《勒索軟體狩獵團》帶你認識白帽駭客的生活
你想像中的駭客是什麼樣子的呢?
在《一級玩家》當中,主角住在一個拖車屋裡面,透過網路遇上了一群自由鬥士,來到一個倉庫般的大本營。而在《駭客軍團》當中,對抗企業的「邪惡集團」的主角們也同樣聚集在一個遊樂場一樣的廢棄倉庫。駭客遊戲《看門狗》系列同樣也延續了這種形象,遊戲中的主角是一群崇尚自由,反對極權的嬉皮,躲在漫畫店或咖啡店的地下基地,遊走街道遙控一切。或著,在諜報電影中,總是會有那麼一個躲在廂型車上,似乎隨時都能叫出立體掃描圖,什麼系統都只要幾秒就進得去,永遠掛在耳機上,他們要不就是講著一堆術語的「海豚」、要不就是秒語如珠。或著是像《暗網大本營》那樣,住在與世隔絕不見天日的地下堡壘,自成一國的一群人。
你想到的會是西裝筆挺的帥氣科技人,還是像《宅男行不行》那樣穿著漫畫襯衫,知識信手拈來的天才?亦或著,其實就是你隔壁那個從小就很會讀書的鄰居?也許是3C量販店裡面,似乎整天就是坐在技術櫃台盯著螢幕發楞的人?上班的時候,時不時不知道從哪冒出來的「IT」、任何電腦問題打給他就對了的「工程師」?還是,整天在昏暗的「電競房」裡面足不出戶,面前有一堆螢幕,上面總是跑著滿滿的程式碼,然後戴著耳麥講個不停的那個人?
其實,或許這些描述全都正確,事實上,勒索軟體狩獵團的「獵手」,各自過著不同的生活,但是他們會在同一個地方聚集在一起,那是一個不會彼此碰面的地方:網路世界。
這是一場全球大戰,正在我們看不到的網路世界發生。
走進駭客的生活
書中,作者親自走訪一群畢生志業就是要與網路犯罪份子作戰的「狩獵團」。不同於他們的對手,網路犯罪份子背後可能有著犯罪集團撐腰,甚至和情治單位之間有所關連,因此犯罪份子資源豐富,而狩獵團的成員卻不是如此。他們過著完全不同的生活。表面上,他們有時與普通人並沒有太大差別,甚至比普通人還更低調。他們不像俄羅斯那些日進斗金、名車代步的網路犯罪集團,也不是那種躲在碉堡不見天日的人,狩獵團成員分散在世界各地,有些人有著資安領域的正職,有些人與執法單位合作,也有些人就只是在正職工作之外兼差,有的人則是足不出戶。這本書中,作者很仔細地描寫了這些人的生活,讓讀者彷彿可以透過文字看到他們,正因為他們面對的是網路犯罪集團,他們當中很多人也不能真正露臉,這就成了最適切的方式。他們有著超越犯罪集團的資訊才華,而且選擇將這些才華用在正途上,卻因此要面對著犯罪集團報復的風險。甚至對於執法機關來說,管他黑帽白帽,即便是出於善意,有些駭客行為本身就是犯法。不僅如此,過著雙重生活的他們,現實中同樣要面對著各種與我們相同的生活困境,即便看著那些犯罪份子似乎輕易逍遙法外,也得堅持再艱難也要謹守那條界線。
撰寫這本書的兩位作者芮妮.杜德利與丹尼爾.戈爾登,兩人為調查記者出身,除了實地造訪了這些平時不會輕易公開亮相的獵人之外,對於其他包含犯罪份子在內的人事物,即便是無法實際訪問到這些人,他們仍抽絲剝繭地透過訪問其他相關人士,再加上可以查得到的公開資訊,像是偵探般用可以確認的真實資訊來拼湊出那個人的一生,卻又能夠生動地寫得如同他們自己身歷其境一樣。
同時,書中也讓我們看到,面對勒索軟體的步步入侵,許多人卻還未有所警覺。網路就像是一片仍待開發的宇宙,我們可以去到任何一個所知的地方,但是多的是我們所不知道的角落,對於一般使用者來說,無法探索的角落就如同未知的黑夜一樣漆黑,那就是「暗網」。許多犯罪份子就躲在黑暗當中,等著襲擊的機會。《聯合報》在今年三月提出一份資安專題報導,直指我們的政府資安防衛意識低落,形同淪陷。可是其實這不只是台灣的問題,這是全世界的政府都得面對的課題。網路科技近年快速發展,人們對於資訊的理解卻跟不上發展的速度,要改變體制更不是一朝一夕的事情。三個月前,賭城兩大集團凱撒宮和米高梅分別遭到勒索集團攻擊,凱撒宮光是第一時間贖金就付了一千五百萬美元。美國甚至曾經一度因為勒索集團攻擊,整個美國東岸石油供應短少45%,造成嚴重損失和動盪。也就是在那之後,美國才真正開始重視資安防衛。
