駭客入侵誰之過?
David Coursey著•陳奭璁譯
07/02/2002
電腦遭入侵,軟體製造商應負較大責任嗎?美國國家科學院上月在發表的安全論文中認為的確應該如此。但我認為這批國家菁英可能還沒真的搞懂問題癥結。
首先,我想先釐清一件事:我不瞭解為何我必須購買防毒軟體或保全軟體,我這麼說並非有意貶低製造這些產品的廠商,相反地,我還覺得McAfee,或是諾頓的表現非常優異。
但若這些軟體的功能只是保護我的系統不會因微軟作業系統、技術或應用程式的漏洞遭到駭客、病毒入侵,為何微軟不能免費提供這些保護措施呢?或者乾脆明訂一套訂閱標準,提供定期系統更新與升級?
說實在的,每次發生安全問題時,微軟的確都能提供修補程式,且反應速度相當快,同樣地,防毒廠商的速度也不惶多讓,往往早上病毒現身,下午就已經有解毒程式了。(真不曉得他們為何能如此神通廣大?)
不過若使用者沒自動下載修補程式,一切也都是白談。這我之前已經提過,但若你有執行Windows Update,微軟便能自動將你所需的修補檔寄給你。但這樣還是比不上防毒軟體,這已經成了每架電腦的最基本保護配備,而這些軟體也都有提供自動下載功能。
但若你的電腦因病毒入侵導致你一整天沒法子工作,難道軟體公司不需負點責任嗎?以現行法律體制而言,很難。Tech Update專欄作家David Berlind認為最有效的方式是透過立法(增加軟體商的責任)與喚起使用者意識。他的論點是若軟體公司被告的門檻低些,他們便會比較謹慎,而消費者若一開始便能選擇不那麼「脆弱」的軟體,他們壓力會更大。
上述第二個論點的問題出在如此一來你可能會喪失許多微軟標準,比如消費者使用較開放的POP3或IMAP當作電子郵件軟體,那麼你很可能就無法使用Outlook中的行事曆與聯絡人管理功能,且軟體漏洞問題依然沒解決,雖然Berlink說得沒錯,使用者會有更多選擇使用較不容易被破解的軟體。
若你再深入一層思考,此一論點又似乎回到原點。例如,小公司會有迅速修復軟體的能力嗎?若不是微軟產品,駭客還會同樣有興趣破解嗎?若碰上那些純粹就是要竊取資料、不管你使用何種系統的駭客呢?
另一位華盛頓時報電腦專欄作家Mark Kellner的看法則較為保守,他認為唯有透過市場機制而非法律才能改善電腦安全問題。
為了強化他的論點,Kellner只舉出微軟目前正在作的事(繼大老闆比爾蓋茲1月15日發表「可供信賴的電腦運算」內部文件後):訓練程式設計師寫出更安全的程式碼。
我的看法呢?我是覺得兩者都需要。而這也是國家科學院說法太過廣泛之處。產品出了問題,軟體公司的確應該多負點責任,但把責任歸屬劃分得一清二楚卻又會產生問題。假設來說,微軟應該為所有桌上型電腦當機負責,果真如此,那微軟是否可以決定你桌上型電腦應執行何種軟體,尤其是驅動程式呢?你應該看得懂我的意思。
另外,決定損壞範圍大小也是一件難事。我曾提過,駭客所造成的損害往往很大,因此也需要接受嚴厲制裁,但實際金額卻是無以估算。
若客戶電子郵件系統遭病毒入侵,軟體商是否要負責賠償當天無法工作的損失呢?這好像有點像有強盜闖入你家,把你殺了,結果卻要建商負責一樣。即使談保護也有其限度啊。
那究竟要做到什麼樣的程度才夠?而在自由與安全之間的尺度又如何拿捏?這才是我們大家都需要關切的議題,而這當然不僅限於軟體而已。
若刑責增加了,那麼研發週期是否會變長呢?有位航空界的執行長曾跟我說,若政府訂的罰款夠嚴苛,他可拍胸脯保證絕不會再有行李遺失或延誤的事情發生。乘客得更早抵達,裝行李得花上兩個鐘頭,卸下行李又兩個鐘頭,機票價格變貴了,雖然問題解決了,但其解決手段卻比問題本身付出更多代價。
但另一方面,即使連比爾蓋茲都說,微軟以前不曾把這項責任當作公司首要議題看待,現在則不同,這已經成了微軟的頭要目標。雖然這樣我還是無法從微軟得到免費的防毒軟體,但至少未來我用的軟體應該會比現在安全些。
 |
回覆時引用此文章
書籤