2017年6月
陸思齊

英國國民保健服務(NHS)上月至少有16間醫院的電腦系統，受到黑客以「勒索軟件」大規模攻擊，導致系統癱瘓，受影響醫院需將緊急病人轉送到其他醫院，很多手術也因此延期進行。有人形容網路保安是一場貓抓老鼠的遊戲，犯罪分子總在思考新的攻擊手段。本報特邀一位負責電腦安全的專業人士，也就是坊間所說的「白帽黑客」接受訪問。由於職業涉及高度保密性，以下用代名H表示。

記︰你的工作包括什麼呢？
H︰作為資訊保安顧問，我主要的職責是評估客戶的系統，以找出潛在的保安問題，主要透過白箱測試（White Box Testing，也稱結構測試、邏輯驅動測試；原理有點像審計）及黑箱測試（Black Box Testing，滲透測試）方式。有人稱此類工作為「文明黑客(Ethical Hacker)」，即致力探索電腦系統安全的弱點，但目的不在破壞而是要修補這些安全弱點。

記︰你認為黑客為什麼要「黑」其他人呢?
H︰每個黑客的身世、經歷都不同，但犯案目的離不開三點：貪錢、貪知、貪玩。以最近的WannaCry病毒為例，黑客會把受害者電腦上所有的資料上鎖，然後勒索金錢，等收到錢才給受害者解鎖。此外，黑客一般都有非常強的求知慾及好奇心，既想知道其他人的秘密，又想獲得更多電腦的知識。在獲得這些電腦知識後，他們就會想實踐，加上希望得到其他人的認同，於是踏上黑客之路。

記︰黑客的目標是什麼人?
H︰黑客一般都是漁翁撒網，看誰上了當就「黑」誰。不過也有黑客會對指定目標進行攻擊，意圖得到戰略性的機密資料。

記︰最常見的公司保安漏洞是哪些？
H︰答案取決於公司選用的系統和應用程式種類。我們常會發現，很多公司都沒有一套政策或步驟來定期更新或修補其軟件。

記︰對於防毒軟件，你有什麼建議呢？
H︰很多人說防毒軟件拖慢電腦速度，又說防毒軟件貴，所以不想在電腦上安裝防毒軟件。其實防毒軟件真是非常基本、不可或缺的保護措施。此外，收到不明來歷的網上檔案千萬不要胡亂打開。

記︰怎樣可以預防手機被黑?
H︰最基本就是不要胡亂裝App（手機程式）。此外，可以安裝相關的手機防毒軟件，提供多一層保障。不過手機黑客事件防不勝防，一個短訊已經足以令手機中毒，所以定期備份手機內的資料是非常重要的。

記︰你認為下一個重大的網絡保安威脅是什麼呢?
H︰我認為現時最令人擔心的保安問題其實源自政客。不久前，美國要求蘋果在電話內安裝「後門」，令蘋果在政府要求下能夠進入用戶的手機，獲取被鎖上的資料。這種後門既可被政府所用，同時也能為黑客所用，叫用家長期暴露在系統預定的保安漏洞之下。
H︰WannaCry事件為大眾敲響了警鐘，令大家知道原來他們所依靠的系統有重大保安漏洞，使大眾提高警覺，對網絡及系統保安的要求提高。以往不少供應商對用家的系統安全根本視若無睹，但隨著群眾的意識不斷提高，這些供應商的保安措施也在逐漸改善。