電腦瘟疫

(轉載自CUP magazine 2012年12月號)

            八十歲電腦科學家Peter Neumann博士最近接受《紐約時報》訪問，訪問文章以語不驚人誓不休一句「Killing the computer to save it（拯救電腦先要毀滅電腦）」為題！

            這名上世紀哈佛大學，銀髮數學大賢，鬚鬢蓬鬆，還津津樂道六十年前和愛因斯坦共進早餐兩小時，愛因斯坦一席話和日後名言「Everything should be made as simple as possible, but no simpler」影響他對電腦應用的安全性堅持至今。

            Neumann博士仍是現今電腦安全業界中堅分子，在著名SRI研究室工作，不時猛力抨擊現今電腦業界普遍不會從錯誤中學習，預料百花齊放，雜七雜八的電腦和網絡今天以爆炸性速度膨脹下，隱藏了太多危害安全漏洞，一場災難性電腦瘟疫無可避免地爆發！

偷襲珍珠港網絡版

            去年二月我在這裡一篇〈軟件炸彈爆發  用家束手無策〉*寫過：「有bugs的軟件一直在我們的電腦內像計時炸彈一樣地潛伏著」，當時我只不過是圍繞在個人用家、商業角度和法律層面出發，沒深入探討這炸彈威嚇性已提升至國家安全警戒線。今天Neumann博士的大批學生和信徒，包括現任美國聯邦貿易委員會的CTO Steven Bellovin和最近訪華的美國國防部長帕內塔（Leon Panetta）也公開承認美國目前面臨一場真正Cyberwarfare（網絡戰爭），還預期下一次「偷襲珍珠港」網絡版可能重現！

         對！自從地球上的電腦可以連結其他任何電腦，我們的網絡世界便變成黑客天堂、軍隊對疊的戰場。好了，我們能做甚麼？

            問題的根源，主因故然是上述說過日積月累的安全漏洞；更甚者，今時今日網上系統太複雜，抽絲剝繭填補每一個別漏洞已沒可能。而且，縱使我們盡量去補救，醞釀大災難發生，導火線可能是從單一漏洞而起，但其摧毀性是成千上萬漏洞互動組合造成，正所謂「複雜的系統，死也死得很複雜」！防不勝防。

            以前電腦安全行業是一池死水，今天雖然已搖身變成為一年高達百億美元收入的專業，但模式卻仍離不開頭痛醫頭，腳痛醫腳。我們只能做到治標而不能治本，皆因今天網絡基本結構，沿用了四十多年，從沒重新設計過。難怪一生專注電腦安全工作的先驅者Neumann博士，以八十歲高齡，還鍥而不捨，大聲疾呼，喚醒人類正視這曠世危機！

白璧無瑕計劃

            他身體力行，提倡一個概念，稱為Clean-Slate「白璧」。他從過去半世紀一切有關安全電腦研究文獻中挑選最佳方案，由頭從新設計具有「先天免疫能力」的安全電腦！當然，這得先要毀滅今天抱殘守缺的，再讓它們火鳳凰重生，這構思花費浩大是必然的，市場能否接受亦是另一關鍵。我想Neumann博士有生之年見到其構思產品雛型面世，已是功德無量了。

            然而，由美國國防部資助，在多所大學和機構進行研究的「白璧」計劃已漸有成果，其中以麻省理工學院Shrobe博士為首的一項，他只問一個問題：如果電腦工業可以全盤推倒，捲土重來，生態應與今天的有何不同？這問題引伸出兩個獨立但息息相關的設計嘗試，一是簡寫稱為Crash（Clean-Slate Design of Resilient Adaptive Secure Hosts），即是設計「白璧無瑕」適應力特強的主機；二是MRC（ Mission-Oriented Resilient Clouds），以任務為基礎定位，設計適應力強的雲端系統。換言之，每一雲端系統只為達成一個使命而建立。

            說起來有點諷刺，以上概念在一定程度上是把我們帶回電腦盤古初開時代，當時電腦分為兩大類：Specific-purpose 和General-purpose的。軍事和科研應用電腦是有特定目的，用的是Specific-purpose硬件和軟件（現今還有，只不過已縮成內置的一些微處理器）；及後令電腦普及化，其實乃是指商業上用的General-purpose電腦 —— 同一硬件，裝置不同軟件，便可作多用途，非常合乎買家經濟利益。

            先讓我舉一小例子，以前我們購買維他命丸是要指明A、B、B雜或C、D、E甚麼的，現在一粒「搞掂哂」！道理就是一樣，但在電腦科技上一有些不同，在沒監管下，由Specific-purpose電腦演變成General-purpose電腦（minicomputer、PC、server的前身）的過程中，無可避免種下一些非標準的codes、formats和procedures等等「污染」，先是引起一輪兼容問題，後雖互聯網HTML介面出現把大部份問題解決，但本是「白璧無瑕」潔淨之身的電腦系統，在沒正規防犯，自願或半就範地經網絡中「不法分子」有意或無意洗禮，感染到「癌細胞」絕不出奇！今天無人敢擔保自己的電腦「玉潔冰清」！就算你是黑客也要為掃毒疲於奔命！

            基本上，Shrobe博士的計劃其實是復古，斧底抽薪把硬件和應用軟件合為一體，回復每台主機都可視作為私人Specific-purpose電腦，出廠後令它能作General-purpose功能，軟件每次都要從MRC雲端系統循正途合法取用，個人保密資料資庫才能保持遠離閒人，隔絕污染。

 防患未然

            本來，這年代正值大部分本屬桌面電腦的應用軟件開始一批一批移植到流動儀器上，時間上非常配合，但我們面對最大難題是，今天超過八成電腦生態，還是被單一不設防的操作系統操控，違反自然生態定律。為求突破這一面倒形勢，Shrobe博士提出多種解決途徑，包括令軟件「浮游」或「隱藏」，躲避可能遇到外襲；和設計嶄新網絡具揪出「可疑犯」的能力等。

            這分別可用兩種技術來實現：tagged和 capability architecture，前者針對系統內每一數據，有如香港人出街一定要帶身份證或「行街紙」才合法；後者則是任何軟件如未獲發本身處理器檢證馬上被排斥，不可運行。

            至此，主張 Clean-Slate概念的Neumann博士用上人體多重免疫系統作比喻——除了最外的一層保護罩，還靠第二層的T細胞哨兵團把關，目的是防患於未然。

            唉！以上概念根本不是甚麼新構思，四十年前已有，令Neumann博士這老人家痛心疾首的是，今天電腦商的短視 ——「 Made computer as simple as possible」—— 但沒聽從愛因斯坦的下半句：「But no simpler」！令我們電腦世界中門大開，讓這瘟疫廣流開去！

            1985年他創立了Association for Computing Machinery Risks Forum，至今是全球最多人匯報電腦出錯和涉密的討論區。最後，他對使用電腦帶來風險，前景是樂觀的，但決定權始終落在用家手上，對此，他引用史太林一句名言幽自己一默：「It’s not who votes that counts, it’s who counts the votes（誰來投票不重要，重要的是誰來點票）！」（完）

*http://it-column-cup.blogspot.hk/2011_02_01_archive.html