2008年8月12日 星期二

黑客術討論不應受到妨礙

在8月初人人注視北京奧運之時,世界各國的黑客高手,卻雲集美國拉斯維加斯 Defcon,就最新的黑客技術作出切磋。不過,在今年的 Defcon 其中一場演講會,由於涉及三位麻省理工學生講解如何破解 NXP(前身飛利浦半導體)MiFare 非接觸式智能卡加密技術,令他們可以在波士頓的地鐵系統橫行。麻省公共交通管理局入稟美國聯邦法院申請禁制令,禁止這三名黑客示範如何破解波士頓的地鐵系統,甚至提供相關的軟件程式。黑客以及一向捍衛言論自由的 Electronic Frontier Foundation,很快會與麻省當局爆發一場法律攻防戰。

  一如筆者在上月分析非接觸式智能卡票務系統保安問題所述,Mifare Classic 加密技術被破解,有如出現印製偽鈔的情況。由於現在未有案例處理「印製電子偽鈔」技術的情況,因此,這場涉及《美國憲法》第一修正條款(The First Amendment)的官司,對其他國家有相當的啟發性。

黑客有正面功能

  當然,以麻省當局,以至世界各地的鐵路公司的立場而言,他們不想這三名黑客界高手公開破解地鐵票務系統的方法,這個要求並非沒有道理,因為一旦有關資料掌握在不法之徒手上,就有可能迅速有大量偽造智能卡流入票務系統,甚至零售系統之內,所造成的損失不可想像。

  但問題在於 Mifare Classic 並非只用於波士頓地鐵的票務系統,也應用於多個國家的政府人事管理系統,以及多個主要地鐵系統的票務系統,現在這些機構知道 Mifare Classic 的加密系統有漏洞,但他們不知漏洞是什麼,亦無從評估他們如何部署軟件升級,甚至整個智能卡系統的升級。

  麻省當局的做法,符合波士頓地鐵系統的利益,但肯定不符合 Mifare Classic 其他用家的利益。

  另一方面,麻省當局的做法會否對學術自由以至新聞自由構成妨礙也是一大問題。就學術自由而言,其他 RFID 研究者一定有興趣知道現存技術有何漏洞,然後加以改進。雖然麻省理工學院學生報不理會法院頒令,已經將相關技術的簡報放上互聯網,但有些技術細節需要透過一對一討論才知道,這已經是對學術自由的一大妨礙。

  剛才筆者提到,麻省理工學院學生報擺明挑戰法律,將簡報內容放上網,大家如果不看這三名黑客的簡報內容,都不知 Mifare Classic 居然弱得只用 48bits 加密鑰加密,換言之,以現有電腦技術水平,要突破 Mifare Classic 的保安系統易如反掌,這情況公眾需要有知情權。

促進電腦技術改進

  如果一些系統漏洞,根本涉及人為錯誤,以及政策醜聞,如果這次法院可以用保安為理由,禁止有關消息內容在傳媒上出現,這樣會對公眾知情權的傷害。一如在 DeCSS 的情況,黑客總有辦法把破解方法相互交流,但公眾不知情的情況下,還誤以為系統的安全的,實際上損害了公眾利益。

  因此,在兩害取其輕的情況下,當局不宜動輒禁止黑客公開發表最新的黑客技術,事實上,在 Defcon 上公布總好過像日本的 SHARE 般,由不知什麼怪途徑公布,當局與黑客們玩貓捉老鼠遊戲,最終受損的還是公眾。

  麻省理工學院三名黑客提供的資料顯示,第一代非接觸式智能卡的加密技術太差,現在有一粒 Core 2 Duo Extreme CPU 的電腦,已經能執行破解任務有餘。似乎這三名黑客亦告訴我們,世界各國的地鐵應該投資金錢,將整個票務系統保安程度好好升級。

沒有留言: