close
* 原文刊載於第三波雜誌 2001/7 新媒體觀察專欄
駭客,其實一點都不「駭」,也不「害」。系統的安全也好,網路的安全也好,其最根本的安全防護之道,便是對系統是否真的了解,對網路是否真的認識,而非花大錢買Firewall,作各種防護得以應變。最好的系統安全,來自於對系統的透徹了解,作最妥善的應用與安排,而非來自於金錢投入的多寡,所謂「一山還有一山高」,系統安全如果只是建立在工具面的防護,那麼永遠都不安全。
全民公敵會是駭客?
有一部好萊塢電影「全民公敵」(Enermy of the state),講的是個人的隱私與人身安全問題,裡頭很技巧地安排了一位過去在FBI工作的幹員,利用FBI過去用來監視他人的器材與技術來反制升官不成,卻想除去眼中釘的FBI某局處副主管。
這部電影的最終目的不是在於展示FBI的先進器材,也不是真正在討論個人隱私問題是如何被不當的法律駕馭其上,成為人類爭鬥的工具。這部電影透過誇張的影像語言,把整個世界視為一個可操縱的個體,一切都在科技工具的掌握之中,所有人的一舉一動,都可以透過科技工具(例如衛星、影像定位)來達到,就彷彿在另一齣好萊塢電影「楚門的世界」(The Trueman Show)一般,極為諷刺的一點是,這樣的安全與不安全體系,竟然全來自於人類一手創造。
然而,人們總是習慣把自己的過錯,歸罪於不可歸咎的錯。駭客的盛名便是如此渲染開來。自由撰稿記者LAIRD BROWN以一篇名為「Hackers aren't criminals-- they're the best kind of security」的報導來反駁這種情形。是的,駭客的確不應該被視為罪犯,而該被看成一種人們長久以來的疏忽所產生的安全問題的警示。
一如在全民公敵影片中的啟示,正因為長期被忽視的個人隱私與人身安全,所以一但這樣的忽視氾濫成足以讓自己驚覺的警惕時,人們才真正警覺到重視這些問題的重要性。
一位「駭客級」的好友日前曾經在研究網路安全的課題,想要瞭解一下在市場上征戰、到處號稱服務最佳的ISP業者,究竟是否真如宣傳所稱。於是連續嘗試入侵到各大ISP的主機,並且取得了密碼檔案。
所幸這位朋友仍是死忠依循駭客精神(Hacker’s Ethic)的真駭客,一一地把這些ISP所管理的主機與系統安全漏洞,列成一張清單,然後郵寄給該ISP的網管人員。
這位駭客朋友不禁感嘆著:
「這些身繫客戶資料安全與管理的人員,對於自己所管理的系統,簡直近乎不瞭解,更遑論要透徹了,自己的系統開了大後門,讓稍有網路安全知識的人都可以隨意進出,這樣怎麼能稱作商品,還要提供客戶服務呢?」
的確,類似的情形不僅存在ISP業者的網管人員身上,所有從事跟網管相關的人員,有絕大部份都未必具備這樣的認知。
我有一位朋友,在一個國際性大企業擔任MIS工作,她是這麼管理她所負責的企業網路的:
「很簡單啊,我不覺得有什麼困難的,我把所有的主機Administrator密碼都設定成一樣的,每個人都知道啊,只要有人敢去亂改,我一概不負責,所以他們都不敢亂動!」
這是十分消極的網路安全管理,也許看起來似乎在你的職場也曾見過,不過倘若你的網路安全管理是採取如此放任的方式,那麼便得先有心理準備,預防萬一「人心本善」的圭皋變質時,所帶來的傷害。
日前我前往一家貿易公司,替他們做網站設計規劃報告時,該貿易公司的總經理是這樣跟我抱怨的:
「我真的是遇到科技土匪了!八個月前,我跟一家公司簽約,因為我們公司沒有系統管理人員,於是我不疑有他,把整個主機的建置與管理都交給跟我們簽約,要幫我們公司設計的公司。結果到現在八個月了,什麼頁面也沒看到,但是原先的研發小組卻整批人都離職了。
上禮拜我接到一通電話,就是這批研發小組的Leader,他說他已經把我的主機的Super User密碼修改過了,如果不把專案交給他們繼續執行,我永遠也無法看到自己主機裡頭的資料。」
是的,他是遇到了科技土匪!可是這個人並不是那個研發小組,而是他自己。因為無知,進而忽視,等到問題發生時,那麼便半點不由人了,什麼人都怪不得,該怪的是自己為什麼如此不重視安全問題!
