December 19, 2002

Winggy:沒有不安全的系統,只有不安全的人

前些時日,一家資訊公司號稱從美國花大錢請來網路安全專家,教授網路防駭課程,短短幾天課程的學費高達十八萬新台幣,竟然名額爆滿,並且吸引香港人士前來研習。然而,台灣本地也有在網路安全方面有相當心得的人物,這次專訪到的Winggy,就是其一。許多人可能都老早看過他和clive合寫的FreeBSD安全文件,卻不知道作者就是他。而他對網路安全的體認,比一般人深刻許多,不僅只在FreeBSD上。

接觸網路堂堂邁入第十年的Winggy,早在大學一年級就開始上網。和許多人一樣,他一開始也是從IRC(線上聊天室)開始認識網路這個花花世界,然後接觸那時剛開發展起來的台灣學術網路BBS。當時還是用DOS,然後用NSCA執行TELNET程式。他回憶當時的網路環境,和現在比起來,那時資訊流通不夠迅速,能用的資源不多,既沒有WWW,更沒有像google那樣強大的搜尋引擎,只有gopher和國外的news,而國內轉信的BBS還沒發展起來,華文的內容不多,線上資訊以英文為主,而且跟現在比也不算多。整體而言,十年前的台灣網路才剛始發展,Linux才出0.99。

Winggy認為,跟十年前相比,現在網路上的資訊豐富許多,電腦越來越好用,風氣也不太一樣。以前上網的人比較重視交流討論,現在則比較重娛樂,畢竟不是每個人都喜歡做研究。因為政府鼓勵網路發展使得可以接觸網路的人增加,上網人口的「質」於是有所變化,從前主要是資訊產業和從事研究的社群,現在則是來自相當異質化的社群,因此網路變得大眾化多了。

大學二年級的時候,因為跟老師接國科會專案,Winggy開始接觸和網路安全有關的東西,學著用FreeBSD系統架系統,修改程式碼(Code)。那時的FreeBSD只有很簡單的Kernel和很陽春的系統功能,沒有Xwindow,安裝也不像現在方便,使用者介面(UI)不友善。但他對網路安全的興趣,就此開始。Winggy開始摸索如何使用Unix,弄懂怎麼改程式碼和安裝service。相較於MS Window,他認為UNIX的安全性較佳,是因為UNIX比較透明化,文件上比較多而容易找到。不同的UNIX間大同小異,模組間切得滿乾淨,彼此的相依性佳。而MS Windows就差一截,由於早期不容易找到文件說明如何加強系統安全,而且操作很黑箱,設定檔不好找,讓使用者不知道在檔案的更動刪增間會發生什麼致命問題,而不敢亂動,於是顯得不夠理想。

微軟的Windows 3.0在他大學一年級下學期時誕生,網路功能並不完整。Winggy只有打報告和裝現在忘光的軟體時會用到MS Windows,他從大二開始就將電腦系統全面換裝FreeBSD,進入小惡魔天地,即使身邊的人都不用FreeBSD,他也不覺得有什麼大不了,獨自悠遊其中。雖然當時玩FreeBSD的人不多,但一些至今網路上仍有相當名氣的前輩,好比jdli、freedom等人都相繼在網路上現身,可以互相發問交流。他說,有問題的時候主要是自己摸索,偶爾去連線BBS的386BSD板(tw.bbs.com.386bsd)問問題和打聽最新消息,再來就是私下請教jason等人。Winggy認為,大學只是基本能力培養,在知識上,並沒有給他很深入的感覺;至於系統管理、看懂程式和改程式等能力的獲得,他則「覺得很自然」。根據Jargon File的定義,黑客是指喜歡深入探索系統的人,願意接受過程中的智性挑戰,並會使用其深入的程式來工作。就這角度來看,Winggy在探索網路系統個過程中,已經具有相當的黑客精神。

