【獨家專訪】學院派黑客 Zetta
網絡保安世界,範疇可以好大,Zetta Ke 就行學院路線,專門研究行業經濟及政策,是一個博士,亦是道德黑客。未知是否可以稱之為「學院派黑客」?
文武兼備的黑客
「我大學主修 Information System,其實屬於商學院的科目。與 Computer Science 不同,我修讀的不太著重演算、程式的技術研究,而是較著重 Business Application,如電腦系統的管理、電子商貿研究,乃至區塊鏈技術應用等。」Zetta 從大學學士直讀至博士,現於科大既教且學。而 Zetta 的另一個身份,是研究團隊 VXRL 成員,曾經發現過 windows 漏洞,絕對是又 talk 得又打得。
成「黑」之路由玩電話開始
很多黑客都由貪玩開始,Zetta 亦不例外,不過未有電腦已在 hacking。「大約 9 歲的時候,家中還未有電腦,但我已開始 hacking,hack call 台。」咁都有得 hack ?「沒錯,當時的傳呼機有留言信箱,我就嘗試撞密碼,如 1234,又有很多人用回帳戶號密作密碼,hack 入去之後可以聽到人家的 message,那只是無聊玩玩而已。」當年的撞密碼即是今日的 brute-force?後來後來有電腦,Zetta 當然不會放過找漏洞的機會,改點數改能力,甚至 Cross-site scripting。「我試過於聊天室注入 Java Script,可以獲得其他玩家的賬戶密碼的,其實這些 hacking 技巧概念至今仍管用。」
網絡安全的界外效應
大學時代遇上 VXRL 領軍 Anthony Lai 介紹 Pen Test,極感興趣,Zetta 就順利成章加入 VXRL 成為一份子。「不過我比較熱中於做研究,例如研究資安服務供應市場的特色,網絡保安行業的經濟及政策等。經濟學常為複雜的事情作抽象化處理,如網絡安全行業中的資訊不對稱問題(Information Asymmetry)。」Zetta 亦運用到博弈理論、合約理論等經濟學理論去研究網絡安全世界,當中的「界外效應」(externality) 頗為有趣。「網絡安全的其中一個特點,是網絡安全有公共性的。因為一個人的系統被入侵,可能會被利用再去入侵下一個系統,有如傳染病一樣。經濟學上,這叫做(負面)界外效應,即是指一個人的決定會影響其他人(而沒有得到補償或懲罰)。」
政府可先考慮從補貼入手
要解決網絡安全的界外效應問題,Zetta 認為政府可以進行更多規管或補助。「香港的規管集中在金額機構,若要將政策推至其他企業甚至中小企,會大幅增加他們的成本。政府可先考慮從補貼入手。」至於網絡安全規管,問題就複雜得多了。「我最近有個研究,是有關過往某些政府推動網絡保護政策如 content filtering 的情況。發現執行 content filtering 期間,攻擊次數明顯上升,原因可能是引發更多用戶翻牆,此舉引發更多人使用不知名第三方軟件,更令用戶的安全風險增加。」另外,contentf filter 引申出不少政治議題。「很多時政府會將網絡安全與特定的審查政策綑綁推出,外國也出現這種情況的。」當然,網絡安全更應該從教育入手。
網絡安全要由自己做起
網絡安全的教育,就是安全意識培訓。「好多網絡安全的問題都與「人」有關的,很多時因為人們貪方便而出事,所以 cyber security management 要從人開始,例如安全意識培訓。」有不少企業認為裝置了一套防護工具已經足夠,Zetta 指出一套防禦方案其實未足夠。「要有多層防禦先足夠的,行內人稱為 defence in depth,以前是軍事的概念,即是要有多層保護,假如其中一個 security control 失敗,還有一層擋住。」Zetta 建議大家首先要對網絡安全、風險管理有多點了解,然後可以自己嘗試做風險評估,再找專家提供合適方案。現今網絡世界越來越複雜,唔想有「界外效應」,大家就要努力。