Hacker與Cracker
Wednesday, September 20, 2006, 14:47 - 資訊電腦, 資訊安全
很多英文名詞一翻譯成中文之後,意思就常常被弄擰了,或是把不同的事情混為一台,駭客(Hacker)這個詞就是一個例子。根據The Jargon File對「hacker」(駭客)一詞下的定義,駭客指的是能很快適應新技術、善於解決問題、勇於克服困難的高手。

但現在還有另一種人也被稱為或自稱為「駭客」,但其實不是。這些人擅於入侵別人的電腦與電話系統。真正的駭客稱這些人為Cracker。國內似乎一直沒有對Cracker這個詞有個比較好的翻譯,於是Hacker與Cracker都被稱為駭客了。倒是大陸對於Cracker的翻譯蠻值得參考的,大陸上將Cracker翻譯成為「黑客」。所以黑客和駭客根本的區別是:黑客們建設,而駭客們破壞。

根據New Hacker's Dictionary的作者Eric S. Raymond在1996所發表的What is a hacker?一文中的定義,駭客必須完全體會並反覆實踐五件事情:

1. 世界充滿有待解決的新奇問題
成為駭客的過程充滿樂趣,但是這種樂趣是大量努力換來的,而努力需要動機。成功運動明星的動機,在於達成目標後,身體所獲致的生理滿足;這促使他們不斷嘗試超越自己的體能極限。同樣的道理,要成為駭客,你必須懂得享受解決問題之後的成就感,並以此為磨練技巧、訓練心智的基本動機。

如果你天生就不是能感受這種動機的人,那麼,你必須想辦法訓練自己成為這種人,唯有如此才能成為駭客。否則,你會發現你的研究熱誠會被其它誘惑摧毀殆盡,像是性、金錢、與社會地位。

(你也必須培養對自己學習能力的信心。你必須相信,即使不知道解決問題所需的全部知識,但如果能搞定其中一部份並從中學習,你將有足夠的線索解決下一個部份,持續下去,直到完全搞定。)

2. 沒有問題應該被解決兩次
有創意的大腦,是有限的珍貴資源,當你有許多新奇問題等待解決時,不應該將浪費腦力去重新發明輪子。

要成為駭客,你必須相信其他駭客的思考時間也非常可貴,懂得利用別人的成就來解決新問題,而不要反覆地重新解決舊問題。相對地,在你解決問題之後,公開解法,與別人分享心得,是你的道義責任。如果你的成就是建立在別人的基礎上,那麼,你的成就也應該成為別人的基礎。

(你可以不認同你有義務奉獻你全部的創意成就,雖然正牌駭客確實會這樣做,並以此贏得其他駭客的尊敬。所有人都一樣,銷售你的創意產品,使你能養活你自己、房屋、與電腦,並不違背駭客價值。運用你的駭客技術來養家活口,或甚至致富,很好。但是在你收取權利金時,別忘記遵守駭客守則。)

3. 無聊與苦工是罪惡
駭客(以及一般有創意的人們)不應該無聊到做一些愚蠢的重覆性工作。因為發生這種事情時,表示他們不是正在做他們唯一應該做的事 - 解決新問題。對任何人而言,做苦工絕對是浪費精力。因此,無聊與苦工不只是令人不悅,實際上還是一種罪惡。

要成為有格調的駭客,你必須深信,任何無聊事都可以被自動化,這不僅解決你的問題,也幫所有其他人(特別是其他駭客)找到解脫。

(凡事都有例外,包括做苦工。駭客們有時候也會做一些似乎是重覆性的工作,或是旁人認為窮極無聊的舉動,但是他們可能是在琢磨練習,理清思路,體驗不親自動手無法理解的經驗。然而,這是個人的選擇,沒有人應該被迫體驗無聊。)

4. 自由至上
反威權主義(anti-authoritarian)是駭客的天性。如果有任何人能夠以威權手段命令你,迫使你停止解決你認為非常有意義的問題,他們通常會發現這樣做實在很蠢。所以,每當你發現威權心態,就必須使其成為過去,以免讓這種要不得的心態扼殺你 - 以及其他駭客。

(這不同於反抗所有權威(authority),畢竟兒童必須受到引導,而罪犯也必須受到拘束。如果遵守命令所付出的代價,確實可以讓駭客得到更多收穫,那麼駭客或許會願意接受某種形式的權威,但這是極限、理性的妥協。那種要求人性服從的威權主義,所要的不是貢獻。威權主義盛行於風紀與保密人員。他們不相信「自願合作」與「資訊分享」這種事,他們只喜歡他們能夠控制的「合作」。因此,要成為駭客,你必須對幾種人培養戒心,包括考紀人員、保密人員、有暴力傾向的人、以及意圖欺瞞操縱要員的人。而且你必須願意為信仰付諸行動。)

