(轉載自CUP magazine 2013年7月號)
幾年前,我們一些名人連做愛都可以費事「拉下窗簾布」還「打開攝錄機」,仲要講私隱!我承認我喜歡用「拉下窗簾布」比喻民間用電腦像「無掩雞籠」,這亦正是軟件和資料不安全的根源:過度信賴第三者!
斯諾登在港爆NSA大鑊,筆者本來真的不想寫這篇「應景」文章,因為可以是很短,兩句說話講完 —— 世上是沒有解不破的鎖,只怕有心人!也可以是很長,因為加密(encryption)、解密法(cryptography)是電腦和網絡保安最徹底的法門,而這是個複雜無比的課題。
幾年前,我們一些名人連做愛都可以費事「拉下窗簾布」還「打開攝錄機」,仲要講私隱!我承認我喜歡用「拉下窗簾布」比喻民間用電腦像「無掩雞籠」,這亦正是軟件和資料不安全的根源:過度信賴第三者!
斯諾登在港爆NSA大鑊,筆者本來真的不想寫這篇「應景」文章,因為可以是很短,兩句說話講完 —— 世上是沒有解不破的鎖,只怕有心人!也可以是很長,因為加密(encryption)、解密法(cryptography)是電腦和網絡保安最徹底的法門,而這是個複雜無比的課題。
無可能不犯法
由凱撒大帝打仗時要隨從保密,發展到現今電腦安全保密制式WPA2、WEP、3D、AES、Symmetric和Asymmetric的歷史和前因後果,與及十多種不同Key Management的利弊,雖有寫不完的有趣故事,但只要讀友翻一翻由Simon
Singh寫的一本科普書The Code Book,已應知自古以來,情報和保密對國家與及大企業的安全有多重要。
至於那些爭取保障私隱和維護網絡安全,再扯到Big Brother is Watching You,與及中美黑客戰、政治和人權等問題,亦已有大批外文評論文章,和一些本地傳媒解讀。說真,已寫無可寫。
但一看見香港一些政黨、立法局議員和示威人士已急不及待爭相抽水,除了令人失笑外,還令市民以為一個小小叛牒,選擇香港展開一齣政治間牒劇序幕,登上國際頭條,小小的香港一夜間竟能佔舉足輕重的網絡托樸地位(network topological location),與有榮焉乎?香港人習慣自我膨脹,又喜歡觀看滿腦子都是陰謀論的連續劇,斯諾登小子登場,姑勿論他是否收了大量人民幣,或為求自保,扮演反牒角色?劇情必然引人入勝,發展下去可以有無限空間。
唉!不寫不寫還須寫。我不是編劇,這篇IT文章,我只想指出兩點。第一點是網絡私隱和安保永遠是成反比、對立的。我們一直是一廂情願希望能找出一個平衡點。實現中,警力和市民之間或偶而做到;但在網絡世界中,安保無可能不涉及私隱!梁振英也懂說:無可能不犯法!
有錢、有軍武、有情報
如在網絡搜集情報行動中,三軍未動,私隱先行,這便牽涉到很多灰色地帶
—— 甚麼情報可以搜集?甚麼是合法的搜集情報手段?合法地搜集了情報卻無意中窺察到別人的私隱怎辦?搜集了無關重要人物的私隱但不公開可以嗎?這樣問下去是個死胡同,安保不難變成如同虛設
—— 而且在一瞬即逝的網絡傳遞中,一切也可以不留痕迹,只懂在死胡同內抽絲剝繭是不現實的。
請大家抹去幾十年前占士邦電影過時的間牒情節片段回憶,看看現今Revenge和Transporter等美國電視劇集。就算不是間牒,民間為了復仇、自保、追兇或執行某些任務,也要利用網絡搜集情報,當中無可能不涉及私穩!我可以大膽推測,只要認定搜集情報是國防必需政策之一,奧巴馬律師團是懂得用來本作保障公民私隱的Privacy Laws,反過來肯定是自己保衛國家的權利!
美國做了世界警察多年,如要維持其霸主地位,為反恐或其他甚麼也好,為了搜集情報監察平民電腦有何出奇?說自己的私隱被人侵犯了可以說得很容易,卻通常被揭發出來時當事人才知道!而且,之後要證明誰做的非常困難。你以為網絡上也可以像在重慶大廈安裝三百多個「天眼」這麼簡單和形像化?黑客不是入屋行竊的小偷或強姦犯,緝捕黑客需要反黑客,反黑客也有反反黑客維護、反反黑客也有反反反黑客…..更可能是同一個人!再問下去亦是個死胡同!
