逾百个政府网站 “不安全”，有何风险？

文中提及的所有网站，均为撰稿时的状态。

《当今大马》检查近700个政府网站后发现，至少有175个网站并“不安全”。专家警告，这存有个人资料泄漏与其他网络安全风险。

《当今大马》是在2021年5月杪至7月初之间，检查约700个带有“.gov.my”域名的政府网站。

当中包括联邦和州属的各政府部门、机构、分局、还有地方政府、土地局、医院和其他类型的政府网站。

若网址（URL）开端是 “http”，而非“https”的话，那么这些都是“不安全”的网站。

当你打开这样的网址时，桌面电脑左边上方将会显示一个“不安全”的警告。手机版则会显示 ⚠️的警告符号。

若使用主要网络浏览器如谷歌Chrome及Firefox检查，可发现总共有164个HTTP的政府网站，标记为“不安全”。另有11个HTTPS网站虽然看似“安全”，但都受标记为存有钓鱼攻击（phishing attacks）、垃圾邮件或其他“恶意”（malicious）元素。

HTTP网站包括了 国家王宫、国防部及2019冠病疫情网站。

若是登入沙巴东部特别保安指挥区（ESScom）网站，将会出现一个隐私泄漏的警告。不过，当局一名发言人告诉《当今大马》，该网站正在维修当中，预计会在今年10月启用。

《当今大马》联系上一些政府机构和执法单位的官员。他们表示目前正在加强网站的安保，包括从HTTP升级去HTTPS。

《当今大马》最初发现至少有255个使用HTTP的政府网站，但当中91个网站在《当今大马》寻求回应后已经升级为HTTPS，包括国营电视台、首相署属下的礼仪及国际会议事务组网站及公共私人领域合作单位（UKAS）还有沙亚南市政厅。

他们的回应已纳入以下的图表：

这个图表里有数个是恶意网站，因为它们会尝试在访客的设备安装恶意软件，而一些网站则含有垃圾软件或钓鱼攻击。

没有s，不安全

HTTP意即超文本传输协议。用户通过浏览器从HTTP网站发出的所有信息，都是文本格式。

不过，数据在传输过程中，很容易受到第三方截取或窜改。

科技部落客罗扎利奥（Keith Rozario）接受《当今大马》访问时表示，在一个标记为“不安全”的网站提交信息，一般上都不安全。

“如果是敏感信息，如用户名、密码、个人资料和信用卡资料，更尤其如此。”

《当今大马》也发现，一些政府网站通过HTTP网页索取敏感信息，如用户名、密码、安全短语、身份证号码、地址和联系方式。（见下表）

另一方面，HTTPS则是“超文本传输安全协议”，为网络浏览器和服务器之间提供端到端加密（E2EE）。

在传输过程中，信息会变成一组乱码，只有另一端的伺服器才能解密。

虽然骇客还是可以通过公共网络截取信息，但他们只会得到一堆毫无意义的乱码。

在谷歌浏览器打开HTTPS网站，其网址左边将会显示一个“锁头”的符号。

大马网络消费者协会（MCCA）代表法兹里（Fazli Azran）说明，HTTPS提供三层安全防护，即数据加密、数据完整和身份认证。

从 “http”和 “https”网站发送出去的资讯有何差别？

试试看！

请输入电邮地址。

密码

我们不会记录你的资料

查询

反馈卷和登录表格并“不安全”

目前有超过100个政府网站，在用户想要呈交意见或投诉时，网站会索取用户的个人或登录资料。

这包括一些地方政府网站，如曼绒市议会和甘马挽市议会。

同样的，一些联邦政府机构的网站如政府法律援助局、执法机构廉正委员会（EAIC）及首相署属下的法律事务局（BHEUU)同样没有提供安全的意见或投诉表格。

其他政府服务包括各种缴税网站，如柔佛线上服务、文冬市议会、马六甲和登嘉楼的土地及矿务局，亦是如此。

至于一些网站内部系统的登录页面，如马六甲历史城市政厅和龙运市议会的职员薪资和薪水单查询系统，同样不安全。

国家高等教育基金局（PTPTN）曾同时存在HTTP和HTTPS的网站，以致其国家教育储蓄计划（SSPN）也有两个登录页面。不过，它已经解决这个问题，将HTTP网站的用户自动跳转至HTTPS网站。

有时候，一些政府网站主页，其网址虽然是HTTPS，但其他分页却不一样。举个例子，雪邦市议会虽是HTTPS网站，但其属下的雪邦青年推动委员会，却是一个征询大量个人资料的HTTP网站。换言之，它并不安全。

网络安全顾问拉兹万（Razwan Mokhtar）指出，没有使用HTTP的政府网站可能并不合法。

“它可能是由骇客所经营。它也可能是恶意（网站），或者有人可以从中截取和操纵你的数据。”

