【獨家專訪】學院派黑客 Zetta

網絡保安世界，範疇可以好大，Zetta Ke 就行學院路線，專門研究行業經濟及政策，是一個博士，亦是道德黑客。未知是否可以稱之為「學院派黑客」？

文武兼備的黑客

「我大學主修 Information System，其實屬於商學院的科目。與 Computer Science 不同，我修讀的不太著重演算、程式的技術研究，而是較著重 Business Application，如電腦系統的管理、電子商貿研究，乃至區塊鏈技術應用等。」Zetta 從大學學士直讀至博士，現於科大既教且學。而 Zetta 的另一個身份，是研究團隊 VXRL 成員，曾經發現過 windows 漏洞，絕對是又 talk 得又打得。

成「黑」之路由玩電話開始

很多黑客都由貪玩開始，Zetta 亦不例外，不過未有電腦已在 hacking。「大約 9 歲的時候，家中還未有電腦，但我已開始 hacking，hack call 台。」咁都有得 hack ？「沒錯，當時的傳呼機有留言信箱，我就嘗試撞密碼，如 1234，又有很多人用回帳戶號密作密碼，hack 入去之後可以聽到人家的 message，那只是無聊玩玩而已。」當年的撞密碼即是今日的 brute-force？後來後來有電腦，Zetta 當然不會放過找漏洞的機會，改點數改能力，甚至 Cross-site scripting。「我試過於聊天室注入 Java Script，可以獲得其他玩家的賬戶密碼的，其實這些 hacking 技巧概念至今仍管用。」

網絡安全的界外效應

大學時代遇上 VXRL 領軍 Anthony Lai 介紹 Pen Test，極感興趣，Zetta 就順利成章加入 VXRL 成為一份子。「不過我比較熱中於做研究，例如研究資安服務供應市場的特色，網絡保安行業的經濟及政策等。經濟學常為複雜的事情作抽象化處理，如網絡安全行業中的資訊不對稱問題（Information Asymmetry）。」Zetta 亦運用到博弈理論、合約理論等經濟學理論去研究網絡安全世界，當中的「界外效應」(externality) 頗為有趣。「網絡安全的其中一個特點，是網絡安全有公共性的。因為一個人的系統被入侵，可能會被利用再去入侵下一個系統，有如傳染病一樣。經濟學上，這叫做（負面）界外效應，即是指一個人的決定會影響其他人（而沒有得到補償或懲罰）。」

政府可先考慮從補貼入手

要解決網絡安全的界外效應問題，Zetta 認為政府可以進行更多規管或補助。「香港的規管集中在金額機構，若要將政策推至其他企業甚至中小企，會大幅增加他們的成本。政府可先考慮從補貼入手。」至於網絡安全規管，問題就複雜得多了。「我最近有個研究，是有關過往某些政府推動網絡保護政策如 content filtering 的情況。發現執行 content filtering 期間，攻擊次數明顯上升，原因可能是引發更多用戶翻牆，此舉引發更多人使用不知名第三方軟件，更令用戶的安全風險增加。」另外，contentf filter 引申出不少政治議題。「很多時政府會將網絡安全與特定的審查政策綑綁推出，外國也出現這種情況的。」當然，網絡安全更應該從教育入手。

網絡安全要由自己做起

網絡安全的教育，就是安全意識培訓。「好多網絡安全的問題都與「人」有關的，很多時因為人們貪方便而出事，所以 cyber security management 要從人開始，例如安全意識培訓。」有不少企業認為裝置了一套防護工具已經足夠，Zetta 指出一套防禦方案其實未足夠。「要有多層防禦先足夠的，行內人稱為 defence in depth，以前是軍事的概念，即是要有多層保護，假如其中一個 security control 失敗，還有一層擋住。」Zetta 建議大家首先要對網絡安全、風險管理有多點了解，然後可以自己嘗試做風險評估，再找專家提供合適方案。現今網絡世界越來越複雜，唔想有「界外效應」，大家就要努力。