我的資訊兩三事

駭客(Hacker)這個名詞在原本的定義是指對於系統非常熟悉的電腦高手，是很正面的一個名詞，但後來有些駭客用了這些技術進行牟利等等行為，導致駭客這個名詞有點像是資訊安全的破壞者，其實這與現實有很大的差距。 駭客(Hacker)指的是很熟悉系統原理並且可以由系統中找出可能的漏洞的人，他們找出漏洞的目的並不是破壞而是要修補，因此駭客其實是系統資訊安全的維護者，他們不斷使用自己的專業能力找出系統的可能漏洞並且提供修補建議給系統廠商，這些廠商可能是賣商業軟體的廠商，也可能是Open Source的維護組織，尤其對於Open Source組織而言，這些駭客的貢獻是讓這些軟體系統更加穩定的重要功臣。 那資安破壞者算是駭客嗎？從定義上來看，他也算是一種駭客，但我們經常會給他們另一個名字，叫做Cracker，當然也有更多的各種名字被定義，但我看到比較常被使用的就是Cracker，或者直接叫他黑帽駭客。 黑帽？駭客戴帽子？其實這是一種常被使用的比喻方式，白帽是比較正統的一方，他的目的是要讓更好的目標達成，反之，黑帽就是要從事各種破壞目的，那有中間的嗎？我們一般稱之為灰帽，就是遊走在灰色地帶，他不對系統做出破壞，但可能用這些漏洞從事一些只對自己有利的事情。我們整理一下這三種駭客的差異 白帽駭客(Whitehat Hacker): 透過正規方法發現並起提供安全漏洞的解決方案 灰帽駭客(Greyhat Hacker): 透過灰色地帶的技術達成某些特定目的 黑帽駭客(Blackhat Hacker): 透過非法手段達到破壞之目的，一般稱之為Cracker(黑客)，也就是資訊犯罪者 因此，駭客有分很多種，並不一定是不好的名詞代表，未來有機會再來做更多的說明。

