假如單車鎖的弱點也像軟體漏洞一樣被公開...

ZDNet新聞專區：Elinor Mills 2008/08/04 13:02:02 2004年，一段在網路流傳的影片，示範如何用一支標準的原子筆打開U形的Kryptonite單車鎖。該公司因而回收這些鎖免費替換，然後改變新產品的設計。問題似乎解決了，是嗎？

別那麼確定。僅管同樣的問題早在12年前就被一本英國的單車雜誌揭露，Kryptonite仍繼續生產同樣的鎖。憤怒的消費者在2005年集體控告該公司，最後達成和解，由Kryptonite免費替換新鎖，並賠償那些單車因而失竊的人。BT安全技術長Bruce Schneier表示：「如果不把問題公開，那些公司就不會處理，消費者也繼續購買劣質的東西。」
 
網路上有許多關於破解虛擬安全封鎖、竊取敏感資料的文章，但破解實體鎖逐漸成為許多人熱衷的消遣。他們組成同好團體，定期舉辦比賽。鎖商當然不樂見這種趨勢，他們宣稱公開弱點這種作法，造成民眾不必要的恐慌，並且讓罪犯得以利用這些資訊偷竊。
 
但就像軟體界的第三方弱點揭露，這是迫使製造商承認其產品的安全漏洞、盡快解決，並負起責任的好方法。本身也是開鎖專家的律師Marc Weber Tobias表示：「負責任的揭露對於那些還未上市的新鎖，是好的概念。但對於那些已經加裝在數百萬輛單車上的鎖，沒有幫助。」
 
Tobias將在本週於拉斯維加斯舉行的Defcon駭客會議上，示範如何用假的鑰匙解開Medeco M3鎖。他說：「隱瞞弱點的存在對消費者怎會有好處？Medeco的顧客有權利知道他們的鎖是否會被破壞。」
 
現實世界的駭客總是喜歡挑戰，而傳統的硬體商只肯讓有認證的鎖匠測試他們的產品。在他們的眼中，業餘的開鎖玩家只會降低安全，無法帶來改善。

美國鎖匠協會的立法經理Tim McMullen表示，銷售拆鎖工具的網站在美國是違法的。建築商硬體製造者協會執行經理Ralph Vasami也說：「我們認為，拆鎖是明顯違法的活動，即使只是業餘愛好。」他表示，業界不需要外人指出其產品瑕疵，因為他們有一套完整的制度，創造製造商遵循的新標準。
 
然而，所謂的標準是採自願遵循，且新的安全弱點不一定符合已有的程序。Tobias說，去年他通知該協會某個門栓只要用螺絲起子就能打開，他們的回應是他的方法不在任何標準的定義內。他說：「標準無法保護民眾。」

 
製造商Medeco Security Locks技術經理Clyde Roberson認為，軟體的弱點可以迅速藉由下載修補程式解決，但硬體必須有實際的更換動作，因此不對外公開的原則更重要。他說：「每個人都有責任不去公開可能傷害別人，且他們無力改變的事情。」
 
但這種「透過隱匿的安全」，錯誤地假設隱瞞安全問題就能保護使用者。BT的Schneier說：「這種假設的前提是罪犯不知道。罪犯都知道怎麼拆鎖…保密只是不讓消費者知道事實。」
 
他表示：「拆鎖界基本上就像一種同樣公會…不對外傳遞的特定領域的秘密知識，不像電腦安全一直是建立在公開的知識上。」

製鎖業不是唯一飽受這項困擾的硬體商。投票機製造商Sequoia也被安全研究員威脅要拆解、分析他們的產品。更近的一個例子是飛利浦半導體（Philips Semiconductor）分出的NXP主動控告一所荷蘭大學，阻止他們公開其Mifare Classic無線智慧卡晶片的安全瑕疵。這項產品是用在全球的無線資料傳輸和基地台系統建設。法官在本月初判決，禁止公開有違研究人員的言論自由權，且妨礙重要的研究。

 
Tobias說：「民眾有知的權利。讓他們根據產品的安全程度，評估自己所需的保障。」言過其實地宣傳硬體產品，製造商和使用的公司都必須對其顧客的資產安全，承擔法律責任。
 
Schneier表示，由於荷蘭大學發現了安全缺失，西門子公司已決定更換30萬張使用Mifare Classic晶片的無線網卡。（陳智文譯）