如果有看過美國國會如何質詢馬克.祖克伯,或是聽過日本資安大臣櫻田英孝連隨身碟的用法都搞不清楚的發言,想必可以想像,不僅人民的資安意識成長緩慢,當官僚體制當中大多數掌權者年齡偏高的情況下,即便是美國、日本這種資訊大國,也如同大多數政府的防衛機制發展緩慢。官僚體制的環環相扣到了這種時候更成為致命傷,對於地方政府來說更加嚴重,就算是美國,地方政府也一如台灣,掌權者往往對於新科技是陌生的,許多公職人員對於資安的了解也有限,對於地方政府來說,有太多遠比「可能發生網路攻擊」要來得更迫切的事情要處理,但是他們手上卻有著許多關鍵資訊,掌握著公共設施,一旦停擺就要面對極大的民怨壓力,地方政府又對於這種大規模跨國犯罪集團無能為力,因此就成了甜美的標靶。因為跨國犯罪牽涉到司法權限的問題,不論是蒐證、緝捕、審判都會牽涉到複雜的國際外交。微軟曾提出報告指出,網路攻擊最主要的國家就是俄羅斯、北韓、伊朗、中國,對於這些國家而言,只要對象不是在自己國家,甚至最好是對敵對國家,政府就會睜一隻眼閉一隻眼,甚至像在書中指出,俄羅斯犯罪集團成員其實根本就和國家情治單位有關聯,也就會協助國家情治單位竊取資訊,打擊敵對國家。因此,資安戰爭逐漸演變成了政府間的角力。
眾多政府其中卻有個特殊案例——荷蘭政府,書中詳述了荷蘭由於地利因素曾經一度是全世界的網路罪犯大本營,就連《暗網大本營》的第一個「大本營」都是在荷蘭創立的,然而,荷蘭為了改變這個局面,很早就率先大幅改造整個執法機關的體質,掃蕩境內的網路犯罪,一舉成為全世界網路執法的模範,書中也詳述了這一段過程,與當時美國不論是聯邦還是地方,執法機關往往持著警長心態的狀況相比大相逕庭。聯邦調查局有很長一段時間並不重視資訊人才,他們仍像是牛仔一樣,認為要拿著槍到現場去踢開大門追捕犯人,才能夠稱得上有膽識。儘管今年聯邦調查局甚至去了漫畫博覽會招募員工,但是局內實際上對於「宅男」的歧視和刻板印象仍十分嚴重,甚至可以說,會認為去漫畫博覽會就能找到科技專家本身就是種偏見。相反地,荷蘭政府透過公私領域合作,在執法機關大量重用年輕的科技人才,同時與民間建立起互信的互動關係,在短短幾年內大幅改善執法機關的體質,一舉成為歐盟科技執法的先鋒,更成為各國執法機關效法的對象。近年來,由美國白宮為首的數十個國家與組織組成了反勒索軟體高峰會,參加成員也每年持續增加,目的就是聯合起來對抗勒索軟體,足見勒索軟體的威脅已經遍及世界各地。
在資安議題上,不論是面對有資安疑慮的軟體,或是要提倡資安意識時,或許都有很多人會認為,我沒有什麼好怕的,資訊被盜又怎樣,再說,這是政府和企業大老的責任,我們只是小市民沒有關係,甚至就連許多中小企業都會認為不會輪到自己。其實,就連專門針對中小企業、個人用戶下手的犯罪集團都大有人在。唯有每個人都有資安意識,資安才會得到提升。就像這次賭城兩大集團遭到攻擊,駭客攻擊往往只是針對其中一些沒有防範的小螺絲下手,先從網路上找到某個基層員工,然後對他下手,藉此穿過防火牆之後,犯人就能就如入無人之境。大多數的網路攻擊現在都會採用這種釣魚方式。可能是收到一封信是人資告訴你:妳的業績獎金有問題,請打開檔案確認、可能是用通訊軟體告訴你,請準備小孩下周校外教學要攜帶的物品清單、一通電話告訴你,麻煩你登入系統確認系統狀況、一封簡訊說你已經被加入某個群組,請點入確認、一則通知告訴你欠款逾期、也可能是你收到一封履歷,這都可能讓你和你身邊的人頓時失去一切。所有人必然有自己珍惜的東西,在這個一切都數位化的時代,只要你有珍惜的東西,犯罪份子就有把柄可以攻擊。除了我們的金融資訊、消費資訊、醫療資訊之外,試想親人的照片、孩子成長的影像、工作努力數年累積的成果、花了幾年寫出來的論文、親人留下來的最後一段話、蜜月旅行的紀錄,這一切對於犯罪份子而言,都是金礦,你願意花多少錢換回寶貴的記憶?許多人到了失去才會發現這件事情。實際上,我們的生活已經是許多人努力為我們守護著,而我們卻不自知。
在一片漆黑的網路世界,有一群人負責到處拿著探照燈,照亮想要攻擊我們的人,試著拿回我們被搶走的東西。那就是駐紮在世界各地的勒索軟體狩獵團真正的樣貌。《勒索軟體狩獵團》這本書,就是要把這些人帶到我們面前的一本書。
你可能也想看
