全民檢測 |缺HTTPS官網保安僅D級 資科辦:坊間工具易得假陽結果

撰文:陳嘉慧
出版:更新:

新型肺炎疫情影響本港大半年後,政府推出普及社區檢測計劃(俗稱「全民檢測」),於9月1-7日提供自願性病毒檢測,市民需預先在網站預約。登記需填寫姓名、身份証號碼、電話等個人私隱資料,故網站安全非常重要,惟《香港01》利用網站安全掃描工具Mozilla Observatory掃描網站,結果只有D級。
而早前發放1萬元(香港郵政網站電子表格)、派發銅芯口罩的掃描結果分別是B級及C-級。換言之,今次社區檢測計劃網站得分最低。不過,掃描結果只表示網站未有完全採取Mozilla建議的安全措施,僅供參考,不代表網站已經出現安全事故。另有工具顯示網站可安全瀏覽。
政府資訊科技總監辦公室(資科辦)回覆指,在網站投入服務前,已委託獨立第三方顧問公司進行保安風險及私隱評估,並進行滲透測試以找出和修補安全漏洞,而Mozilla Observatory所提出的潛在風險,網站一直有相應的保安措施作保護,包括禁止跨網站指令碼及採取自動轉換安全傳輸技術等,並且已設定有關參數,而免費工具通常未能完全偵測得較深層的保安措施;所有保安及第三方評估工作於網站投入服務前完成,至今沒有接獲任何保安問題的報告。

▼全民檢測計劃展開 市民及官員參與情況▼

+12

登記需填寫姓名、身份證號碼、電話

普及社區檢測計劃預約系統在8月29日起開放預約,至9月1日下午有超過60萬人預約。登記人士需填寫姓名、身份證號碼或出世紙號碼、手提電話號碼等。由於類似的預約網站對整體市民開放,並需要收集敏感個人資料,因此網站的保安及流量管理非常重要。

▼預約全民檢測頁面▼

掃描級果:D級、三項指標不合格

《香港01》於8月31日利用網站安全掃描工具Mozilla Observatory掃描普及社區檢測計劃網站的預約頁面,結果只有D級,得分僅35(滿分100),在11個不同種類的測試中,有三個不合格,包括未有妥善寫入「内容安全策略(Content-Security-Policy)」,或致網站更容易受「跨站指令碼攻擊」,即網站被惡意加入一些程式碼,不法份子或可利用作此漏洞盜取資料、散播電腦病毒等。

此外,工具指網站未使用「HTTP強制安全傳輸技術」,即沒有強制用家的瀏覽器使用HTTPS。HTTPS亦稱「超文字安全傳輸通訊協定」,是一項可確保訊息在用家的電腦和網站之間,以加密方式傳訊技術。如果用家的瀏覽器未有使用HTTPS,有可能出現資料被盜取或修改、網站被騎劫等情況。工具同時顯示沒檢測到網站的「X-Frame-Options 回應標頭(X-Frame-Options)」,表示網站容易被「點擊脅持」,即網站容易被嵌入在惡意網站中,甚至被用於「點擊脅持」,如欺騙使用者點擊「檢視」按鍵,但實際上是「付款」按鍵。

網站三項不合格指標:
1. 未妥善寫入「内容安全策略(CSP)」:不法份子或可利用作此漏洞盜取資料、散播電腦病毒等。
2. 未強制用家的瀏覽器使用HTTPS:有可能出現資料被盜取或修改、網站被騎劫等情況。
3. 未妥善寫入「X-Frame-Options 回應標頭(X-Frame-Options)」:網站容易被嵌入在惡意網站,或可能被用以欺騙使用者點擊有問題按鍵。

資科辦:網站推出前已委託獨立第三方評估測試 

政府資訊科技總監辦公室回覆指,「普及社區檢測計劃」預約登記網站在政府私有雲平台上運作,所有經系統收集的資料均儲存於政府私有雲,獲多重電腦保安措施保障,包括防火牆、入侵偵測及防禦系統等等。

