如何制止惡作劇到蓄意反社會的駭客行為？讀《奇幻熊在網路釣魚》

科技的演進會帶給人類憧憬與焦慮，眾多科幻影視創作直指這份矛盾，國家擔心駭客入侵國防系統引爆世界大戰，市井小民擔心自己的工作被AI機器人取代－－我們的煩惱、對駭客乃至於對科技的恐懼合理嗎？我要大推《奇幻熊在網路釣魚》，這本近期我讀得欲罷不能的一本科普書。

《奇幻熊》描寫從第一次世界大戰、圖靈時代開始的網路發展與駭客史、大企業作業系統的資安問題、強權國家的駭客間諜對決等精彩故事。

奇幻熊在網路釣魚

駭客與網路攻擊的起源與進化

回顧十年前，也就是2014年時我在媒體體制內工作，我的公司握草曾舉辦記者會，呼籲社會關注殭屍網路對特定媒體－－香港蘋果集團執行的分散式阻斷服務攻擊（distributed denial-of-service attack, DDoS），這是傷害新聞自由的惡行，應予以譴責等等。

香港蘋果日報如今成為時代的眼淚，另外十年前除了技術圈，幾乎沒人聽過DDoS攻擊：這是駭客操縱大量不相關的電腦主機，對於特定網站瘋狂發送點閱請求，用流量癱瘓目標網域，導致真正想瀏覽目標網域的用戶看不到內容。

DDoS被各國駭客運用，但它的創始者並不是國家培訓的駭客，而是來自以色列與美國的兩組當個創是神（Minecraft）網路遊戲玩家，他們分別撰寫操縱殭屍電腦的「未來」（Mirai）和「走狗企業」（Poodle Corp），讓對手的遊戲伺服器塞爆斷線，發現這招數真有效之後，雙方發展成接案模式，讓客戶指定想斷網的對象，委託的金額越高，持續攻擊的時間和流量就越高。

雙方的對決升級到嚴重擾亂正常網路活動，當時「走狗企業」略勝一籌，控制了百萬台監視攝影機，用巨大的影像檔案到處塞爆商業網站。隨著美國聯邦調查局聯合以色列警方逮捕「走狗企業」，美國的「未來」獨霸創世神的地位，而在三名主嫌落網之前，他們已經放棄DDoS手段、把「未來」的程式碼公布在論壇中，轉戰其它網路犯罪領域。

資安界的厭女與性別大戰：

駭客超邪惡，應該通通抓起來vs.瞭解駭客是怎樣的人

這群駭客究竟是什麼人？他們為什麼想要做駭客？撰寫防毒軟體的公司與執法人員一開始把這群駭客看做不能溝通、邪惡又墮落的反社會份子，總之通通抓起來！

這段性別一面倒是男性的駭客史，在1993年出現了一位女性研究者，出身藍領階級與失能家庭，擔任過社工，當時在印第安納大學讀學士的莎拉．戈登，她決定去採訪釋放電腦病毒的駭客，瞭解他們是怎樣的一群人。

Compare Fibre on Unsplash

莎拉．戈登發現，會寫病毒並散布的族群有四種：

1. 13到17歲的青少年：智力優於平均或與平均相當，基本上會尊重父母師長的權威，但不認為病毒暴走惹出的問題是自己的責任。
2. 18到24歲的大學生：也是一群聰明人，知道自己的行為違法，在道德上也是錯的，但不是很在意病毒造成多少傷害。
3. 曾經撰寫並發布過病毒，如今已停手的人：他們相當融入社會，放棄寫病毒是因為沒時間，或寫了幾次就覺得無聊。他們不討厭其他病毒作者，但不確定寫病毒在道德上到底有沒有問題。
4. 大學畢業的專業人士：他們把「社會」當成敵人，主張撰寫與發布病毒在道德上毫無問題，法律也不該禁止。

上述族群在學歷、收入、品味、社經地位上迥異，在道德觀方面，除了第四個族群的道德觀沒發展完備，仍停留在柯爾伯格道德發展階段的第二階段「對我有什麼好處？」，前面三組的道德觀都會隨著成長階段與人生閱歷前進。

硬要說這群釋放病毒的駭客們唯一共通點，全都是生理男性。這群寫出電腦病毒的人，最常用社會階級的落差展開自我辯護：

1. 電腦是有錢人的專利，其他人根本買不起。
2. 有錢人的電腦都是玩具，裡面根本沒有什麼重要的資料，破壞了也不會怎樣。
3. 我以為病毒完全不會造成傷害。
4. 我寫的病毒不是為了感染其他電腦。
5. 如果不是人們犯錯在先：因為出身富裕看不起人、使用盜版軟體等等，病毒根本就沒有機會傳播出去。

莎拉．戈登在一對一訪談中發現，駭客們「會表達自己的挫折、憤怒、看什麼都不順眼，然後停下來覺得自己是不是說得太過，自己的行為有沒有做錯」。換句話說，他們在公開場合死鴨子嘴硬，跟權威對著幹，但私底下都會思考自己做的到底對不對。

挖掘出駭客的人性面，是非常重要的社會科學進展，當時卻引來資安防毒業界的猛烈抨擊，認為莎拉．戈登美化了惡徒，是標新立異、為了在業界撈錢撈聲量地位。

對此，防毒軟體公司CyberSoft創始人彼得．勒達悌（Peter Radatti）認為防毒界群起圍攻莎拉．戈登，是因為性別問題：「當時整個業界都是男人，她是唯一的女性。而且她既聰明又極有魅力，什麼事都做得很好，還進一步挑戰了整個業界的看法。她是這樣才會被打壓，你知道的，男人的嫉妒心。」

《奇幻熊》揭示科技進步產生的新困境，往往是來自人性自古以來的弱點。

真正能夠守護資安的，是人類的政治決策

Scott. J. Shapiro，照片取自Yale Law School官方資料照

回偷談談《奇幻熊》的作者Scott. J. Shapiro，他是耶魯大學法學院的法律與哲學教授，他在學生時代車庫創業，曾經幫財星五百大企業建構資料庫，經營事業的過程令他「對電腦失去興趣」，我非常好奇作者經歷了什麼事，但他一筆帶過切入結論：他因此投入哲學研究、走上高等教育之路。

電腦基礎理論的發展和哲學、數學息息相關，Shapiro換跑道幾十年後，為了研究駭客活動重新開始學習寫程式，甚至練習駭入系上的主機，讓系主任對此頗有微詞。現在Shapiro同時是耶魯大學網路安全實驗室創辦人暨主任，運用跨領域的知識與幽默感，來書寫現代駭客史並科普資訊安全的漏洞式為何必然發生。

對程式碼來說，六十年可以發展出一千個世代；現代智人則是花了十五萬年的時間，去思考怎樣的制度才能保障現實世界的安全。

如今每個人都活在非常複雜的資訊社會之中。我們的文化、財富、成功都比前人更加仰賴數位資訊的傳輸、儲存、操作。人類必須開始思考如何保障資訊安全，這需要好幾代人接力完成。

Shapiro認為，人們不該迷信「解方無敵論」，只從修改程式碼著手：

解方無敵論不僅會惡化資安，更會讓我們失去道德自主性、拋棄道德責任。如果我們把安全與隱私問題都當成技術問題，就會叫程式設計師去處理複雜的政治權衡。程式設計師當然都很了解電腦的運作機制，但他們畢竟是工程專家，不是政治專家，他們很清楚怎麼製作和操作機器，卻不熟練怎麼處理道德風險和社會衝擊。

科技來自於人性，人是道德自主的主體，必須自己做出選擇。