The Social Dilemma是Netflix近期的一部原創紀錄片，他找了幾位Google/FB/IG等等企業的前員工講述社群軟體造成的一些負面影響，這裡面確實不無道哩，但總是一面之詞，不一定全面性，而且這些人在最後也提到了，這並不代表社群軟體的未來就是地獄，而是由使用者與開發者共同決定他的走向，在社群軟體中的種種設計是否符合道德考量等等，都是很值得我們深深思考的。 這些年來社群軟體帶來的影響是非常強烈的，我們不再需要與人溝通就可以在網路上取得各種不同的資訊，但在一些商業考量之下，其實你要思考的是，你得到的資訊是否是正確的，網路上的假資訊傳遞速度遠高於正確資訊，而且有許多人經常會以為你得到的假資訊是真實世界的現實，但這其實是AI設計邏輯造成的，當初AI的設計並不是源自於惡的意念，反而是善的意念是最主要的，但在整個商業操作下，你經常會發現自己不管在Google還是臉書上都可以輕易得到符合自己觀點的資訊，也就是讓你活在特定的同溫層之中，這是如何造成的？ 主要問題在於你看到的許多資訊是廣告商想要提供給你的，這些廣告商會指定目標客群，例如年齡、喜好等等條件，因此你經常會發現，在Google和臉書的廣告大都就是你想要的資訊，並且吸引你點進去看，甚至進行採購，這就是廣告市場無意之間造成的特殊現象，在這樣的現象下，客戶就是商品，而購買者就是廣告商。 然而當你搜尋同一個關鍵字，你得到得結果並不一定與別人相同，而是背後的AI引擎透過一些個人資訊判斷如何顯示最接近你想要的答案，但這並不會太明顯地出現在您的搜尋結果，而是一步一步漸漸地發生，因為當你得到的資訊和別人差異太大，很容易在言談之中被發現，但如果Google的一頁搜尋結果有一到兩則結果被廣告取代了，那你可能不會有太大的感覺。 這時候，我們應該要發現一個事情，就是你的各種習慣等等參數為何會被Google和臉書知道了？這代表它們有在蒐集我們的個資嗎？這個答案其實非常明顯，是的，它們隨時隨地在收集我們的個資，而且我們在不知不覺之下也在他們的個資宣告中同意他們收集個資，但收集個資是好還是壞，其實個把兩面刃。 我們提供了部分個資其實讓我們的生活產生了許多便利，我們可以在這些基本資訊的基礎下更精確地找到我們想要的資料，但Google與臉書收集的個資範圍有多大，這就有賴這些社群媒體公司的內部管理機制來制衡，我們並無法有太多介入。 那，未來呢？我們的個資是否真的不值錢，其實這也是政府要去思考的問題，是否可以在個資法的進一步考量下讓更多的個資免於濫用，這個要逐漸形成一個全體共識，如果這個全體共識不存在，社群媒體公司就只會在他們自己的商業考量下做出一個平衡點。 影片的結論是，雖然社群軟體對於現代生活造成極大的影響，但不代表他只會走向不好的地方，如上面說的，要走向天堂或地獄是由使用者與服務提供商共同制衡以得到一個好的結果，因此也不用太過悲觀，但他們有一些建議我覺得也可以提供給大家。 試著有更多時間放下手機，去跟人真實溝通，去跟真正的世界進行交流 在手機上將一些不重要的資訊通知關閉，因為我們經常會被手機上許多無關緊要的資訊吸引注意力，讓我們放下手邊真正重要的事情去把手機拿起來看，也常常發現這個訊息大部分都是無關緊要的 常常省思你拿到的資訊是否是正確的，要有效率地過濾假消息，讓自己走出同溫層，紀錄片中有個小建議是要去訂閱一些跟你不同理念的人的頻道，這樣你才會在這些頻道中知道跟你不在同一個同溫層的人在想甚麼 不要讓系統幫你挑選建議資訊，要自己選擇資訊，例如Youtube的建議影片不一定是你應該去看的，應該是多看看非建議的影片，也許建議的影片只是廣告商希望你看的垃圾資訊 總之，過濾資訊是很重要的一件事情，不要被不正確的資訊影響了自己的世界觀，影片中有個比較極端的例子，就是有一位NBA球星公開說地球是平的，但當他接收到一些比較正統的資訊時才發現地球是圓的，因為他在Youtube上看到了許多影片在說，地球是平的，這些影片都是Youtube推薦給他的。 是的，隨時多點思考，試著自己選擇！ 想看這部影片可以到參考他的官網: https://www.thesocialdilemma.com/

常常我們在軟體標案的答標上，經常會包含一份點對點(Point to Point response, PxP)的答覆，它代表在RFP(Request for Proposal)上每一條需求的符合度說明，客戶當然希望每一條都是FC(Fully Comply)，也就是『遵照辦理』，但事實上我們常常會因為這個字導致無窮盡的開發拖延，因為我們與客戶對於同一句話的認定通常會差上十萬八千里。 點對點答覆有幾種回答方式 FC = Fully Comply = 遵照辦理 : 這代表這一條文字不管客戶如何解釋我都要無條件達成，這是很沉重的答覆，等同於客戶可以自行解釋這一條條文，廠商一般很不願意這樣落，但客戶經常會說你不這樣承諾，你就無法參與這個標案，當然，也有不少廠商為了搶案子，會先通通答應，以後再說，這樣的狀況經常導致雙輸 PC = Partial Comply = Fully Comply with Comment: 這代表我符合，但我有但書，不管是正面表列還是負面表列，我要宣告某些特定狀態下我無法符合要求，這是比較符合雙方利益的寫法，但客戶比較不喜歡這種被限制住的回覆方式，通常會要求你將限制縮小或者改成FC NC = Not Comply: 代表這一點我做不到，客戶最不喜歡這個，但在軟體工程角度，如果你不行，一定要說你不行，不然影響的層面會非常大，也經常導致專案無法正常驗收 雖然上面這幾種方式都可以用來進行點對點答覆，但最常被要求的就是全部都要答覆"遵照辦理"，但這對於整個專案的執行與驗收經常造成很高的障礙，但甚麼是正確答案，還是需要因時因地制宜，儘量以PC方式來回應，可以的話儘量正面表列，將自己可以達成的功能寫清楚，尤其是大型的客製化專案，以上給大家參考。

