗試在落腳不同旅館時遠端工作並處理無數個人與業務瑣事、還要與不允許例外的自動化系統對抗。

整整有五個星期的時間,我每天都花太多時間應付脾躁的VPN、無情的雙重身分驗證(2FA),還有其他安全技術與實踐,更別說惡名昭彰的旅館Wi-Fi網路。雖然這些技術都應該是要保護我以及另一端的機構,卻讓我的生活陷入不必要的困境、難以置信的效率不彰,簡直只能用悲慘來形容。

雖然有數個持續發生的不同問題,而且幾乎所有問題最終都是因為我的筆記型電腦改變所在地點、因此IP位址也跟著改變所引發,通常也激發當我在家工作時不曾發生的2FA要求。結合實在可怕的VPN,我的日子成為電腦地獄。

無情又不安全的VPN

因為設置2FA或多重身分驗證(multi-factor authorization,MFA)是良好安全實踐的基本條件,特別是對遠端工作者來說,很少有人發現其值得批評之處;但如此眾多企業都是這樣輕率地實踐這種安全方案,它應該要受批評。

我在上一篇文章有提到,在因為火災而撤離家園的那段時間,遭遇的最大問題是我被假設可以透過簡訊接收驗證碼──但我不能,我沒有可以收發簡訊的手機──以及可以替代2FA或MFA驗證機制的選項消失了,例如接受電子郵件或是語音電話訊息。

此外還有自動化系統的問題…所有這些加在一起,意味著一旦我無法透過某個網路站點選擇的途徑接收文字訊息,我就得撥通某個電話號碼找到一個真正的人類來解決我的問題。然而在其他時間,明明在同一個站點上,我不需要驗證碼就可以登入。

 

 

事實證明我不是唯一有這種抱怨的人──有很多其他人,有些是身處偏遠地區、有些不是,因為不同理由無法使用行動通訊服務,就無法收發簡訊完成身分驗證、甚至無法成功設置一個線上帳號。

這個問題的嚴重程度以及引發的使用者怨念,從Microsoft的Outlook使用者線上論壇一篇題為「我沒有手機,所以該如何在無法取得驗證碼的情形下完成身分驗證?」的留言就可以看出,這則留言底下的回覆已經「蓋大樓」蓋了4頁,滿滿都是對於2FA需要手機/收發簡訊的抱怨,而且從2018年10月討論到2020年10月,還在繼續。

為何有那麼多公司都轉向採用以手機簡訊進行MFA或2FA身分驗證是個謎,而其實早在四年前,包括美國國家標準暨技術研究院(NIST)在內的數個機構,就不鼓勵採用這種方法。2018年,科技新聞網站Tech Crunch有一篇題為「2018年網路安全指南101」(2018 Cybersecurity 101 Guide)的文章,甚至將手機簡訊驗證碼列最不安全的2FA機制,因為很容易洩漏或被竊取。

同樣在2018年,網路安全部落客Brian Krebs探討當時發生的Reddit.com資料外洩事件,指出使用手機簡訊作為2FA身分驗證的侷限;因為被入侵之Reddot員工帳號應該是要受到手機簡訊2FA機制的保護,卻反而被駭客攔截並竊取了透過簡訊發送的一次性驗證碼。

Krebs在部落格文章中寫道:「這個意外事件再一次證明了,仰賴手機簡訊進行2FA身分驗證可能會讓企業或是終端使用者陷入虛假的安全感。」駭客會繼續鎖定簡訊為攻擊目標,甚至以更精確的手段:去年秋天,網路安全方案供應商FireEye公佈了一個新出現的惡意軟體系列,就是用來存取並監看特定來源、例如電話號碼的簡訊。

惱人的第三方VPN

而所有這些安全機制都假設你能──或應該──保持與VPN的連結;我們在避難期間暫居的兩間旅館的Wi-Fi訊號強度都不可靠,好幾次在我與客戶或同事進行Zoon線上會議,還有截稿期間完全中斷,有一次甚至長達1小時;網路中斷也導致斷開VPN,重新連結之後我得在線上會議重複強調「我沒有關靜音!」