5. 心態是無可替代的才華
要成為駭客,你必須培養某些心態。但是單獨養成一種心態,並不能使你成為駭客,任何比這更多的美德,將使你成為冠軍選手或搖滾巨星。要成為一位駭客,需要用智慧、練習、奉獻與努力工作的代價去換得。

因此,你必須學會懷疑心態,並尊重每一種才華。駭客不會浪費提問人的時間,他們崇拜才華 - 特別是 hacking(解決問題)的才華。普遍來講,任何種類的才華都是好的;只有少數人才有的特殊才華,只能算是好的才華。涉及敏銳心智、技藝、專業、專注的實務技能,是最好的才華。

如果你敬重才華,那麼,在你自己培養才華的過程中,將會享受到無比的樂趣。努力與奉獻會成為一種玩樂,而不是做苦工。心態對於駭客的養成至關重要。

[參考資料:Linux Server Hacks 駭客一百招]

[ 發表回應 ]   |  permalink
不能看書就聽書吧
Tuesday, September 19, 2006, 23:27 - 資訊電腦, 管理自修筆記
昨天的blog提到唸書是二十四小時都可以做的,不過有很多零碎的時間還是沒有辦法看書。比如說開車的時候,或走路行動的時候,這種情況底下大概只剩下聽覺還可以用。以前還在唸研究所的時候,我常把喜歡的英語電影或影集的對話轉到音樂CD上,這樣開車的時候就可以訓練自己的英語聽力。現在iPod、MP3 Player甚至是手機都可以聽MP3了,所以連走路或坐捷運的時候,都可以利用這些零碎的時間來「聽書」。

比如說我最近在PageOne看到Thomas Friedman的The World Is Flat有聲書,我一直沒有時間看這本書,於是我就決定買有聲書,利用行動的零碎時間來聽這本書。不過這個有聲書是音樂CD的格式,要用我的SmartPhone來聽MP3就先做格式的轉換。以前我都是用Loop Recorder這個軟體來轉檔。這個軟體的優點是它可以把電腦裡的任何音源信號,用錄音的方法轉成MP3或WMV檔。不過你必須把每個音樂CD從頭到尾播一次來錄音,所以轉檔的時間很長。


Loop Recorder可以選取電腦裡的任何音源信號錄音轉換成MP3


而The World Is Flat有聲書總共有15張CD,每一張這樣錄音轉檔大概會瘋掉。所以我是用FreeRIP這個能夠把audio CD快速轉成MP3的軟體。這個FreeRIP是Freeware,所以不用任何的費用便可以使用。


FreeRIP可以選取audio CD的任何音軌快速轉換成MP3



[ 發表回應 ]   |  permalink
唸書是二十四小時都可以做的
Monday, September 18, 2006, 13:30 - 管理自修筆記
今天的自由時報頭版刊了一則相當值得學習的新聞。台電線路維修員出身、現年六十二歲的台電台中供電區處線路課課長王建良,年輕的時候因為負擔家計,所以高職肄業就出社會工作。進入台電之後,王建良把握每一個可以唸書的零碎時間。即便線路維修的工作是全天候待命,但在這麼辛苦的工作中,王課長還是把握「唸書是二十四小時都可以做的」理念,妥善運用時間,當中午吃完便當,其他同事都在休息時,他在唸書;書本太厚了、不方便隨身攜帶,王課長就把書本拆成四、五小本,塞在褲子後方口袋,一得閒就拿出來唸,等到全部唸完了再裝訂回去。

他先利用晚上時間完成高中學業,再花兩年、在他三十歲時考上逢甲大學電子計算機科學系夜間部。雖然後來因工作中斷了大學學業,但他仍到各校修學分。最後,王課長完成一百四十多個學分,並利用淡江大學與美國明尼蘇達州聖湯瑪斯大學建教合作的關係,爭取赴美就讀國際管理所的機會。經過兩年留學苦讀,拿到碩士學位。七年前,五十五歲的王建良考上淡江大學管理科學研究所博士班,成為班上年紀最長的學生。他本來在兩年內就已經修完學分,正準備開始寫畢業論文,但因為九二一大地震,王課長總共花費七年時間才取得博士學位。王課長花了人生的30多年,用自己的毅力圓了年輕未能完成的夢。

我想這個故事對上班族來說是很值得思考的。我常在工作上看到,當一個工作被指派給被動的人時,他會有一堆的藉口,其中一個就是他不會,他沒有受過訓練,公司有責任把他教會,不論這個工作有多簡單。其實工作上很多實際的問題不是受訓就能夠學會的,很多時候受訓學到的只有一點皮毛,唯有靠工作上不斷的自我要求,再輔以不斷的自我學習,才能夠把工作真的做到卓越。如果秉持著「自修是二十四小時都可以做的」,相信很多時候你都能夠讓你的老闆刮目相看,讓他突然發現你的能力竟然是超出他的想像,而願意讓你承擔更多的責任。