駭客與安全的相依存關係
一九九○年初,有一群美國的年輕人,平常喜歡優游在網路技術的世界,也喜歡透過網路認識同好,於是他們組成了一個非官方的網友聚會,每年都會選定一個地方,舉辦一次全美的駭客大會,這個組織名為Defcon(網址是http://www.defcon.org),他們對於Hacker這個字的定義並非完全來自跟電腦相關的人士,而是所有對特定項目入迷的人們。
事實上,除了每年固定舉辦的駭客研討會,有來自全美各地的各方好手相互研討以外,更有許多是大公司的CTO(技術長)或是主管技術、安全的主管甚或總裁,發表自己的網路安全與技術心得。
此外,還有像是咖啡愛好者,則成立了自己的小組,他們把這個小組稱作Coffee War,來自全美各地的咖啡愛好者群聚一起,可以找到跟自己磁場相近的朋友(期中有一對還在這場聚會中舉行婚禮)。這些駭客聚會其實跟一般的網友聚會沒有兩樣,不管是否對網路技術具備一定的能力,他們共同的特性都是——對自己喜愛的課題都十分投入。
以電腦駭客為例,他們感興趣的是各種電腦技術領域中的新技術,以及防衛技巧,入侵主機,其實只是他們學習新技術的一個過程,而非目的。
大部分的駭客都可能對自己感興趣的安全議題十分投入,他們喜歡跟同好討論、切磋新的技術,卻未必會對利用這樣的技術來犯罪感到興趣。千萬別被電影情節所凸顯的少數特例所誤導,那並非駭客對自己喜愛的電腦技術投入的最終目的。
駭客與安全間的相依存關係,像是不斷在嘗試新實驗的科學家,每天埋首在自己喜愛的實驗上,當實驗有成時,便可能推翻過去被習慣的問題。正如自由撰稿記者LAIRD BROWN所稱「they're the best kind of security」,是的,駭客其實是最佳的網路安全守護員,如果他們不繼續做實驗,你永遠不曉得自己的系統存在著不可獲知的大後門。
安全不安全,那是一個問題!
在Defcon駭客組織中,有一位「資深駭客」講過一句話:「To hack or not to hack, that is a question.」。的確,駭客對於網路安全的威脅,其實只在於「要不要」、「做不做」,而非「能不能」。
網路與系統安全的原理亦等同此理。安不安全,其實無法完全依賴所使用的工具或系統能提供多麼足以讓你信賴的防護功能,而在於你是否真的認識什麼叫安全。最明顯的例子在於當網路基礎建設日益完備的同時,幾乎家家戶戶都可以隨時連上網,連上網路的主機數目大幅增加,相關的系統防備軟體也應運而生,這些系統防備軟體能夠為你防備的,其實只能是依據某些特定規則所提出的質疑,最終決定是否讓不明通訊來源進入你的系統存取的人,仍然是你自己,所以,真正掌握系統安全生殺大權的,其實不是工具,而是人!
駭客,其實一點都不「駭」,也不「害」。系統的安全也好,網路的安全也好,其最根本的安全防護之道,便是對系統是否真的了解,對網路是否真的認識,而非花大錢買Firewall,作各種防護得以應變。最好的系統安全,來自於對系統的透徹了解,作最妥善的應用與安排,而非來自於金錢投入的多寡,所謂「一山還有一山高」,系統安全如果只是建立在工具面的防護,那麼永遠都不安全。
全民公敵會是駭客?
有一部好萊塢電影「全民公敵」(Enermy of the state),講的是個人的隱私與人身安全問題,裡頭很技巧地安排了一位過去在FBI工作的幹員,利用FBI過去用來監視他人的器材與技術來反制升官不成,卻想除去眼中釘的FBI某局處副主管。
這部電影的最終目的不是在於展示FBI的先進器材,也不是真正在討論個人隱私問題是如何被不當的法律駕馭其上,成為人類爭鬥的工具。這部電影透過誇張的影像語言,把整個世界視為一個可操縱的個體,一切都在科技工具的掌握之中,所有人的一舉一動,都可以透過科技工具(例如衛星、影像定位)來達到,就彷彿在另一齣好萊塢電影「楚門的世界」(The Trueman Show)一般,極為諷刺的一點是,這樣的安全與不安全體系,竟然全來自於人類一手創造。
然而,人們總是習慣把自己的過錯,歸罪於不可歸咎的錯。駭客的盛名便是如此渲染開來。自由撰稿記者LAIRD BROWN以一篇名為「Hackers aren't criminals-- they're the best kind of security」的報導來反駁這種情形。是的,駭客的確不應該被視為罪犯,而該被看成一種人們長久以來的疏忽所產生的安全問題的警示。
一如在全民公敵影片中的啟示,正因為長期被忽視的個人隱私與人身安全,所以一但這樣的忽視氾濫成足以讓自己驚覺的警惕時,人們才真正警覺到重視這些問題的重要性。
一位「駭客級」的好友日前曾經在研究網路安全的課題,想要瞭解一下在市場上征戰、到處號稱服務最佳的ISP業者,究竟是否真如宣傳所稱。於是連續嘗試入侵到各大ISP的主機,並且取得了密碼檔案。
