|
当今大马检查的近 700 个政府网站中,至少有 175 个被认为“不安全”,专家警告说,这可能导致个人数据泄露和其他网络安全风险。 当今大马的审计是在 5 月下旬至 7 月初期间对大约 700 个带有 ".gov.my" 域名的政府网站进行的。 这些网站包括但不限于联邦和州级的不同部委、机构和部门、地方议会、土地办公室和医院。 当 URL 以"http"而不是“https”开头时,网站被标识为"不安全"。 "不安全"警告将显示在台式计算机网络浏览器的 URL 栏的左侧。警告标志 ⚠️ 将显示在智能手机上。 有 164 个超文本传输协议 (HTTP) 政府网站被 Chrome 和 Firefox 等主要网络浏览器发现"不安全"。另外 11 个超文本传输协议安全 (HTTPS) 网站被认为是"安全的",但被标记为包含网络钓鱼攻击、垃圾邮件软件或其他"恶意"活动。 HTTP 网站包括国家宫、国防部和新冠病毒马来西亚监控站点。 访问东沙巴安全司令部 (Esscom) 网站 将提示隐私泄露警告。Esscom 的一位发言人告诉记者,该网站正在维护中,将于 10 月启动并运行。 一些政府机构和地方当局在联系时表示,他们正在加强网站的安全性,包括从 HTTP 升级到 HTTPS。 最初在列表中发现了 256 个 HTTP 网站。 在记者联系相关当局征求意见后,其中 92 个机构,包括RTM、仪式和国际会议秘书处 、首相署下属的公私合作单位以及莎阿南市议会,很快就升级到了 HTTPS。 没有 's' 是不安全的 从用户浏览器在 HTTP 网站上发送的所有信息都是文本格式。 但是,以 HTTP 传输的信息容易被拦截。 “根据经验,通过标记为'不安全'的网站提交信息通常是不安全的。 “如果信息是敏感的,比如用户名、密码、个人数据和信用卡数据,情况尤其如此,”科技博主 Keith Rozario 在接受采访时告诉记者。  HTTP 站点上的个人数据可能会被未经授权的各方(例如黑客)窃取。 一些政府网站被发现通过 HTTP 寻找敏感信息,例如用户名、密码、安全阶段、MyKad 号码、地址和联系方式。 另一方面,HTTPS 在 Web 浏览器和服务器之间提供端到端加密。 传输的信息将被加扰,只能在任一端解密。 尽管黑客仍然可以拦截通过开放互联网传输的数据,但他们将获得不可读的文本。 例如,在 Chrome 网络浏览器上,HTTPS 网站的 URL 栏左侧将显示一个“锁定”符号。 马来西亚网络消费者协会首席活动家 Mohd Fazli Azran 解释说,HTTPS 提供了三层安全——数据加密、数据完整性和身份验证。 反馈和登录表单"不安全" 当用户打算提交反馈或提出投诉时,有超过 100 个 HTTP 政府网站要求提供个人或登录详细信息。 其中包括地方议会网站,例如Manjung Municipal Council 和Kemaman Municipal Council。 同样,一些联邦机构的网站,如法律援助部、执法机构廉正委员会(EAIC) 和 总理部法律事务司(BHEUU),也没有安全的反馈或投诉表格。 其他服务包括纳税门户网站,如柔佛电子服务、文冬市政局 以及马六甲 和登嘉楼的土地和矿产办公室。 一些网站的内部系统登录页面,例如马六甲市议会 和龙运市议会 为他们的工作人员提供的工资和工资单查询系统,也提示不安全。 国家高等教育基金公司 (PTPTN) 的 HTTP 和 HTTPS 网站竟然同时共存,从而为其存款人提供了两个几乎相同的 Skim Simpanan Pendidikan Nasional (SSPN) 网站。PTPTN 此后通过将 HTTP 网站上的用户重定向到其HTTPS网站来纠正这个问题。  PTPTN 拥有 HTTPS 和 HTTP 网站。它已经纠正了这个问题。 有时,政府网站可能在其主页上有 HTTPS,但在网站内的其他页面上没有。例如,雪邦市议会 有一个 HTTPS 主页,但要求提供大量个人信息的雪邦地方青年运动的 HTTP 表格被发现“不安全”。 “它(HTTP 政府网站)可能是非法的,可能由黑客运行。它可能是恶意的,或者有人可以窃取和操纵您的数据,”网络安全高级顾问 Razwan Mokhtar 解释说。 静态 HTTP 页面也可能有害 对于记者收集的大多数其他 HTTP 网站,他们的投诉或反馈中一部分是安全的。例如,八打灵再也市议会 (MBPJ) 尽管其主页 被标记为“不安全”,但拥有安全的投诉住宿 和支付系统。 同时,大多数政府部门和机构、医院和其他一些地方议会会将想要提交反馈或投诉的用户重定向到安全的集中式公共投诉管理系统(SISPAA)。 