陸思齊
英國國民保健服務(NHS)上月至少有16間醫院的電腦系統,受到黑客以「勒索軟件」大規模攻擊,導致系統癱瘓,受影響醫院需將緊急病人轉送到其他醫院,很多手術也因此延期進行。近年來,大型網路病毒的新聞此起彼落,攻擊席捲全球,衝擊世界各地個人、企業與政府機關的資訊科技系統,引致人心惶惶。
有人形容網路保安是一場貓抓老鼠的遊戲,犯罪分子總在思考新的攻擊手段,因此沒有任何一個機構能聲稱其刀槍不入。有見及此,本報特邀來一位專責找出不同公司的電腦保安漏洞的專業人員,也就是坊間所說的「白帽黑客」(又稱道德黑客)接受訪問。由於職業涉及高度保密性,以下用代名H表示。(記=本報記者)
記︰你為什麼會選擇這一特別的行業?
H︰大概是那種「要捍衛無辜者,免受不良分子危害」的使命感,迫使我在大學時選讀了資訊保安風險管理這一科。
記︰簡單而言,你的工作包括什麼呢?
H︰作為資訊保安顧問,我主要的職責是評估客戶的系統,以找出潛在的保安問題,主要透過白箱測試(White Box Testing,也稱結構測試、邏輯驅動測試;原理有點像審計)及黑箱測試(Black Box Testing,滲透測試)方式。有人稱此類工作為「文明黑客(Ethical Hacker)」,即致力探索電腦系統安全的弱點,但目的不在破壞而是要修補這些安全弱點。
記︰你認為黑客為什麼要「黑」其他人呢?
H︰每個黑客的身世、經歷都不同,但犯案目的離不開三點:貪錢、貪知、貪玩。以最近的WannaCry病毒為例,黑客會把受害者電腦上所有的資料上鎖,然後勒索金錢,等收到錢才給受害者解鎖。此外,黑客一般都有非常強的求知慾及好奇心,既想知道其他人的秘密,又想獲得更多電腦的知識。在獲得這些電腦知識後,他們就會想實踐,加上希望得到其他人的認同,於是踏上黑客之路。
記︰ 黑客的目標是什麼人?
H︰黑客一般都是漁翁撒網,看誰上了當就「黑」誰。不過也有黑客會對指定目標進行攻擊,例如一些政府的黑客,會對目標人士或機構進行網絡攻擊,以圖得到戰略性的機密資料。
記︰最常見的公司保安漏洞是哪些?
H︰答案取決於公司選用的系統和應用程式種類。我們常會發現,很多公司都沒有一套政策或步驟來定期更新或修補其軟件。
記︰你所見過最震撼的一次黑客事件是什麼?
H︰這應該要數在2016年曝光的「雅虎(Yahoo)」使用者帳戶資料遭竊案。自2013年起,有黑客入侵互聯網搜尋器雅虎,竊走超過十億個用戶帳號的個人資料,相信是目前世上最大規模的一次。事件也嚴重影響到雅虎與美國電信龍頭威瑞森(Verizon)達成以48億美元出售雅虎核心網路資產的協議。
記︰很多人都表示負擔不起昂貴的防毒軟件,你有什麼建議呢?
H︰很多人說防毒軟件拖慢電腦速度,又說防毒軟件貴,所以不想在電腦上安裝防毒軟件。其實防毒軟件真是非常基本、不可或缺的保護措施。若嫌貴的話,坊間有不少免費防毒軟件,雖然這些軟件一般有很多廣告,但總是聊勝於無吧。此外,收到不明來歷的網上檔案千萬不要胡亂打開。
記︰怎樣可以預防手機被黑?
H︰相對而言,蘋果手機的保安比較好,只要定期更新系統就可以了;但Google的Android系統就比較危險,原因是很多使用Android系統的手機製造商,如三星等,一般都不會即時為旗下的手機做系統升級,令用家長期受不同保安漏洞威脅。若不希望手機被「黑」,最基本就是不要胡亂裝App(手機程式)。此外,其實也有相關的手機防毒軟件可以安裝,提供多一層保障。不過手機黑客事件真的防不勝防,聽說收一個短訊已經足以令手機中毒,所以定期備份(Back Up)手機內的資料是非常重要的。
記︰你認為下一個重大的網絡保安威脅是什麼呢?
H︰我認為現時最令人擔心的保安問題其實源自政客。比如不久之前,美國要求蘋果在電話內安裝「後門」,令蘋果在政府要求下能夠進入用戶的手機,獲取被鎖上的資料。很多用家以為後門安全,但這種後門既可被政府所用,同時也能為黑客所用,叫用家長期暴露在系統預定的保安漏洞之下。
H︰最近的WannaCry事件,可以說是為大眾敲響了警鐘,令大家知道原來他們所依靠的系統有重大保安漏洞,使大眾提高警覺,對網絡及系統保安的要求提高。以往不少供應商對用家的系統安全根本視若無睹,但隨著群眾的意識不斷提高,這些供應商的保安措施也在逐漸改善。
電腦保安系統,第一要緊是常有警惕之心。不少保安方法其實也屬常識,但黑客往往利用用家鬆懈下來的半分一秒乘虛而入。希望讀者對資訊保安有深一層的認識,並明白電腦保安是一刻也不能放鬆的。