所幸這位朋友仍是死忠依循駭客精神(Hacker’s Ethic)的真駭客,一一地把這些ISP所管理的主機與系統安全漏洞,列成一張清單,然後郵寄給該ISP的網管人員。
這位駭客朋友不禁感嘆著:
「這些身繫客戶資料安全與管理的人員,對於自己所管理的系統,簡直近乎不瞭解,更遑論要透徹了,自己的系統開了大後門,讓稍有網路安全知識的人都可以隨意進出,這樣怎麼能稱作商品,還要提供客戶服務呢?」
的確,類似的情形不僅存在ISP業者的網管人員身上,所有從事跟網管相關的人員,有絕大部份都未必具備這樣的認知。
我有一位朋友,在一個國際性大企業擔任MIS工作,她是這麼管理她所負責的企業網路的:
「很簡單啊,我不覺得有什麼困難的,我把所有的主機Administrator密碼都設定成一樣的,每個人都知道啊,只要有人敢去亂改,我一概不負責,所以他們都不敢亂動!」
這是十分消極的網路安全管理,也許看起來似乎在你的職場也曾見過,不過倘若你的網路安全管理是採取如此放任的方式,那麼便得先有心理準備,預防萬一「人心本善」的圭皋變質時,所帶來的傷害。
日前我前往一家貿易公司,替他們做網站設計規劃報告時,該貿易公司的總經理是這樣跟我抱怨的:
「我真的是遇到科技土匪了!八個月前,我跟一家公司簽約,因為我們公司沒有系統管理人員,於是我不疑有他,把整個主機的建置與管理都交給跟我們簽約,要幫我們公司設計的公司。結果到現在八個月了,什麼頁面也沒看到,但是原先的研發小組卻整批人都離職了。
上禮拜我接到一通電話,就是這批研發小組的Leader,他說他已經把我的主機的Super User密碼修改過了,如果不把專案交給他們繼續執行,我永遠也無法看到自己主機裡頭的資料。」
是的,他是遇到了科技土匪!可是這個人並不是那個研發小組,而是他自己。因為無知,進而忽視,等到問題發生時,那麼便半點不由人了,什麼人都怪不得,該怪的是自己為什麼如此不重視安全問題!
駭客與安全的相依存關係
一九九○年初,有一群美國的年輕人,平常喜歡優游在網路技術的世界,也喜歡透過網路認識同好,於是他們組成了一個非官方的網友聚會,每年都會選定一個地方,舉辦一次全美的駭客大會,這個組織名為Defcon(網址是http://www.defcon.org),他們對於Hacker這個字的定義並非完全來自跟電腦相關的人士,而是所有對特定項目入迷的人們。
事實上,除了每年固定舉辦的駭客研討會,有來自全美各地的各方好手相互研討以外,更有許多是大公司的CTO(技術長)或是主管技術、安全的主管甚或總裁,發表自己的網路安全與技術心得。
此外,還有像是咖啡愛好者,則成立了自己的小組,他們把這個小組稱作Coffee War,來自全美各地的咖啡愛好者群聚一起,可以找到跟自己磁場相近的朋友(期中有一對還在這場聚會中舉行婚禮)。這些駭客聚會其實跟一般的網友聚會沒有兩樣,不管是否對網路技術具備一定的能力,他們共同的特性都是——對自己喜愛的課題都十分投入。
以電腦駭客為例,他們感興趣的是各種電腦技術領域中的新技術,以及防衛技巧,入侵主機,其實只是他們學習新技術的一個過程,而非目的。
大部分的駭客都可能對自己感興趣的安全議題十分投入,他們喜歡跟同好討論、切磋新的技術,卻未必會對利用這樣的技術來犯罪感到興趣。千萬別被電影情節所凸顯的少數特例所誤導,那並非駭客對自己喜愛的電腦技術投入的最終目的。
駭客與安全間的相依存關係,像是不斷在嘗試新實驗的科學家,每天埋首在自己喜愛的實驗上,當實驗有成時,便可能推翻過去被習慣的問題。正如自由撰稿記者LAIRD BROWN所稱「they're the best kind of security」,是的,駭客其實是最佳的網路安全守護員,如果他們不繼續做實驗,你永遠不曉得自己的系統存在著不可獲知的大後門。
安全不安全,那是一個問題!
在Defcon駭客組織中,有一位「資深駭客」講過一句話:「To hack or not to hack, that is a question.」。的確,駭客對於網路安全的威脅,其實只在於「要不要」、「做不做」,而非「能不能」。
網路與系統安全的原理亦等同此理。安不安全,其實無法完全依賴所使用的工具或系統能提供多麼足以讓你信賴的防護功能,而在於你是否真的認識什麼叫安全。最明顯的例子在於當網路基礎建設日益完備的同時,幾乎家家戶戶都可以隨時連上網,連上網路的主機數目大幅增加,相關的系統防備軟體也應運而生,這些系統防備軟體能夠為你防備的,其實只能是依據某些特定規則所提出的質疑,最終決定是否讓不明通訊來源進入你的系統存取的人,仍然是你自己,所以,真正掌握系統安全生殺大權的,其實不是工具,而是人!
全站熱搜
留言列表