資科辦並指,在網站投入服務前,已委託獨立第三方顧問公司(安永諮詢服務有限公司)進行保安風險及私隱評估,並進行滲透測試以找出和修補安全漏洞,而Mozilla Observatory所提出的潛在風險(第一、二項),網站一直有相應的保安措施作保護,包括禁止跨網站指令碼及採取自動轉換安全傳輸技術等,至於有關「X-Frame-Options」的潛在風險(第三項),另一檢視結果確認系統已設定有關參數。資科辦表示,所有保安及第三方評估工作於網站投入服務(即8月29日)前完成,網站推出後亦一直監察系統運作,至今沒有接獲任何保安問題的報告。

郵政「派1萬元」電子表格B級、銅芯口罩C-級

疫情以來,政府已至少三次利用網站收集市民登記,除了是次普及社區檢測,還包括發放1萬元的香港郵政網站電子表格,以及派發銅芯口罩查詢進度頁面。以同一工具逐一測試,結果顯示發放1萬元郵政電子表格是B級(8月31日掃描)、派發銅芯口罩是C-級(9月1日掃描)。

Mozilla Observatory面向開發人員 另一測試顯示網站可安全瀏覽

值得注意的是,這並不代表網站現已出現安全事件,只是網站未有完全採取Mozilla Observatory所建議的網站安全措施,主要是為了提醒開發人員需在網站加上一系列安全相關程式碼,僅供參考。Mozilla為開源科技社區,推出不少開源代碼項目,包括不少網民使用的FireFox瀏覽器。

記者另外使用專為網絡使用者標示不安全網站、由防毒軟件公司諾頓開發的Safe Web工具,掃描上述三個網站,結果顯示三者均可安全瀏覽。

方保僑:建議同時使用多個工具

資科辦認為,坊間掃描工具或因所採用的技術不同,掃描同一系統時的結果或有所差別,甚至出現假陽性(false positive)的情況;而免費工具一般根據基本的系統設定、參數及措施去推算潛在的保安漏洞供參考,但對於較深層的保安措施,通常未能全部偵測得到。

香港資訊科技商會榮譽會長方保僑認為,此類網站保安掃描工具一般供開發人員作尋找洞漏之用,但因為不同工具所使用的版本不同,或出現不同結果,例如一些工具如太敏感,或會出現False Alarm(虛報)情況,而如果工具未及更新,亦會出現偵測不出來的情況,因此建議同時使用多個工具,參考多方資料,再由開發人員作進一步檢查。

香港資訊科技商會榮譽會長方保僑認為,因為不同掃瞄工具所使用的版本不同,或出現不同結果,例如一些工具如太敏感,或會出現False Alarm(虛報)情況。(高仲明攝)

近年全民活動網站事故:旅發局除夕大抽獎

而近期涉及大型活全民活動的網站問題事件,是2019年除夕倒數大抽獎網站的「大塞車」,導致不少市民難以登記,而活動定在除夕夜抽獎,亦要延至新一年、即2020年元旦才公開抽獎。當時網站及活動連環出現問題,包括臨近開放登記時前,突宣布取消手提電話接收驗證碼,改以電郵接收;驗證郵件被部份電郵供應商當成「垃圾郵件」;其後活動網站域名被個別網絡安全供應商列入黑名單,不能正常運作。

事實上,香港曾發生政府網站被連環攻擊事件。2014年10月,國際黑客組織「匿名者」宣布向香港的網站發動名為「香港行動(OpHongKong)」攻擊,並指目標包括警務處、律政司、海關等。當時共計有70多個政府網站受攻擊,主要受到「分散式阻斷攻擊(DDos)」,致使網站運作緩慢,不能正常訪問。

▼9月4日起放寬措施 部份處所仍關閉▼

+19

▼01實測咽喉拭子採樣▼

+2