《勒索軟體狩獵團》帶你認識白帽駭客的生活

你想像中的駭客是什麼樣子的呢？

在《一級玩家》當中，主角住在一個拖車屋裡面，透過網路遇上了一群自由鬥士，來到一個倉庫般的大本營。而在《駭客軍團》當中，對抗企業的「邪惡集團」的主角們也同樣聚集在一個遊樂場一樣的廢棄倉庫。駭客遊戲《看門狗》系列同樣也延續了這種形象，遊戲中的主角是一群崇尚自由，反對極權的嬉皮，躲在漫畫店或咖啡店的地下基地，遊走街道遙控一切。或著，在諜報電影中，總是會有那麼一個躲在廂型車上，似乎隨時都能叫出立體掃描圖，什麼系統都只要幾秒就進得去，永遠掛在耳機上，他們要不就是講著一堆術語的「海豚」、要不就是秒語如珠。或著是像《暗網大本營》那樣，住在與世隔絕不見天日的地下堡壘，自成一國的一群人。

你想到的會是西裝筆挺的帥氣科技人，還是像《宅男行不行》那樣穿著漫畫襯衫，知識信手拈來的天才？亦或著，其實就是你隔壁那個從小就很會讀書的鄰居？也許是３Ｃ量販店裡面，似乎整天就是坐在技術櫃台盯著螢幕發楞的人？上班的時候，時不時不知道從哪冒出來的「ＩＴ」、任何電腦問題打給他就對了的「工程師」？還是，整天在昏暗的「電競房」裡面足不出戶，面前有一堆螢幕，上面總是跑著滿滿的程式碼，然後戴著耳麥講個不停的那個人？

其實，或許這些描述全都正確，事實上，勒索軟體狩獵團的「獵手」，各自過著不同的生活，但是他們會在同一個地方聚集在一起，那是一個不會彼此碰面的地方：網路世界。

這是一場全球大戰，正在我們看不到的網路世界發生。

走進駭客的生活

書中，作者親自走訪一群畢生志業就是要與網路犯罪份子作戰的「狩獵團」。不同於他們的對手，網路犯罪份子背後可能有著犯罪集團撐腰，甚至和情治單位之間有所關連，因此犯罪份子資源豐富，而狩獵團的成員卻不是如此。他們過著完全不同的生活。表面上，他們有時與普通人並沒有太大差別，甚至比普通人還更低調。他們不像俄羅斯那些日進斗金、名車代步的網路犯罪集團，也不是那種躲在碉堡不見天日的人，狩獵團成員分散在世界各地，有些人有著資安領域的正職，有些人與執法單位合作，也有些人就只是在正職工作之外兼差，有的人則是足不出戶。這本書中，作者很仔細地描寫了這些人的生活，讓讀者彷彿可以透過文字看到他們，正因為他們面對的是網路犯罪集團，他們當中很多人也不能真正露臉，這就成了最適切的方式。他們有著超越犯罪集團的資訊才華，而且選擇將這些才華用在正途上，卻因此要面對著犯罪集團報復的風險。甚至對於執法機關來說，管他黑帽白帽，即便是出於善意，有些駭客行為本身就是犯法。不僅如此，過著雙重生活的他們，現實中同樣要面對著各種與我們相同的生活困境，即便看著那些犯罪份子似乎輕易逍遙法外，也得堅持再艱難也要謹守那條界線。

撰寫這本書的兩位作者芮妮．杜德利與丹尼爾．戈爾登，兩人為調查記者出身，除了實地造訪了這些平時不會輕易公開亮相的獵人之外，對於其他包含犯罪份子在內的人事物，即便是無法實際訪問到這些人，他們仍抽絲剝繭地透過訪問其他相關人士，再加上可以查得到的公開資訊，像是偵探般用可以確認的真實資訊來拼湊出那個人的一生，卻又能夠生動地寫得如同他們自己身歷其境一樣。

同時，書中也讓我們看到，面對勒索軟體的步步入侵，許多人卻還未有所警覺。網路就像是一片仍待開發的宇宙，我們可以去到任何一個所知的地方，但是多的是我們所不知道的角落，對於一般使用者來說，無法探索的角落就如同未知的黑夜一樣漆黑，那就是「暗網」。許多犯罪份子就躲在黑暗當中，等著襲擊的機會。《聯合報》在今年三月提出一份資安專題報導，直指我們的政府資安防衛意識低落，形同淪陷。可是其實這不只是台灣的問題，這是全世界的政府都得面對的課題。網路科技近年快速發展，人們對於資訊的理解卻跟不上發展的速度，要改變體制更不是一朝一夕的事情。三個月前，賭城兩大集團凱撒宮和米高梅分別遭到勒索集團攻擊，凱撒宮光是第一時間贖金就付了一千五百萬美元。美國甚至曾經一度因為勒索集團攻擊，整個美國東岸石油供應短少４５％，造成嚴重損失和動盪。也就是在那之後，美國才真正開始重視資安防衛。

