每次上網睇新聞,或瀏覽相關專頁,隨處見到某公司、機構的資料外洩,駭客入侵,以及釣魚式郵件騙案。面對科技加速進步,HACKING手法層出不窮,公司的IT Department 除了跟進日常的 Desktop 處理外(如不能backup,hang 機,連唔到上Server),更需定時backup 公司資料、更新防火牆和利用行政手段去保護公司所儲的敏感資料,以免外洩。不過,實際操作則因時制宜,因人而異,難有一個固定標準供大家參考。WIL ALLSOPP 所著的《UNAUTHORISED ACCESS》就綜合多個公司的 SECURITY MEASURES,編纂成書,以供大家IT Support 參考。

 

本書分為十一章節。頭三章是介紹 Penetration Test的基本概念、計劃、執行。 Penetration Test 就是一個或一系列,綜合測試,藉不同個案和現行公司架構或裝備,模擬大大小小的入侵,去了解平日的看守漏洞,不管是電腦、網絡系統、甚至平日的公司出入和員工守則。過程通常就是 IT Support 就目前的系統漏洞,擬定一個清晰的計劃,然後主管借出幾部電腦或相關上網裝備如 Hubs 、Switches等等。如果涉及Hacking,利用解brute-force 或其他手段爆入公司某系統,涉及敏感資料,測試者需事先知會上司,然後上司再跟其他部門開會。因為一般公司使用的系統如何操作,有什麼漏洞,IT Support 最為熟悉。如果公司使用的系統,要由公司內部的編寫員設計,則需要簽署保密協議。因為,公司內部的編寫員和IT Support是相對最熟乘公司所用的所有系統,而且對漏洞和敏感資料更為熟悉。測驗中途有資料外洩,測試員和主管會承受不可估計的利益損失,包括他人出賣公司資料或衍生更多惡意收購公司或Big Data Analysis。因此以上三章是尤其重要,可以成為從事 IT Security 專才的參考內容。

 

其他六章就包括常見的入侵手法,如Social Engineering 的身份入侵、Lock Picking—解鎖、Information Gathering、入侵無線通訊和其他裝備。 Hacking 的本質,是借用系統的漏洞,僭越奪權,然後做愛做的事,絕非單單用鍵盤和程式直接入侵公司系統。Penetration Test,就是為了杜絕Hacking而存在,當中行使的計劃和模擬無一不針對公司系統現存的漏洞,包括徵求借用admin帳戶、密碼、申請入職、拍卡系統‥‥‥因公司而異。

 

不過令我印象最深刻,就是Social Engineering 。因為現時不少 Hacking和入侵都只限於電腦和網絡系統。如果謹慎的主管提議不採用電腦系統,改為人手記帳,自然可以杜絕大部份的電腦入侵、資料外洩。因為 Social Engineering 講求自己混入群眾,扮演角色去取得重要資料,然後根據自己目的去破壞群眾信任,令行動失敗。其中一個技巧就是 Pretexting — 假裝自己工作上有困難或帶有技巧的詢問,哄對方提供一些重要資料,然後入侵某重要地方,或行動中途出手阻止。Pretexting 另外一招就是要求對方做個Role-Play,完成自己目的。昨晚睇了一集Discovery 的mind control freaks,講出某女人於餐廳上求旁邊的食客,叫對方假扮是女人的同房,夾好口供,待老闆打電話追問女人時,對方說那女人臥病在床—射波。同樣求人幫忙,請求對方做一個小工作遠比訴說自己目的後再請求更簡單。如是後者,對方多數拒絕。如是前者,就會視乎你的言行舉止。對方感覺良好會幫你。如果兩個人相處之間都有不少你請我求去各有各做,互相欺騙。我不敢想像出來的示威群眾有什麼agenda。

 

最後兩節和附件是制定Security Policy 、慣常行政手法去保障公司私隱及電腦系統以及英美諸歐的相關法律。如果你主張實踐,可看可不看。如果你想深究法律條文、不誠實用電腦或截聽條例,最後兩章和三個附件也值得細讀。

 

設計出來的系統,本來以人為本,方便大眾;前人編寫,後人採用,基於「互信」二字。所有組織,也如是基於「互信」而成立。不過,人的思維和長處有限,設計出來的,總會有漏洞。換個說法,就是依靠群眾信任,理念相近而形成「大台」,十分脆弱。駭客,就是挑戰漏洞,找出錯處去攻擊。即使駭客無心入侵公司系統或混入組織架構,都會因為一兩個惡意攻擊去破壞整個系統和制度,招人話柄。因此,不少駭客找到漏洞,就會有起底、僭越和暗中奪權的可能。不少當權者,會傾向對駭客重罰,唯美國會先重後輕懲罰駭客,然後收買他,成為政府駭客或情報科的一份子。

 

我深信,愈來愈多人,都開始用心學習程式編寫,電腦系統,甚至Hacking 技術。如果此風可長,這個世界的未來,不是地產富商、更不是社運政客,而是駭客的天下。