在多種作業系統可用的狀況下,為什麼不用Linux,而始終用FreeBSD呢?Winggy說,Linux早期開發時,多套並存,顯得很雜亂,由於缺乏CVS中央版本控制的機制,只有一個系統核心,其他得靠不同的人開發,東西顯得更混亂。而且寫程式時,標題檔(Header File)不清楚,對變數的定義不一,加上Linux作為系統也不夠穩定,因此選擇了FreeBSD。相形之下,FreeBSD的系統讓他覺得比較乾淨,有中央的核心開發小組(Core Team)在管理。因此雖然當時身邊沒什麼人在用FreeBSD,他還是一直對FreeBSD情有獨鍾。直到後來他擁有兩台主機,因此可以灌不同作業系統,但大部分還是FreeBSD為主。

MS windows Update時,由於會傳送本機資訊出去,常被人擔心不安全,而winggy認為,不管什麼作業系統,用來做伺服器時,都有管理者。不能單純地說哪種作業系統安全或不安全,因為安全設施和安全防護是管理者在進行的。他強調:「沒有不安全的系統,只有不安全的人」,而其中的「人」包括管理者(是否夠格來管理,能否把系統管好)和入侵的人(包括加害人和被害人)。

從大學時即對評估網路安全、主機安全都有興趣,跟陳年興老師做台灣電腦網路危機處理中心(TW-CERT)的研究過程中確立自己的興趣,winggy決定往電腦安全的方向發展,因此以網路安全為題寫碩士論文。winggy開玩笑地透露碩士論文選網路安全的真正原因其實是,在最後一個月才被告知口試時間,在時間緊急的情況下,於是趕緊把研究所兩年來所學、所寫的東西整理並加強成碩士論文,而他在研究所兩年探討的,就是網路安全。也因為這個題目在當時太少人注意,winggy因此獲得目前的工作,深受相關單位重視。他認為,當時相關領域人員對如何評估網路安全還不懂,也不重視,他從寫碩士論文的過程中,有了run cert的經驗,並在那段時間和許多人接觸,學到安全相關的知識。在發表論文的研討會上,除了懂得在眾人前發表論文,也增加不少人際關係。他說,大部分的時間都是他教人,好比如何使用NESSUS掃瞄軟體,因為當時在台灣還沒人用,主要就是教人如何用免費工具做網路安全。至於其他的收穫,winggy說,他還學會如何凹資源和有技巧地亂蓋,畢竟這是相當現實的世界,得先求生存才能立足。

winggy認為,大部分的人都關心自己系統的安全性,但至今安全的觀念還不普及。這幾年來,因為相關話題比較熱門,想瞭解的人比較多。但一般人關心的層次侷限在cracking的部分,市面上的書也是「駭客不朽」之類,讓人只注意到cracker的部分;對於正統的系統防護,較沒人注意,也很少這類的書。他說,hacking能力和系統安全是矛和盾,並不需要會殺人才能救人,雖然hacking也是一種能力。一般企業需要的是防守,於是該加強的是系統安全。由於系統安全難以做到滴水不露,加以cracking本身有神秘的色彩,彷彿讓人有掌握某種權力的感覺,因此一般人比較有興趣。

「換網頁是很笨的事」,winggy認為,媒體常報導的cracking伴隨的換網頁動作,好比這兩年中美兩國crackers資訊大戰時的換網頁舉動,企圖宣示本身的資訊實力,其實只讓被換掉首頁的一方丟臉,好像是一種示威,顯得那些crackers很小孩子氣,帶著某種強烈的情緒才會做出那種破壞。他說,真正的破壞是改Database,比較不容易被發現,更不太可能在第一時間被發覺。至於網路安全在國家安全上的層次,他認為,越先進的國家,在資訊戰上遭受的破壞會越嚴重,因為越來越多環節進入電腦化後,許多損失無法用人工來救回。掌握敵方的電腦和網路系統的確可以削弱抵抗力,因為資訊化使得很多人只會靠電腦做事(好比電腦打字使人忘了字該怎麼寫),對原本用人工進行的流程不瞭解,電腦化的過程因此變成黑箱的部分,使用電腦系統的人員未必全懂,於是一旦發生問題,電腦停擺後,要換回手工進行變得不可能,挽救工作將會變得更困難。就這觀點來看,資訊化因此無所謂好壞,有得必有失。在政府和許多企業大力鼓吹資訊化的同時,winggy的觀點值得深思與警惕。