在此,讓我再引用去年二月在此的一篇文章〈黑客的「聖杯」〉*的結語 —— 今天,我們要消滅罪案,和消滅黑客的意義是一樣,只是財力、暴力和腦力(包括電腦能力)的高下分別而已 —— 本來是說明「道」高一尺,「魔」高一丈的道理;現在卻反過來是要對付全世界最強的「道」—— 要消滅美國NSA搜集情報,和以人權為理由禁止NSA搜集網絡情報的手段,談可容易!
不謀而合,原因亦是和未來學家Alvin Toffler一書《Powershift:Knowledge, Wealth, and Violence at the edge of the 21st
Century》中的理論一樣 —— 有錢、有軍武、有情報便天下無敵!《Powershift》這書是1991年出版,當時的軍武並未把先進網絡監控技術包括在內。
防範公路上的攔途截劫
防範公路上的攔途截劫
明乎此,我便要指出第二點:如果我們不想自己的私隱受到侵犯,我們能做些甚麼?幾年前,我們一些名人連做愛都可以費事「拉下窗簾布」還「打開攝錄機」,仲要講私隱!我承認我喜歡用「拉下窗簾布」比喻民間用電腦像「無掩雞籠」,這亦正是軟件和資料不安全的根源:過度信賴第三者!
另一比喻:軟件和資料可以當作一個嬰兒放在一架手推車內,你放心托付第三者在車水馬龍繁忙鬧市中推它過馬路,發生意外後你找第三者理論是徒然的。他可以一句話把責任全推缷:「我已做到最好的了,攔途截劫的事情每天都在發生!如果你個B是珍貴的,放個假B洋娃娃拷貝在手推車內吧,活寶貝留在安全的家中好了!」假B指的就是encryption,加密!做愛前請拉下窗簾布!不輕易被人偷拍,被人偷拍到也是打滿格仔的!
加密,無論用的是Private-Key(Symmetric) 或Public-Key(Asymmetric) Algorithm,最重要的還是key在誰人手上。當然是你一人控制的最安全,但有些資訊卻必須要與別人共享,與小數人共享,還是一大群人?分別很不一樣。坊間一些S/MIME和 PGP(Pretty Good Privacy)加密工具也很流行。然而,加密和解密成本、操作功能有否影響、整個網絡的伸縮性(scalability)有否侷限,一大串問題要考慮。還有,個人用的和企業的又不同需要。至於民間電腦用家,大多只擔心自己的電郵和硬盤的安全,如果懂得用virtual machine image放在「手指」內也很可行。一般用家懂得安裝嗎?這又不是要找專家代勞,增加成本。其他的網絡保安常識和最新發展,有興趣讀友可參考The Open Web Application Security Project (OWASP) 這組織。
正如文首說過,加密、解密法和網絡保安是一門無比複雜的課題,以上說的只是蜻蜓點水,怎樣保護自己個B,以下說的是怎樣「被人攔途截劫」。我們的網絡、就像一條高速公路,試想想每秒有上億輛不同汽車流量,從不同方向匯合或分流,「攔途截劫」就是把公路上汽車攝錄下來,再將累積的大量照片(Big Data)分類、篩選,那輛車應和那輛車建立關係,例如要從川流不息的網絡中找到在你城市中任何人何日何時到過何個網址,是件非常艱巨的工作。艱巨是艱巨,這類分析軟件還是有的。加密的好處就是被人「攔途截劫」的資料也要解密才看得見。
我「有幸」以前推銷過這類分析軟件,是來自以色列國防部的,所以知道其威力有多大,但必須獲得當地網絡供應商允許。美國商人把它包裝成「商用網絡流量分析器」,打進各地網絡供應商包括中國。
此刻,我們升斗網民遠距離看斯諾登事件,但始終能做些甚麼?除了找專家替你加密外,自我感覺良好之後,我還是要重複:世上是沒有解不破的鎖,只怕有心人啊!(完)
*http://it-column-cup.blogspot.hk/2012/03/blog-post_05.html
