逾百个政府网站 “不安全”,有何风险?

/ 李龙辉与黄俊南

Next.js logo

文中提及的所有网站,均为撰稿时的状态。

《当今大马》检查近700个政府网站后发现,至少有175个网站并“不安全”。专家警告,这存有个人资料泄漏与其他网络安全风险。

《当今大马》是在2021年5月杪至7月初之间,检查约700个带有“.gov.my”域名的政府网站。

当中包括联邦和州属的各政府部门、机构、分局、还有地方政府、土地局、医院和其他类型的政府网站。

若网址(URL)开端是 “http”,而非“https”的话,那么这些都是“不安全”的网站。

当你打开这样的网址时,桌面电脑左边上方将会显示一个“不安全”的警告。手机版则会显示 ⚠️的警告符号。

若使用主要网络浏览器如谷歌Chrome及Firefox检查,可发现总共有164个HTTP的政府网站,标记为“不安全”。另有11个HTTPS网站虽然看似“安全”,但都受标记为存有钓鱼攻击(phishing attacks)、垃圾邮件或其他“恶意”(malicious)元素。

HTTP网站包括了 国家王宫国防部2019冠病疫情网站

若是登入沙巴东部特别保安指挥区(ESScom)网站,将会出现一个隐私泄漏的警告。不过,当局一名发言人告诉《当今大马》,该网站正在维修当中,预计会在今年10月启用。

《当今大马》联系上一些政府机构和执法单位的官员。他们表示目前正在加强网站的安保,包括从HTTP升级去HTTPS。

《当今大马》最初发现至少有255个使用HTTP的政府网站,但当中91个网站在《当今大马》寻求回应后已经升级为HTTPS,包括国营电视台、首相署属下的礼仪国际会议事务组网站公共私人领域合作单位(UKAS还有沙亚南市政厅。

他们的回应已纳入以下的图表:

这个图表里有数个是恶意网站,因为它们会尝试在访客的设备安装恶意软件,而一些网站则含有垃圾软件钓鱼攻击

州属机构HTTPS?
联邦反兴奋剂机构(Adamas)
联邦首相署法律事务组
联邦首相署内阁与州政府宪法协调组
联邦首相署产业管理局
联邦首相署公共投诉局
联邦Covid-19疫情网站
联邦政府手机简讯系统
联邦蕉赖康复医院
联邦新山苏丹依斯迈医院
联邦司法培训学院(ILKAP)

截至 2021年7月15日

1 / 70

没有s,不安全

HTTP意即超文本传输协议。用户通过浏览器从HTTP网站发出的所有信息,都是文本格式。

不过,数据在传输过程中,很容易受到第三方截取或窜改。

科技部落客罗扎利奥(Keith Rozario)接受《当今大马》访问时表示,在一个标记为“不安全”的网站提交信息,一般上都不安全。

“如果是敏感信息,如用户名、密码、个人资料和信用卡资料,更尤其如此。”

Malaysiakini
任何未经同意的第三者,如骇客,可以从HTTP网站截取你的信息

《当今大马》也发现,一些政府网站通过HTTP网页索取敏感信息,如用户名、密码、安全短语、身份证号码、地址和联系方式。(见下表)

另一方面,HTTPS则是“超文本传输安全协议”,为网络浏览器和服务器之间提供端到端加密(E2EE)。

在传输过程中,信息会变成一组乱码,只有另一端的伺服器才能解密。

虽然骇客还是可以通过公共网络截取信息,但他们只会得到一堆毫无意义的乱码。

在谷歌浏览器打开HTTPS网站,其网址左边将会显示一个“锁头”的符号。

大马网络消费者协会(MCCA)代表法兹里(Fazli Azran)说明,HTTPS提供三层安全防护,即数据加密、数据完整和身份认证。

“http”“https”网站发送出去的资讯有何差别?

试试看!

