選舉事務處離奇遺失兩部電腦,頂頭上司政制及內地事務局局長譚志源說「加密標準高,任何人都難以破解」,港府出事後再死撐,相信大多數人對此已不感意外。碰巧政經雜誌「經濟學人」 4 月份第 2 期正以「為何所有電腦永遠不會安全」為封面專題,內有兩篇文章詳細分析技術困難與經濟誘因,指出從經濟層面上解決黑客問題或成效更豐。雖然黑客入侵無可避免,但不代表不應戒備。
2016 年孟加拉中央銀行在紐約聯邦儲備銀行遭劫走 8,100 萬美元;去年雅虎被揭發系統於 2013 及 2014 年曾被黑客入侵,受影響帳戶數目達 10 億,大如科網公司聯邦銀行也讓黑客有機可乘,更莫說一般市民的個人電腦與資料。據白俄羅斯一名黑客的自白,沒有一種電腦保安系統黑客不能攻堅。
現今電腦晶片由設計、生產、組裝通常經不同公司進行,最後再由另一間公司編寫的程式運行電腦,任何一個階段出錯,都可讓黑客有機可乘。一般黑客欠缺足夠資源滲透生產層面,但亦無此必要,因各種電腦軟件已令電腦中門大開。據 Google 工程師 Rachel Potvin 表示,Google 所有旗下產品在內,總共要管理近 20 億行編碼。而這些產品,卻要在更複雜的電腦系統上運行,如 Linux 於 2015 年便有約 2,030 萬行編碼;最新的 Windows 系統亦估計有約 5,000 萬行編碼;至於一般的手機系統 Android 則約 1,200 行。
要讓每一行的編碼在其他系統與硬件正常運作實非易事,要在製成之初全無漏洞更無可能。著名程式設計師 Steve McConnell 指出,即使是大型軟件公司,在精密檢查後,出錯率還有 0.05%。美國波士頓塔弗茲大學電腦科學教授 Kathleen Fisher 說:「入侵者只需找到一錯處,而維護方卻要堵塞所有漏洞,包括未知的漏洞。」電腦保安就是一場不對等的戰爭,只需要一個小錯誤,便讓黑客有機會令電腦執行不應運行的指令,甚至是一些始料未及的問題,如「緩衝區溢位」——攻擊者可故意輸入過大的資料,使程式產生問題。
互聯網之父 Vint Cerf 曾表示,當初建立互聯網時,曾受到國家安全局干擾,因他們擔心加密法影響國家安全,Cerf 稱,如果能從頭再來,他會在互聯網的基礎上加入更強的加密法。除了互聯網本身不安全,例如大量發送釣魚惡意郵件,茫茫人海中總有人疏於防範,令不法之徒輕易得手。
在這場攻防戰中讓黑客容易佔上風的,背後還一點重要因素 —— 經濟誘因。商家為了盡快將產品推出市場,結果犧牲了撰寫保安系統的時間。英國劍橋大學電腦保安專家 Ross Anderson 形象地描述:「星期二送貨,下星期才修復保安問題--可能。」而每次使用軟件前,總會出現一串長長的同意條款,裡面一般包含免責條款,即如果軟件招致用家電腦遭入侵或中毒,亦與生產商無尤。
商家不負責任,雖然企業能快速發展和持續創新,用戶卻得不到法律保障。Anderson 指出,政府自身亦有思想衝突,一方面黑客損害市民和破壞政府機關的運作,另一方面政府本身亦依靠入侵和破解手法進行監視。就像英國早前的倫敦恐襲之後,英國政府已質疑 Whatsapp 的保密法讓情報機關難以掌握潛在恐怖份子的消息。
「經濟學人」卻認為,即使電腦保安擁有諸多難題,市場現正逐步修正。假如同一公司的產品和服務屢遭黑客入侵,最終會受到訂購用戶的指責。各公司在面對不可預測的網絡保安風險時,有些會選擇購買「網絡保險」,這保險市場總值正以每年 60% 的增長,一年涉及的金額約為 30 至 40 億美元。天下無不破的電腦,還有無問責的問責制官員,前者和後者均已不足為奇。
