與駭客交手

■ 李嘉澍

媒體報導臺中縣華盛頓中學洪姓學生被調查局中機組帶回偵訊，筆者一點都不意外。從報上得知，中機組是依據遭入侵公司的防火牆紀錄循線逮捕洪姓學生，殊不知網路設備的ＩＰ是非常容易變造冒用的；如果連洪姓學生慣用的帳號「ＩＫ」都會報導訛傳成「ＯＫ」，那各單位所蒐集資訊安全資料的可信度以及起訴的依據，實在值得商榷。

上月底聖誕節時，學校網站遭到入侵，因此筆者抱著研究和學習的態度，前往國際知名、在臺灣排名三大之一的臺灣資訊安全網站「如梭」。在哪裡，筆者獲得網友們的幫助，把學校網站的安全漏洞一一修補，並將修補步驟詳述於專文，函請臺北市教育網路中心轉送其他學校單位系統管理師。

資訊業務人員遇到像筆者這樣網站遭到入侵的事件，大多數的人會報持憤怒的態度，並採取一些「因噎廢食」的解決方案。事實上，資訊安全漏洞確實存在，管理人員若是只從管理和維護的角度去瞭解資安細節，而不從入侵和攻擊的角度去探索資安問題，這樣是十分可惜。「犯罪心理學」的討論，在資安領域一樣需要重視。

剛開始，對於網站遭到入侵，筆者也經歷過「憤怒」的心路歷程；但是現在不得不對他們（那些只入侵、不修改或刪除資料的真正優質駭客）報以感激和一絲絲的敬意，因為有他們，筆者才不至於成為「井底之蛙」，而他們也實質上幫助了筆者提昇學校網站安全性。

凡事都有兩面評價，駭客也是一樣。我們是應該正面積極的從駭客的立場、駭客的技術和駭客的思維，來學習如何增強自身的資訊安全能力；還是選擇繼續作「井底之蛙」、「因噎廢食」、「故步自封」每天裝無辜、過著自以為是太平日子的系統管理師？

當中國已經成立資訊專業作戰部隊、而國際駭客組織行之有年的時刻，我們是否可以考慮為這些實質上非常有技術和能力的人，提供一個正面有助於國家資訊安全的政策（不是只是單純的架個網路論壇）和發揮的機會，讓他們能夠無私的貢獻自己的技術和能力，以提昇的正向立場來增進國家的資訊安全？（筆者為臺北市萬芳國小網路管理師）