我们不会记录你的资料

Next.js logo

反馈卷和登录表格并“不安全”

目前有超过100个政府网站,在用户想要呈交意见或投诉时,网站会索取用户的个人或登录资料。

这包括一些地方政府网站,如曼绒市议会甘马挽市议会

同样的,一些联邦政府机构的网站如政府法律援助局执法机构廉正委员会(EAIC)及首相署属下的法律事务局(BHEUU)同样没有提供安全的意见或投诉表格。

其他政府服务包括各种缴税网站,如柔佛线上服务文冬市议会马六甲登嘉楼的土地及矿务局,亦是如此。

至于一些网站内部系统的登录页面,如马六甲历史城市政厅龙运市议会的职员薪资和薪水单查询系统,同样不安全。

国家高等教育基金局(PTPTN)曾同时存在HTTP和HTTPS的网站,以致其国家教育储蓄计划(SSPN)也有两个登录页面。不过,它已经解决这个问题,将HTTP网站的用户自动跳转至HTTPS网站

高等教育基金局曾同时设有HTTPS和HTTP网站,但如今已解决此问题。
高等教育基金局曾同时设有HTTPS和HTTP网站,但如今已解决此问题。

有时候,一些政府网站主页,其网址虽然是HTTPS,但其他分页却不一样。举个例子,雪邦市议会虽是HTTPS网站,但其属下的雪邦青年推动委员会,却是一个征询大量个人资料的HTTP网站。换言之,它并不安全。

网络安全顾问拉兹万(Razwan Mokhtar)指出,没有使用HTTP的政府网站可能并不合法。

“它可能是由骇客所经营。它也可能是恶意(网站),或者有人可以从中截取和操纵你的数据。”

静态HTTP网站也可能有害

《当今大马》的检查发现,其他大部分HTTP网站设立的投诉或意见表格都是安全。以八打灵再也市政厅为例,即使它的主页不安全,但其客户投诉付款系统链接都是安全的。

另一方面,大部分的政府部门和机构、医院及一些地方政府网站,则会把想要呈交意见或投诉的用户,直接连接到中央的公共投诉管理系统(SISPAA)。

国家洋麻及烟草局(LKTN)则是特殊例子,因为其网站能同时找到HTTPHTTPS的意见表格。

一些政府机构发言人受询时表示,网站未必需要HTTPS作为网址,因为当中没有牵涉任何交易。

虽然如此,即使是没有要求个人资料或任何金钱交易的静态HTTP网站,也不一定对访客安全。

骇客一般上会骇入网站,并悄悄安装恶意软件在网站访客的电脑里。普遍所指的恶意活动包括,骑劫你的电脑来挖掘加密货币、或把访客转接至相似,但其实是恶意的网站,以展开钓鱼攻击。

以下影片提供数个例子,解释一个静态HTTP网站可以在各种不同方式下,受到攻击或骑劫。

法兹里指出,对骇客而言,大部分静态HTTP政府网站的吸引力不大,所以危害较小。

他补充,这是因为骇客知道,大部分用户不会在这些网站花费很长的时间。

无论如何,他提醒,骇客还是会有可能攻击一些特定的热门网站。

《当今大马》使用一个检测恶意软件的网络分析工具VirusTotal,检查了所有整理出的网站。其中,丰盛港县署网站有钓鱼攻击,沙亚南市政厅网站则有垃圾软件。

VirusTotal标记丰盛港县署网站有钓鱼攻击。
VirusTotal标记丰盛港县署网站有钓鱼攻击。

此外,经过检查后,《当今大马》列表里的大部分网站都没有受到恶意软件或钓鱼攻击的干扰。

从HTTP切换去HTTPS是个简单的任务吗?

仅仅在网址上增加一个“S”,并无法把网站从HTTP切换去HTTPS。

不过,法兹里表示,这个切换过程其实“不难”。

他说明,相关网站只需向安全链路层(SSL)认证供应商购买一个有效的SSL,并在网站服务器配置设置切换即可。

他也建议民众,使用HTTPS Everywhere浏览器扩展程序(browser extension)来加密用户与主要网站的通信,以加强浏览的安全度。

但拉兹万认为,这件事牵涉数百个政府网站,要切换并不是个简单的任务。

他说明,一个大型的线上系统一般需要花费5年时间建立,而当中一些系统可能并不属于相关政府机构。

因此,他希望大众能够理解大规模解决这个问题时,会面对的挑战。

“这不是单一网站,它必须经过一个程序。毕竟(网站)系统是属于供应商,不是政府部门。”