在国家槿麻及烟草局(LKTN) 就是两个特例HTTPS 和HTTP 形式可以在其网站上找到。 在联系时,一些政府机构的发言人表示不需要 HTTPS,因为它们不涉及任何交易。 也就是说,这并不意味着网络访问者在不要求提供个人信息或涉及金钱交易的静态 HTTP 网站上是安全的。 黑客可以侵入该网站并将恶意软件秘密注入网站访问者的计算机。已知的恶意软件示例包括加密货币矿工或用户被重定向到类似但恶意的网站进行网络钓鱼攻击。 Fazli 表示,大多数静态 HTTP 政府网站的危害较小,因为它们对黑客的吸引力不大。 他解释说,这是因为恶意黑客知道大多数用户不会在这些网站上花很长时间。 但是,他指出黑客有可能攻击某些流行的网站。 使用VirusTotal(一种用于恶意软件检测的在线分析工具)对记者收集的所有 HTTP 网站进行检查后,将丰盛港区议会网站标记为网络钓鱼攻击,并将莎阿南市议会网站标记为垃圾邮件软件。  丰盛港区议会网站被 VirusTotal 标记为网络钓鱼攻击。 从 HTTP 切换到 HTTPS 很简单吗? 仅通过在 URL 上键入“S”无法从 HTTP 切换到 HTTPS。 尽管如此,Fazli 表示,这个过程“并不难”。 他解释说,网站需要的是从 SSL 认证提供商处购买有效的安全套接字层 (SSL) 并设置 Web 服务器配置。 Fazli 还建议公众使用“ HTTPS Everywhere ”浏览器扩展程序,该扩展程序通过对用户与许多主要网站的通信进行加密来增强浏览安全性。 不过,Razwan 表示,转换并非易事,尤其是因为它涉及数百个政府网站。 他说,一个庞大的在线系统通常需要五年时间才能从头开发出来,有些系统可能不属于各自的政府机构。 因此,他希望公众能够理解大规模解决问题的挑战。 “它不是一个单一的网站,它有一个应用程序。该系统属于供应商,不属于政府部门。 “如果系统属于供应商,则政府机构必须通过更改请求(从 HTTP 到 HTTPS)。如果服务器属于政府,他们可以立即完成,”Razwan 说,他在 22 年的职业生涯中拥有为政府加强网络安全系统的经验。 他补充说,政府机构必须为其网站获得正确的安全认证,尤其是政府认证的安全认证。 在注意到访问 HTTP 政府网站的潜在风险的同时,他为政府说情,称这可能是政府遗漏的东西。 HTTPS 不保证安全 也就是说,在网站域上使用 HTTPS 并不能保证它是安全的。其中,吉兰丹州政府、教育服务委员会 (SPP) 和亚罗牙也市议会的门户网站尽管是 HTTPS 网站,但仍被 VirusTotal 标记为"恶意"。 玻璃市、吉打州和彭亨州政府、彭亨 PAKR 租金支付系统和士拉央市议会的 HTTPS 门户包含垃圾邮件软件或网络钓鱼攻击。 在联系时,马来西亚通信和多媒体部下属的网络安全机构将记者转介给马来西亚行政现代化和管理规划单位(Mampu)和国家网络安全局(Nacsa)。 Mampu 是隶属于总理部的一个部门,负责公共部门的数字化和转型。Nacsa 是一个隶属于国家安全委员会 (NSC) 的机构。Nacsa 负责国家网络安全事务。 Mampu 和 Nacsa 都没有回答记者提出的有关政府网站安全的问题。 “也许这是政府忽视的事情,它没有意识到它有多重要,”他补充道。  马来西亚网络消费者协会首席活动家 Mohd Fazli Azran 给公众的建议 仅仅将网站升级到 HTTPS 状态还是不够的。正如 Fazli 所指出的,可以使用其他安全措施来确定其安全级别,Fazli 也是开放 Web 应用程序安全项目(OWASP)马来西亚分会的前负责人。 其中,安全措施包括设置防火墙、用户输入消毒、强密码策略、双因素身份验证 (2FA) 或多因素身份验证 (MFA) 以及基于 OWASP Top 10 标准构建 Web 应用程序。 除了将政府网站升级为 HTTPS 状态以增强公众信心外,Fazli 还建议政府对其网站进行例行安全评估。 他还呼吁为此目的分配适当数量的预算,并从外部安全顾问公司获得帮助,以审查和改进网站。 他建议访问政府网站的用户应验证其合法性,并确保 SSL 在要求登录或个人详细信息时已到位。 除了建议用户为他们的设备配备防病毒软件外,他还要求他们使用以下工具来验证网站的安全性。 至于Razwan,他的建议很简单:任何带有没有“https”域名的网站,请不要访问。 |
2023-02-17
2023-05-31
2023-05-17
2023-05-20
2022-10-26
回答
回答
回答
鲁公网安备 37011202001759号
|联系邮箱:jinanxzwl@163.com
评论