大多數人都同意資安防護是件重要的事,但要為此付費,對許多人來說總有一個跨不過去的門檻。因此,很多人就維持鴕鳥心態,等到真的中毒再來想其他方法。然而,有一間以維護全球網路安全為己任、透過非營利方式經營的資安專案Quad9,以免費提供資安服務的方式,希望讓資安意識較低的人,也能得到基礎的資安防護。
Quad9所提供的是DNS網路攻擊阻絕服務,簡單來說就是事先偵測惡意網站,在用戶連進該網站時進行阻擋。目前Quad9的服務已落地於全球88個國家,這要歸功於Quad9執行長約翰托德(John Todd)及其團隊不辭辛勞的推廣。
托德表示,雖然他長期致力於DNS相關業務,卻始終沒遇到可以回饋社會的機會。如今成為Quad9的執行長,他開心地說:「這是我等了大半輩子,終於等到的工作。」
攜手IBM與兩大資安非營利組織,Quad9要為全球網民提供免費資安服務
Quad9的專案要回朔到2016年,當時倡議網路安全的國際性非營利組織Global Cyber Alliance(GCA)希望推出可以一次性保護很多人的資安計畫,而且越便宜越好。他們認為著重於DNS的網路防禦是很好的選擇,因此找上在DNS領域耕耘多年的另一間非營利組織Packet Clearing House(PCH),也就是托德當時任職的地方。
他們很快討論出兩件事:第一、這個新專案必須獨立出來,有自己的董事會成員,且不能夠是營利性組織。第二,他們必須有一個好記的IP地址。他們發現IBM有一個9.9.9.9的IP正好符合需求,更湊巧的是,當時IBM也正在尋找一個外部的非營利單位一起合作推廣免費資安服務,若自己做的話容易被人覺得有營利的意圖。
後來IBM加入這個資安計畫,並把9.9.9.9的IP捐出來,計劃取作Quad9(四個九)。IBM提供各面向的協助。除宣傳及產品公關推廣外,還提供威脅分析模組(threat model),讓Quad9有足量的威脅數據,得以提供用戶網路攻擊的防範服務。
有了IBM的協助,Quad9很快地壯大。他們在2017年11月正式上線,在測試期已有美國各級政府找上合作,一上線就有超過百萬名用戶。托德表示,其實政府部門不太做實驗性的嘗試,但因為Quad9的服務既免費,又不追蹤用戶個資,高隱私權的特性能讓政府安心。
「現在除了美國外,我們也多了各國的政府用戶。因為我們的服務很容易設定,只要透過一個按鍵,就可以經由伺服器把整個政府部門囊括到Quad9的保護下,」托德說。
資安設備要價不菲,Quad9如何維持非營利的理念?
Quad9作為一個非營利資安組織,既沒有創投資金挹注,也沒有銀行貸款支援,他們到底如何維持運作,資金來源又是什麼?
托德表示,他們的資金主要來自IBM、GCA以及單獨捐贈人的贊助。 「一般資安組織的花費有三個部分:人事、設備與數據,」 但Quad9絕大部分的資金只用在人事費用上,設備、數據都是免費獲得的。
設備是把服務提供給端點用戶的關鍵。要在全球部署設備通常要花上很多錢,但因為在不同國家談合作時,對方願意贊助設備是必要條件之一,所以Quad9不用擔心設備的花費。
至於如何得到分析網路威脅所需的大數據呢?Quad9的威脅數據由19個不同的供應者提供,其中IBM是最主要的數據來源之一。同時,Quad9也會回饋這些供應者具有價值的資料,把用戶試圖連結到惡意網站的路徑紀錄分享給供應者,讓他們做進一步的資安分析。
IBM Security全球首席資訊安全架構師李承達表示,Quad9提供的資料有助於找到較為活躍的惡意網站。此外,Quad9也可偵測新的網域,回報給IBM後就能啟動偵測機制調查,若發現這個新網域是惡意的,Quad9也會基於IBM回饋的資訊,進行封鎖。
開發Android手機版,Quad9為開發中國家守護資訊安全
最近Quad9即將推出Android手機的App版本,至於為何先選擇推出Android而非iOS,托德表示,因為發展中國家的用戶是他們最主要想保護的客群,而他們最常用的就是Android。
托德說:「 在許多被歐美科技大廠忽略的發展中國家裡,我們可能是當地唯一一個運作中的DNS預警系統。 」對於發展中國家的人民,他們被駭客攻擊所要付出的代價,往往比已開發國家的用戶要高。以手機為例,開發中國家人民的一支手機可能等同於好幾個月的薪水,若手機中毒、壞掉了,損失是非常龐大的。
去年托德親自前往坦尚尼亞協助當地合作夥伴建立Quad9服務,他發現過去當地廠商使用的DNS資安系統,每一次用戶端向伺服器查詢IP,訊號都得發向設備所在的法蘭克福再繞回,需耗上120毫秒的時間。但Quad9在當地安裝設備後,時間大幅縮短到4毫秒,大大地優化系統的表現。
另外,剛果金的一間手機供應商安裝Quad9的服務,一天內就阻擋15萬個惡意連結。
「雖然很難估算我們到底幫人們省下多少錢,但光是一天內就擋下15萬個惡意連線,就可以知道Quad9對這些開發中國家用戶的重要性。在那裡,我們是他們唯一的防護措施,」托德說。
不過在開發中國家倡導資安意識是件非常困難的事,因此Quad9著重於向當地IT系統管理者做宣導。「這些人有權利透過伺服器、Wifi、手機預設等設定,一次性地保護成千上萬的用戶,一般民眾甚至不知道自己正處在Quad9的防護罩裡,」托德說。
通常IT系統管理者都很介意隱私問題,怕套用新的軟體服務會不小心觸法,但因Quad9不涉及個資,所以無須擔心。此外,Quad9的免費性質也省去他們向長官請示等繁文縟節的流程,同時也能利用IT工作者的口碑宣傳,將Quad9的名聲更快地傳出去。
讓人們不再因被駭而失去珍貴的事物
未來Quad9將持續在全球擴點,目前正在進行中的就有南美和太平洋島國。托德表示,他們很希望擴展到世界各個角落,但也有一些例外。「我們相信開放網路的價值,所以有些地方我們暫時不打算進入設點,例如中國,」他說。
在DNS領域裡奮鬥了20多年,看到自己的付出對社會有所貢獻,托德感慨地說,被駭除了金錢損失以外,心理的怨憤有時更龐大。
「試想這麼多人因為網路中毒而失去珍貴的東西,信件、照片......那些都是他們人生的一部份。只要能讓這樣的痛苦減少一些,我的工作也就值得了,」托德笑著說。