至於一般人在網路上可以怎麼做來增加自己的資訊安全?winggy說,最簡單的就是減少自己的資訊在網路上的曝光機會,好比身份證字號、姓名、住址、電話和信用卡卡號等,有了這些資訊,足以讓有心人士進行許多一般人難以想像的非法勾當。他認為,個人能做的不多,而企業要加強客戶資料的保護。他強調,講系統安全,不單只是電腦系統的問題而已,還包括企業運作的安全,連人員操作、人事查核、作業標準、流程控管等都是安全的一環。因此某個案件中,工程師盜賣客戶資料,也算是系統安全出錯的問題,系統安全的範圍其實遠比一般人想像地要大。

winggy繼續揭破一般人的安全迷思,他說,一般企業常認為防火牆萬能,但防火牆只是一種保護措施。防毒、防火牆、入侵偵測系統,在概念上,就像日常生活中的門鎖、消防措施一樣,只是安全措施的一種,「沒有一種可以根絕所有的問題」,就像門鎖不能讓人全然沒有遭竊的問題一樣。一般而言,個人求協助的較少,因為個人沒什麼資源投入,但企業因為把網路當成生財工具,因此有資源可以投入這部份,必須要做。

winggy總結過去的經驗和觀察,認為大部分的資訊安全問題還是歸於人的問題。而人的問題要怎麼解決?他說,一般企業會要求管理者定期補強,好比定期增加安全知識以增加技術面能力。政策面的話,企業能分析瞭解本身最缺乏的東西,要加以投資,花錢花在刀口上。

下班希望能不上網的winggy,原先的想法最近逐漸被打破,因為嗜喝咖啡的他,發現可供無線上網的咖啡廳變多了,讓他可以一邊喝咖啡一邊用自己的筆記型電腦上網,而無線網路的安全也是他最近認真探討的議題之一,目前已發表過相關文章,也在數個場合演講過。在增進無線網路安全方面,他建議要修改預設無線設定(好比預設密碼、預設的SNMP社群碼、預設的SSID和預設的通訊頻道)和修改網路設計(例如使用靜態的IP配置、使用適當的加密技術、用防火牆區隔網段)等。

winggy平時的休閒活動主要是看書、聽音樂、上IRC、喝咖啡和打電動。在閱讀方面,winggy這段時間常看奇幻文學的作品,正和他的一群網路朋友相仿,一群人還會一起團購特定奇幻文學作品。他覺得看奇幻文學算是時代風潮,有可能是因為大家喜歡玩電腦遊戲,因此會朝類似方面發展。他最早看的是龍槍系列,而龍槍本身就是電腦遊戲,他早在國中階段就玩過,因此能輕易地進入其中詭譎多變的想像世界。對winggy來說,資訊安全是從人和電腦的問題衍生,而這種問題可以抽象化到各層次,於是看這些小說,在某種程度上,也可以讓他更理解人和電腦可能會產生的衝突。在看過各種不同的奇幻文學作品後,他說,最喜歡的是Ursula K. Le Guin的六本「地海傳說」,因為想法夠抽象,內容可以讓人有很大的解釋空間,不像許多小說都寫死了,比較缺乏想像和理解的樂趣。而「哈利波特」在他眼中就屬於那種「被寫死」的小說,讓他認為比較淺白、方向單一,畢竟不是給進階讀者看的,否則可能不適合該書預設的兒童讀者閱讀。至於音樂,winggy多半聽古典音樂,除了國語流行音樂以外的音樂他也會視心情來選擇。至於打電動,winggy接受訪問完就嚷著要回家玩PS2,即使睡眠不足也可暫時不理會,讓人可以一窺winggy的娛樂偏好。

在一般人聽到資訊安全,往往只會想到駭客的狀況下,winggy的安全觀點值得生活已經越來越難脫離電腦和網路的人深思。

由 Debby 發表於 December 19, 2002 03:37 AM | 引用
迴響
發表迴響










請依上圖輸入檢核碼:
記住我的資訊?






Flag Counter