如果有看過美國國會如何質詢馬克．祖克伯，或是聽過日本資安大臣櫻田英孝連隨身碟的用法都搞不清楚的發言，想必可以想像，不僅人民的資安意識成長緩慢，當官僚體制當中大多數掌權者年齡偏高的情況下，即便是美國、日本這種資訊大國，也如同大多數政府的防衛機制發展緩慢。官僚體制的環環相扣到了這種時候更成為致命傷，對於地方政府來說更加嚴重，就算是美國，地方政府也一如台灣，掌權者往往對於新科技是陌生的，許多公職人員對於資安的了解也有限，對於地方政府來說，有太多遠比「可能發生網路攻擊」要來得更迫切的事情要處理，但是他們手上卻有著許多關鍵資訊，掌握著公共設施，一旦停擺就要面對極大的民怨壓力，地方政府又對於這種大規模跨國犯罪集團無能為力，因此就成了甜美的標靶。因為跨國犯罪牽涉到司法權限的問題，不論是蒐證、緝捕、審判都會牽涉到複雜的國際外交。微軟曾提出報告指出，網路攻擊最主要的國家就是俄羅斯、北韓、伊朗、中國，對於這些國家而言，只要對象不是在自己國家，甚至最好是對敵對國家，政府就會睜一隻眼閉一隻眼，甚至像在書中指出，俄羅斯犯罪集團成員其實根本就和國家情治單位有關聯，也就會協助國家情治單位竊取資訊，打擊敵對國家。因此，資安戰爭逐漸演變成了政府間的角力。

眾多政府其中卻有個特殊案例——荷蘭政府，書中詳述了荷蘭由於地利因素曾經一度是全世界的網路罪犯大本營，就連《暗網大本營》的第一個「大本營」都是在荷蘭創立的，然而，荷蘭為了改變這個局面，很早就率先大幅改造整個執法機關的體質，掃蕩境內的網路犯罪，一舉成為全世界網路執法的模範，書中也詳述了這一段過程，與當時美國不論是聯邦還是地方，執法機關往往持著警長心態的狀況相比大相逕庭。聯邦調查局有很長一段時間並不重視資訊人才，他們仍像是牛仔一樣，認為要拿著槍到現場去踢開大門追捕犯人，才能夠稱得上有膽識。儘管今年聯邦調查局甚至去了漫畫博覽會招募員工，但是局內實際上對於「宅男」的歧視和刻板印象仍十分嚴重，甚至可以說，會認為去漫畫博覽會就能找到科技專家本身就是種偏見。相反地，荷蘭政府透過公私領域合作，在執法機關大量重用年輕的科技人才，同時與民間建立起互信的互動關係，在短短幾年內大幅改善執法機關的體質，一舉成為歐盟科技執法的先鋒，更成為各國執法機關效法的對象。近年來，由美國白宮為首的數十個國家與組織組成了反勒索軟體高峰會，參加成員也每年持續增加，目的就是聯合起來對抗勒索軟體，足見勒索軟體的威脅已經遍及世界各地。

在資安議題上，不論是面對有資安疑慮的軟體，或是要提倡資安意識時，或許都有很多人會認為，我沒有什麼好怕的，資訊被盜又怎樣，再說，這是政府和企業大老的責任，我們只是小市民沒有關係，甚至就連許多中小企業都會認為不會輪到自己。其實，就連專門針對中小企業、個人用戶下手的犯罪集團都大有人在。唯有每個人都有資安意識，資安才會得到提升。就像這次賭城兩大集團遭到攻擊，駭客攻擊往往只是針對其中一些沒有防範的小螺絲下手，先從網路上找到某個基層員工，然後對他下手，藉此穿過防火牆之後，犯人就能就如入無人之境。大多數的網路攻擊現在都會採用這種釣魚方式。可能是收到一封信是人資告訴你：妳的業績獎金有問題，請打開檔案確認、可能是用通訊軟體告訴你，請準備小孩下周校外教學要攜帶的物品清單、一通電話告訴你，麻煩你登入系統確認系統狀況、一封簡訊說你已經被加入某個群組，請點入確認、一則通知告訴你欠款逾期、也可能是你收到一封履歷，這都可能讓你和你身邊的人頓時失去一切。所有人必然有自己珍惜的東西，在這個一切都數位化的時代，只要你有珍惜的東西，犯罪份子就有把柄可以攻擊。除了我們的金融資訊、消費資訊、醫療資訊之外，試想親人的照片、孩子成長的影像、工作努力數年累積的成果、花了幾年寫出來的論文、親人留下來的最後一段話、蜜月旅行的紀錄，這一切對於犯罪份子而言，都是金礦，你願意花多少錢換回寶貴的記憶？許多人到了失去才會發現這件事情。實際上，我們的生活已經是許多人努力為我們守護著，而我們卻不自知。

在一片漆黑的網路世界，有一群人負責到處拿著探照燈，照亮想要攻擊我們的人，試著拿回我們被搶走的東西。那就是駐紮在世界各地的勒索軟體狩獵團真正的樣貌。《勒索軟體狩獵團》這本書，就是要把這些人帶到我們面前的一本書。