第一間旅館的Wi-Fi還算穩定,因此我們消費者等級的平價VPN時大多數時候都能正常運作──這在其他那麼多事情無法正常的同時真的是令人驚喜。不過在我們投宿的第二間旅館,VPN問題卻變得很嚴重、甚至比之前更糟糕,就算那家旅館比第一家的等級高了許多。

很難相信我跟我先生花了幾天的時間才確定一切問題的罪魁禍首就是VPN,而不是通常惡名昭彰的Wi-Fi訊號。我們遭遇的問題是只要一連結VPN就無法送出電子郵件──真的,一封都送不出去。在第二間旅館,VPN還會擋信,而且屢試不爽。

更糟糕的是,外送郵件一切看起來都很正常,沒有錯誤訊息、而且送出的郵件也會出現在計件備份匣,時間標記等等都有;接收郵件的情況也是一樣。想當然爾,我是直到有人出聲抱怨才知道電子郵件出問題。

使用VPN也觸發一些詭異的網站登入行為,例如Amazon通知我剛完成「異常登入事件」(an unusual sign-on event),某些網站則讓我一再重複「我不是機器人」(CAPTCHA)的驗證步驟。PayPal等網站完全拒絕我的登入,Google搜尋引擎則是發出錯誤訊息說我的帳號進行太多搜尋。更別提讓人痛恨的2FA程序。

VPN的目的是遮蓋使用者的IP位址以避免潛在的網路攻擊,通常是透過讓其他使用者分享同一個IP位址。但這會產生兩個問題:首先會讓你自己在你的郵件發送對象端看起來像是垃圾郵件製造者,其次則是大多數的網路安全系統例如銀行、電力公司、電信業者或網路服務供應商,還有郵局等等單位,基於安全理由都得知道你的IP位址。

 

第三方VPN的行為在企業防火牆之外、企業員工的WFH遠端工作電腦內會不太一樣。
(圖片來源: Pixabay)

 

當我因為不能登入美國銀行(Bank of America)帳戶而打電話給客服時,VPN在對話期間中斷好幾次;而客服人員告訴我,他們的線上系統是特別設計不支援VPN。為何?因為其安全系統真的真的想知道使用者的真實IP位址,否則該軟體會認為使用者是在試圖駭入自己的帳號。

所以該如何解決這個問題?斷開VPN並且在透明下傳送所有東西;換句話說,不使用該安全技術的原因是:1. 它無法作用;2. 避免其他任何安全技術正常運作。有任何其他解決方法嗎?可以花更多錢購買提供固定IP位址的VPN服務,但專有的IP位址也意味著較不安全。VPN本身也會有一些安全漏洞,例如Pulse Secure的VPN在去年8月發現過單獨程式碼執行錯誤,還有Citrix VPN伺服器也在1月發生過類似狀況。

開放源碼線上社群GitHub的一篇留言指出,把VPN當成內部私有網路使用,如它們被設計的初衷,就沒有什麼問題;但使用第三方VPN做為經過美化的代理伺服器(proxy)是無用的。當然,所有第三方VPN應用程式都一樣,只會在你的瀏覽通過第三方VPN供應商伺服器時加密你的資料,在你斷開之後就不再受到保護。所以結論就是--把這種安全軟體關了吧。

我就是這麼做,幸好我並沒有因此遭遇駭客攻擊;而且關掉VPN之後,一切工作都相當順暢,除了得應付幾個討厭的2FA需求以及Wi-Fi訊號中斷問題。順帶一提,我現在手邊幾乎紀錄了所有能聯絡到真人客服的「秘密」電話號碼。

 

編譯:Judith Cheng

(參考原文:WFH Security Tech Sucks for Remote Workers,By Ann R. Thryft )

 

 

掃描或點擊QR Code立即加入 “EETimes技術論壇” Line 群組 !

 EET-Line技術論壇-QR

發表評論