“如果那个系统属于供应商,政府机构则必须提交切换的要求(从HTTP改去HTTPS)。如果服务器属于政府,当然他们很快就能解决。”

拉兹万在投身网络安全领域的22年生涯中,曾参与加强政府的网络安全系统。

他补充,政府机构必须为自己的网站使用正确的安全认证,而这最好是政府所承认的认证。

提及浏览HTTP政府网站的潜在风险时,拉兹万为政府缓颊说,这可能只是政府的疏忽。

“可能这是政府所看漏的东西,他们没有发现这事有多严重。”

HTTPS不保证安全

然而,就算网站域名有了HTTPS,也不能百分百保证安全。多个使用HTTPS的政府网站如丹州政府、教育服务委员会(SPP)及亚罗牙也市议会,都由VirusTotal标记为“恶意”。

而玻璃市、吉打和彭亨州政府,还有彭亨低成本住房计划(PAKR)还租系统、乃至士拉央市议会的网站都含有垃圾软件或钓鱼攻击。

通讯及多媒体部门属下的网络保安机构(CyberSecurity Malaysia)受访时,则要求《当今大马》联络行政现代化及策划单位(MAMPU)及国家网络安全局(Nacsa)。

MAMPU是首相署的其中一个单位,主要是数码化和改造公共部门。国家网络安全局则隶属国家安全理事会,掌管国家网络安全事务。

不过,这两个机构都没有回应《当今大马》有关政府网站安全的提问。

在《当今大马》刊登这篇报道后,大马通讯委员会(MCMC)主席法度拉苏海米(Fadhlullah Suhaimi Abdul Malek)说,负责网络安全的机构机构将会彻查此事

通讯与多媒体部长赛夫丁阿都拉也说明,政府议决以更协调一致的方式,加强网络安全。

大马网络消费者协会(MCCA)代表法兹里
大马网络消费者协会(MCCA)代表法兹里

给大众的建议

只把网站升级为HTTPS,不能算是大功告成。法兹里指出,还有很多方式可以鉴定网站的安全度。

他说,加强网站安全的方式包括了设立防火墙、清理用户输入、高强度密码政策、双因素认证(2FA)或多因素认证(MFA)、以及依据开放式Web应用程序安全项目(OWASP)的十大应用程序安全风险。

值得一提的是,法兹里也是OWASP马来西亚分会的前负责人。

除了把政府网站升级至HTTPS,以增加公众信心,法兹里也建议,政府应该例行安全评估所有网站。

他也呼吁,政府应该为此目标分配一笔合适数额的拨款,通过外部网络安全顾问公司检查和改进网站。

他建议,当政府网站寻求用户登录或个人资料时,用户可以先验证网站的合法问题,确保有使用SSL。

除了建议用户在装备上安装防毒软件,他也要求用户使用以下工具,验证网站的安全。

至于拉兹万,他给的建议则很简单:不要访问没有HTTPS域名的网站。

/ 分享

如果您觉得此报道有所帮助请资助我们,或者订阅《当今大马》,好让我们能继续推出更多不同的作品。

赶紧订阅我们,无限制地阅读精彩报道。

现在就订阅《当今大马》阅读全文,三个月只需60令吉,或每年200令吉。

登录  

你可随时取消订阅。

制作团队

《当今大马》新闻实验室为您带来这篇报道。2021年7月19日刊登 。

  • 企划协调人
    李龙辉
  • 资料研究与作者
    黄俊南与李龙辉
  • 插画
    哈兹曼(Hazman Hazwan Sulaiman)与沙里曼(Syariman Badrulzaman)
  • 设计及编程
    哈兹曼、黄俊南与李龙辉
  • 特别贡献
    阿兹(Nur‌ ‌Aziatul‌ ‌Khazizi‌)、拉维娜(Raveena Nagotra)、阿列娜(Alena Nadia)和温宏镇
  • 翻译
    吴湘怡
  • 插图:icons8.com

打赏支持

如果你喜欢我们的报道,你可打赏支持我们未来的企划。

支持独立媒体

现在就订阅《当今大马》,只需每月20令吉或每年200令吉。

Malaysiakini

新闻实验室是由《当今大马》于2018年成立的特别新闻团队。