字體:小 中 大 | |
|
|
2009/10/25 14:48:18瀏覽484|回應0|推薦3 | |
悠悠卡在運輸業素負盛名,國內外許多大眾捷運的感應卡系統市場都被它獨佔。一卡在手,付費上車,快捷方便,其樂悠悠。近日來更將應用擴展到儲值卡和電子錢包,儼然成為現代市民生活必需品之一。 不幸的是,這套系統網卡的加解密方式,近來不斷地被世界各知名大學的科技系學生破解,他們號稱只要使用基本PC配備,就可用下載的軟體自由讀取和更改悠悠卡內容,包括消費餘額和其他控管資訊。這對使用悠悠卡的業界不啻極大的震撼。 以下是記者與悠悠卡CEO“悠悠卡董”,和主要破解者某大學的學生“悠悠之口”之間的訪談: 記者:請問卡董,您是什麼時後發現這悠悠卡的加密程式已被破解了? 悠悠卡董(以下簡稱卡董):早在2007年底,我們就注意到有人在學術論壇上號稱已部份破解本卡的加密技術。 記者:那貴公司的反應是‧‧‧ 卡董:為保障本公司客戶之權益,及避免全世界使用此卡的消費者恐慌,我們立刻透過律師,向法院申請,禁止他們在網路及任何公開場合發佈這套號稱破解悠悠卡的技術。 記者:結果被法院否決了? 悠悠之口(以下簡稱學生):否決的理由很簡單,如果我們的技術是假的,那貴公司大可喫之以鼻,讓全世界看我們笑話;如果是真的,那群眾有知的權利,同時可迫使貴公司改進有瑕疵的產品。 卡董:可是這樣做,會讓原本有心犯罪之士憑空得到了利器,加速攻擊全世界我們顧客的系統啊! 學生:我們在公佈這套技術前,曾嘗試與貴公司聯繫,希望貴公司及時改進。可是我們得到的答案,竟是貴公司嘗試阻止我們日後發佈消息。這太讓我們失望了! 卡董:阻止消息傳佈,我們才有機會搶在駭客之前改進加密系統。現在被法院否決了,我們除了感到遺撼,只有加速和客戶溝通,協助他們改善系統以防被駭。這一切的一切,都是你們這些自以為有正義感的大學生惹出來的! 學生:請問卡董,如果法院判定我們不能發布,那貴公司會這麼努力地改進悠悠卡系統嗎?我看更可能粉飾太平,派幾個公關全世界跑跑,安安大家的心就算了。
學生:詳細的內容複雜而專業。但簡單的說,是貴公司用一套粗淺而老舊的加密技術閉門造車,未經全世界密碼專家公開鑑定討論,就匆匆賣給客戶。我們認為這是貴公司對自己產品不負責的表現。這也就是為何悠悠卡推出沒多久,就被打的滿頭包的原因。 卡董:首先,我們是IC設計公司,不是密碼專家,所以初期產品可能未臻完善。但我們第二代悠悠卡品質就好很多,而且用國家保密標準AES。其次,將產品設計內容公開討論,我們認為只會加速悠悠卡被破解,所以我們未來還是不會這麼做。 記者:據說悠悠卡有十億片在全世界流通,請問貴公司如何解決可能立刻被破解的問題?全面回收可能嗎? 卡董:全面回收無必要,因為至今尚未有任何犯罪報告出現。再則成本太高,有些客戶才剛啟用就更新,在心理和實質層次衝擊會很大。我們採用漸進方式,一方面將悠悠卡汰舊換新,二方面加強系統層次的控管,使得即使悠悠卡被竄改,但我們藉系統偵察能力還是查得出來。 學生:據我所知,除非讀卡系統也全面更新,否則只換二代悠悠卡,安全問題仍多。至於加強系統控管,那等於是拉長戰線,所有使用一代卡公司的營運成本將會提高。總而言之,在系統全面更新前,您的悠悠卡客戶是只有戰戰兢兢過日子了。 記者:至於未來呢?我們是否能從這個事件學到什麼教訓? 學生:早在多年前,初期的無線網卡也有類似的問題。廠商閉門造車搶先佔市,結果當時推出的WEP加密方式完全不堪一擊,市面上甚至有人出售專門潛入無線網路的產品,直到新一代產品推出一段時日,問題才慢慢解決。這次的問題幾乎如出一轍。唯一解決的方法,就是在產品完成前,公開加密流程,讓全世界審視。 卡董:謝謝指教。但我們是私有營利公司,智慧財產不可能無限公開。我倒是認為司法機構應該多斟酌,真要放任這些聰明學生胡作非為嗎?沒有你們,不是一點問題都沒有嗎?拜託,可不可以多花點精神在交女朋友,或者線上遊戲上面呢? |
|
( 創作|小說 ) |