[ 1 回應 ] ( 19預覽 )   |  permalink
美國Cyber Storm檢討報告
Monday, September 18, 2006, 00:24 - 資訊電腦, 資訊安全
美國國土安全部的國家網路安全辦公室(National Cyber Security Division, NCSD)在今年2月6日到10日舉行了國家網路演習(National Cyber Exercise)─網路風暴(Cyber Storm)。這個演練是第一次美國政府主導的大規模網路安全演習。

根據國土安全部最近發表的一份報告指出,經過這場演練,發現了八個主要與參與演練的單位有影響的發現。

  1. 跨機關協調。雖然在這次演練中跨機關事件管理小組(Interagency Incident Management Group, IIMG)與國家網路應變協調小組(National Cyber Response Coordination Group, NCRCG)被啟動且有建設性的互動,但其作業與協調程序仍需要更進一步精煉。政府機關與民間單位內部對啟動這些單位的門檻或縱橫交錯應有更廣泛的了解以便改善跨機關的協調。
  2. 緊急應變計畫、風險評估與角色及責任。正式的緊急應變計畫、風險評估與角色責任定義在整個網路事故應變社群中應持續強化。現有的程序應讓參與者清楚與徹底了解,讓應變能即時並妥適的協調。
  3. 政府及非官方多重事故的關聯性。遍及多個基礎建設與政府及非官方部門的多重事故之關聯性仍然是一個重要的挑戰。網路事故應變社群過去在處理單一的威脅/攻擊上很有效,而對多重威脅/攻擊也一定程度有效。然而大部分的事故都被當作單一與獨立的事件來處理。當要嘗試去發展一個整合的情境認知圖像及結合跨領域與攻擊方式影響評估時仍存在有許多挑戰。
  4. 訓練與演習方案。一個建立完備的訓練及演習方案將能夠強化組織對網路事故應變、角色、政策及程序的認知。
  5. 網路事故(cyber incident)間的協調。隨著網路事件(cyber event)的數目不斷增加,應變協調越來越有挑戰性。這也突顯出跨越整個共同體(community)間合作與溝通的重要性。
  6. 應變與資訊存取的共通架構。應有一個同步的、連續的資訊流讓網路事件關係人可隨手可得,以便創造出一個可以隨著應變及衝擊而發展與討論的共通架構。早期與進行中的資訊存取強化了國內及國際網路應變共同體的資訊分享關係。
  7. 策略性的通訊與公眾關係計畫。向公眾發佈的訊息必須是共同合作的應變計畫(ollaborated contingency plan)與事件反應中整合的一部分,以便提供關鍵的資訊給應變的共同體,並強化大眾在特定的狀況下採取適當的個人保護或應變行動。
  8. 程序、工具與科技的改善。改善的程序、工具與科技 ─ 針對網路攻擊情節對於實體的、經濟的與國家安全影響的分析與優先排序 ─ 能夠加強應變的品質、速度與協調性。這在整合或聯串的攻擊或推論的例子中特別真切。
Cyber Storm Exercise Report

[ 發表回應 ]   |  permalink
看「全世界都在看」的新聞
Friday, September 15, 2006, 10:39 - 資訊電腦, 網際網路
「自己也需要整合」一文中提到要培養知能整合能力的一個要點是要養成用心聆聽的習慣與能力,不過除了聆聽同儕的想法外,如果能「聆聽」全球同一個領域的人認為值得關注的新聞,我想對於整合自己形成更高層次的知識或觀點是很有幫助的。目前有一個叫做digg.com的網站,就是透過匯集群眾的智慧,讓廣大的用戶來決定新聞是否newsworthy。

簡單的說,digg.com是透過兩道集體過濾的機制(collective filtering)來達到集體推薦的效果。首先每天都會有特別熱情的會員,從全球發生的新聞中digg(挖掘)出他們認為值得推薦的文章,這是第一道過濾。第二道過濾的機制是由digg.com的註冊會員投票給自己喜歡的新聞,愈受歡迎的新聞,就會被移到愈醒目的區域。

很巧合的,這樣的機制與現在Web 2.0的趨勢是不謀而合的。過去各大入口網站的新聞網,都要仰賴經驗豐富的編輯,從廣大的新聞來源中,替讀者篩選出值得閱讀的素材,但digg.com遵從Web2.0服務供應商只提供平台這樣的原則,不聘用任何編審人員,由網際網路的使用者共同創造所有的content。這樣的做法似乎相當的不錯,比如說我今天在digg.com的Technology/Security分類中看到,排名第二的是"Great anti RFID site",連進去之後發現有相當多的RFID資料值得參考。但到google去查,如果不知道怎麼查,很可能並不容易發現這樣的網站。因此某種程度來說,這個網站也符合「自己也需要整合」中提到的第三個要點:努力以這些知識為基礎,形成更高層次的知識或觀點,而且是站在廣大網際網路群眾形成的巨大肩膀上去提升自己的觀點層次。

[參考資料:Intelligent Times, 2006/8, pp.24-27]

[ 發表回應 ]   |  permalink

前一頁 下一頁