静态HTTP网站也可能有害

《当今大马》的检查发现，其他大部分HTTP网站设立的投诉或意见表格都是安全。以八打灵再也市政厅为例，即使它的主页不安全，但其客户投诉及付款系统链接都是安全的。

另一方面，大部分的政府部门和机构、医院及一些地方政府网站，则会把想要呈交意见或投诉的用户，直接连接到中央的公共投诉管理系统（SISPAA）。

国家洋麻及烟草局（LKTN）则是特殊例子，因为其网站能同时找到HTTP和HTTPS的意见表格。

一些政府机构发言人受询时表示，网站未必需要HTTPS作为网址，因为当中没有牵涉任何交易。

虽然如此，即使是没有要求个人资料或任何金钱交易的静态HTTP网站，也不一定对访客安全。

骇客一般上会骇入网站，并悄悄安装恶意软件在网站访客的电脑里。普遍所指的恶意活动包括，骑劫你的电脑来挖掘加密货币、或把访客转接至相似，但其实是恶意的网站，以展开钓鱼攻击。

以下影片提供数个例子，解释一个静态HTTP网站可以在各种不同方式下，受到攻击或骑劫。

法兹里指出，对骇客而言，大部分静态HTTP政府网站的吸引力不大，所以危害较小。

他补充，这是因为骇客知道，大部分用户不会在这些网站花费很长的时间。

无论如何，他提醒，骇客还是会有可能攻击一些特定的热门网站。

《当今大马》使用一个检测恶意软件的网络分析工具VirusTotal，检查了所有整理出的网站。其中，丰盛港县署网站有钓鱼攻击，沙亚南市政厅网站则有垃圾软件。

此外，经过检查后，《当今大马》列表里的大部分网站都没有受到恶意软件或钓鱼攻击的干扰。

从HTTP切换去HTTPS是个简单的任务吗？

仅仅在网址上增加一个“S”，并无法把网站从HTTP切换去HTTPS。

不过，法兹里表示，这个切换过程其实“不难”。

他说明，相关网站只需向安全链路层（SSL）认证供应商购买一个有效的SSL，并在网站服务器配置设置切换即可。

他也建议民众，使用HTTPS Everywhere浏览器扩展程序（browser extension）来加密用户与主要网站的通信，以加强浏览的安全度。

但拉兹万认为，这件事牵涉数百个政府网站，要切换并不是个简单的任务。

他说明，一个大型的线上系统一般需要花费5年时间建立，而当中一些系统可能并不属于相关政府机构。

因此，他希望大众能够理解大规模解决这个问题时，会面对的挑战。

“这不是单一网站，它必须经过一个程序。毕竟（网站）系统是属于供应商，不是政府部门。”

“如果那个系统属于供应商，政府机构则必须提交切换的要求（从HTTP改去HTTPS）。如果服务器属于政府，当然他们很快就能解决。”

拉兹万在投身网络安全领域的22年生涯中，曾参与加强政府的网络安全系统。

他补充，政府机构必须为自己的网站使用正确的安全认证，而这最好是政府所承认的认证。

提及浏览HTTP政府网站的潜在风险时，拉兹万为政府缓颊说，这可能只是政府的疏忽。

“可能这是政府所看漏的东西，他们没有发现这事有多严重。”

HTTPS不保证安全

然而，就算网站域名有了HTTPS，也不能百分百保证安全。多个使用HTTPS的政府网站如丹州政府、教育服务委员会（SPP）及亚罗牙也市议会，都由VirusTotal标记为“恶意”。

而玻璃市、吉打和彭亨州政府，还有彭亨低成本住房计划（PAKR）还租系统、乃至士拉央市议会的网站都含有垃圾软件或钓鱼攻击。

通讯及多媒体部门属下的网络保安机构（CyberSecurity Malaysia）受访时，则要求《当今大马》联络行政现代化及策划单位（MAMPU）及国家网络安全局（Nacsa）。

MAMPU是首相署的其中一个单位，主要是数码化和改造公共部门。国家网络安全局则隶属国家安全理事会，掌管国家网络安全事务。

不过，这两个机构都没有回应《当今大马》有关政府网站安全的提问。

在《当今大马》刊登这篇报道后，大马通讯委员会（MCMC）主席法度拉苏海米（Fadhlullah Suhaimi Abdul Malek）说，负责网络安全的机构机构将会彻查此事。

通讯与多媒体部长赛夫丁阿都拉也说明，政府议决以更协调一致的方式，加强网络安全。

给大众的建议

只把网站升级为HTTPS，不能算是大功告成。法兹里指出，还有很多方式可以鉴定网站的安全度。

他说，加强网站安全的方式包括了设立防火墙、清理用户输入、高强度密码政策、双因素认证（2FA）或多因素认证（MFA）、以及依据开放式Web应用程序安全项目（OWASP）的十大应用程序安全风险。

值得一提的是，法兹里也是OWASP马来西亚分会的前负责人。

除了把政府网站升级至HTTPS，以增加公众信心，法兹里也建议，政府应该例行安全评估所有网站。

他也呼吁，政府应该为此目标分配一笔合适数额的拨款，通过外部网络安全顾问公司检查和改进网站。

他建议，当政府网站寻求用户登录或个人资料时，用户可以先验证网站的合法问题，确保有使用SSL。

除了建议用户在装备上安装防毒软件，他也要求用户使用以下工具，验证网站的安全。

至于拉兹万，他给的建议则很简单：不要访问没有HTTPS域名的网站。