Newsletter No. 82

戢止電腦爆破活 動 電腦保安 外電不時報導電腦 專業作案者和業餘發燒友 爆破電腦保安系統，進入 銀行和國防部系統作惡或尋 樂。這類非法闖入的活動各 地皆有，未經報導或未遭揭 發的恐怕更多。本校系統是香港學 術及硏究網絡連接國際網絡的閘 道，電腦保安是否妥善呢？ 資訊科技服務處高級電算師 梁光漢先生表示，校方把敏感 資料如人事檔案、學生紀錄 和財務收支等存放在保密度 頗高的電腦系統，有重重關閘阻退爆破 者。其餘的資料應不易引起犯案動機， 所以爆破者嘗試闖入系統的情況並不常 見。 據梁先生所知，業餘爆破者一旦非 法闖進別人的電腦系統，只會在系統內 游蕩，瀏覽人家的資料；專業的可不 同，他們會隱藏起來，伺機利用「佔領」 了的系統或戶口作案。 聯網影響 一九九二年以前，中大電腦系統因 爲接觸點少，結構簡單，在電算機服務 中心的主機設防便足夠。及後因爲接通 了國際網絡，又採用較開放的 UNIX 操作 系統來聯接網絡，才要加強電腦保安方 面的工作。 梁先生解釋，聯網效應令爆破者如 虎添翼，因爲他們的個人電腦一經上 網，便可利用網絡上其他運算能力較強 的電腦犯案。另一方面，標準 UNIX 系統 的口令（ password) 檔案是開放的，會吸 引爆破者破解口令。該系統的設計者認 爲經加密（ encrypted) 處理的八個字位口 令（每字位含八位元），組合數目達二的 六十四次方，足以難倒爆破者。即使他 們利用每秒破解一百萬個組合的高速電 腦，也要五十八萬餘年才能測遍所有組 合。可是，一般電腦用戶都以易記的名 字或數字作口令，爆破者只須利用簡單 的電腦程式或組合較少的數據庫，便可 在短時間內破解這些口令，得以進入別 人的系統。 保密和方便的取捨 他補充， UNIX 的優點 是方便，而方便是聯網的 重要元素。電腦從業員一 直在保密和方便兩極中找 尋平衡點，該點因人因事 因機構而異。行內戲言， 把無磁碟無聯繫的電腦鎖 在密室內，使用者須經嚴 密搜查方可進出，才有可 能做到百分之百保密。 中大是學術機構，不 是銀行，也沒有國防機密 資料，應以方便 爲上，讓員生取得 新知，利便教硏、學習和行政工作。 爆破方法 爆破的方法不外兩大類：一是針對 電腦系統或軟件的設計漏洞，二是撞破 電腦系統或戶口的口令。電腦商一旦發 現旗下產品有漏洞，會設計補救軟件， 分發給用戶，堵截爆破者；但往往遲來 一步，爆破者早已私下交換情報，肆意 進出系統。要撞破複雜的口令，爆破者 會先「佔領」一台高速運算的電腦，驅使 它執行爆破程式。這些電腦「天才」會故 意輾轉經過許多系統才到達目的地，以 掩藏身分，一旦事發也難以被揭發；加 上部分地區的電腦系統每隔兩、三個月 便淸洗使用紀錄，爆破者只要花點心 思，便可全身而退。 梁先生說，除非刻意設計陷阱，尋 找爆破者的身分，否則難以追查。可 是，設計陷阱的做法極浪費時間、人力 和物力。 對付電腦爆破 中大沒有專人負責電腦保安，但電 算機服務中心和資訊科技服務處設立了 工作小組，對付電腦爆破的問題。梁光 漢先生任召集人，成員來自兩部門的用 戶服務、微型電算機應用、系統程序， 以及數據通訊和網絡等小組。 該小組的工作分爲教育、建議和調 査三方面。 梁先生認爲，教育一環最重要。電 腦保安涉及軟硬件、網絡和程序。當中 最易出岔子是程序：把戶口借予他人使 用，或是離開工作站前忘了退出（ sign- off) 戶口，都提供機會給爆破者利用這些 戶口作惡。只要用戶謹愼，遵從保安守 則，正確使用電腦，便可防止大部分非 法活動。