一般客戶要求做掃描大多只會要求黑箱與白箱掃描兩種，所謂黑箱指的是不看Source Code，由外部試圖找到弱點，白箱則是直接掃描Source Code(原始碼)，那甚麼是弱點掃描和滲透測試？那是最常被使用來偵測系統安全的黑箱掃描方法，以下也會一一介紹。 白箱掃描(原始碼掃描) 白箱會找到Source Code的安全問題，如果你賣的是軟體產品，一般都不會提供產品部份的Source Code，但如果是產品上有做客製化，一般的慣例還是要提供客製化部分的Source Code，這就是一般白箱會有的範圍，掃描的工具上，大家常會聽到的Micro Focus Fortify以及IBM Security AppScan這兩個是最常被使用的商業軟體，雖然功能強大，但價格也非常驚人，一套幾乎都是七位數台幣起跳，因此也有免費且功能不輸給這些軟體的免費方案，最常被使用的大概就是SonarQube，雖然說是免費方案，SonarQube一點也不輸商業軟體，而且免費方案(Community Version)其實僅支援部分程式語言，某些語言還是要買授權才能使用，但免費的PHP/Java/C#幾乎就可以用來處理大部分的白箱掃描了。 弱點掃描 黑箱掃描的話就如前面說的有分成弱點掃描和滲透測試，弱點掃描主要是透過自動工具偵測作業系統與軟體系統的明顯弱點，這些弱點比較容易被發掘，指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點，而這些弱點都會在最短時間內被修正，弱點掃描軟體也不少，包括上面提到的Fortify和AppScan其實都有弱點掃描工具，純弱點掃描比較常被用的商業軟體是Nexpose，Nexpose算是比較親民的價格，但也是要六位數台幣，因此免費軟體當然也要介紹一下，我所知道的有ZAP, OpenVAS, Nessus等等，這些都是免費但很好用的免費軟體，其實功能並不會差商業軟體太多。 OWASP Top 10 這時候我們就要提到OWASP Top 10了，這是OWASP組織每幾年就會公布的全球前十大弱點清單，裡面包含黑箱與白箱弱點，但以黑箱為主，這些清單都是弱點掃描的主要標的，OWASP Top 10目前最新的是2017年版。 滲透測試 那滲透測試呢？他與弱點掃描一樣是由外部這個黑盒子去找出問題，但他用的不是工具，而是找到專業的駭客(Hacker)來嘗試攻破你的系統，透過其經驗可以找到許多自動軟體找不到弱點，甚至透過駭客手法破壞你的軟體系統，因此滲透測試可以找到的弱點比弱點掃描找到得更多，當然滲透測試也有所謂自動商業軟體(Fortify,AppScan,Rapid7都還是有商業版本的滲透測試，成效也是看實際狀況)，但真正的問題大都還是由人來找出。 以上給大家參考比較。

台灣比較常見的金流大概就是所謂的紅、藍、綠三大廠商，也就是藍新、紅陽與綠界，這三家各有擅長，但近年各家金流如雨後春筍出現，包括歐付寶、萬事達等等，甚至Apple Pay, Line Pay, Google Pay, Samsung Pay都成為獨立的金流平台，這麼多平台中，我比較常碰到的就是藍新和綠界，以下我將藍新與綠界做個比較，給大家參考，有時間再來比較其他廠商 不過另外有找到一篇比較也蠻詳細的，可以給大家參考，點我