校內部門 可找工作小組協助， 設置專業的網絡保安系 統，以保護敏感資料。 至於調查工作，則只會 在接到舉報後才開展。 香港現行法例沒有特別條文針對電 腦罪案，就算有，也追不上電腦科技的 發展。況且許多時候根本很難找到電腦 罪行的作案源頭，找到了也會因各地法 例不同而不能把電腦罪犯繩之於法。近 期本地一位專上院校講師之子以電腦犯 案時，當場被捕，警方要引用其他法例 控告他，才能使之入罪。 梁先生稱，中大員生所涉及的違例 活動很輕微，常見的是借用戶口。初犯 而又沒惡意者，警戒了事，屢犯者則會 暫停甚或取消其戶口。 其他違法電腦活動 他表示，電腦爆破是不法行爲，校 方一向與其他海內外專上院校和香港警 方通力合作，打擊犯案者。不可不知的 是，電腦活動尙有很多灰色地帶，牽涉 面甚廣，一不小心，便可能惹上官非。 例如透過網上的新聞小組 (news group) 信 口雌黃，誹謗別人，或傳播不良訊息， 又或未經許可引用別人的作品，侵犯版 權商標等，都可能掀起訴訟。校內用戶 自律之餘，實可以「業餘監察者」的身 分，協助檢舉及防止這類活動。 蔡世彬 簡單的電腦網絡保安守則 1 . 設 防 和 保 持 低 調 爆破者大多沒有充足的時間、運算資源和技術——入侵全球數之不盡的 電腦系統。他們的目標都是容易入手，或看似儲存了寶貴資料的系統。因 此，保持低調和做一點保安工作，足以避免成爲爆破目標。 2 . 慎 選 口 令 口令是進入戶口的鑰匙和身分證，也是電腦保安的關鍵。業餘爆破者會 不厭其煩地猜測你的口令，估計你可能使用的名字和數字，如姓名、出生日 期、車牌號碼、喜愛顏色等；有些更會以英語字典、法語字典、科技專業辭 典、漢語拼音等字庫，經電腦程式來撞破口令。因此，混合英文大、小寫字 母及數字而又沒有多大意思的字串，是最難破解的口令。此外，不定期更改 口令，也是有效手段。 3 . 不 同 户 口 ， 設 不 同 口 令 千萬不可爲了貪方便而採用相同口令進入不同系統平台的戶口。否則， 一旦某個網絡戶口的口令被撞破，所有其他戶口如辦公室局域網戶口、銀行 自動櫃員機戶口、電話轉帳戶口等，都會受到威脅。 4 . 退 出 户 口 才 離 開 就算你有私人辦公室，離開前又上了鎖，都不應讓尙未退出戶口的電腦 開動。任何人只要能接觸這台電腦，都可行使網絡賦予你的權利，但義務和 責任則由你承擔。 5 . 徹 底 清 洗 機 密 資 料 電腦操作系統執行刪除指令時，只會把文件名字從目錄中除掉，文件的 內容仍完整存在磁盤上，直至空間被新的文件佔據。在過渡期，只需用簡單 的工具軟件，便可把已「刪去」的文件「拯救」回來。所以，用戶不應倚靠 操作系統的刪除指令來刪除機密文件，而應採用一些工具軟件，在原來文件 的空間隨機寫上一些數値，以確保該文件不能復原。 6 . 愼 用 公 共 軟 件 應該盡量避免使用來歷不明，或從公共網絡上取得的軟件，它們若帶有 電腦病毒，便會摧毀你的重要資料。 7 . 不 妨 多 疑 浩如煙海的國際網絡上，有很多事情並非我們所能想象。據一些案例披 露，表面沒有甚麼吸引力的大學電腦系統，可以成爲跨國電腦犯罪集團的掩 蔽體；部分盜竊軍事機密的個案，與多所大學的電腦系統遭爆破有關；也曾 有犯案者致電某電腦中心，佯稱是電話公司職員，要測試調制解調器，三言 兩語便從當値操作員騙得系統的口令。總之，心懷不軌者方法層出不窮，凡 事不可掉以輕心。大學同人使用各類資訊系統和網絡時，遇有懷疑，請即時 聯絡電算機服務中心或資訊科技服務處，有關人員樂意與你一同分析各種問 題。 中大通訊 3 第八十二期 一九九六年一月十九日