如何制止惡作劇到蓄意反社會的駭客行為?讀《奇幻熊在網路釣魚》
科技的演進會帶給人類憧憬與焦慮,眾多科幻影視創作直指這份矛盾,國家擔心駭客入侵國防系統引爆世界大戰,市井小民擔心自己的工作被AI機器人取代--我們的煩惱、對駭客乃至於對科技的恐懼合理嗎?我要大推《奇幻熊在網路釣魚》,這本近期我讀得欲罷不能的一本科普書。
《奇幻熊》描寫從第一次世界大戰、圖靈時代開始的網路發展與駭客史、大企業作業系統的資安問題、強權國家的駭客間諜對決等精彩故事。
駭客與網路攻擊的起源與進化
回顧十年前,也就是2014年時我在媒體體制內工作,我的公司沃草曾舉辦記者會,呼籲社會關注殭屍網路對特定媒體--香港蘋果集團執行的分散式阻斷服務攻擊(distributed denial-of-service attack, DDoS),這是傷害新聞自由的惡行,應予以譴責等等。
香港蘋果日報如今成為時代的眼淚,另外十年前除了技術圈,幾乎沒人聽過DDoS攻擊:這是駭客操縱大量不相關的電腦主機,對於特定網站瘋狂發送點閱請求,用流量癱瘓目標網域,導致真正想瀏覽目標網域的用戶看不到內容。
DDoS被各國駭客運用,但它的創始者並不是國家培訓的駭客,而是來自以色列與美國的兩組當個創是神(Minecraft)網路遊戲玩家,他們分別撰寫操縱殭屍電腦的「未來」(Mirai)和「走狗企業」(Poodle Corp),讓對手的遊戲伺服器塞爆斷線,發現這招數真有效之後,雙方發展成接案模式,讓客戶指定想斷網的對象,委託的金額越高,持續攻擊的時間和流量就越高。
雙方的對決升級到嚴重擾亂正常網路活動,當時「走狗企業」略勝一籌,控制了百萬台監視攝影機,用巨大的影像檔案到處塞爆商業網站。隨著美國聯邦調查局聯合以色列警方逮捕「走狗企業」,美國的「未來」獨霸創世神的地位,而在三名主嫌落網之前,他們已經放棄DDoS手段、把「未來」的程式碼公布在論壇中,轉戰其它網路犯罪領域。
資安界的厭女與性別大戰:
駭客超邪惡,應該通通抓起來vs.瞭解駭客是怎樣的人
這群駭客究竟是什麼人?他們為什麼想要做駭客?撰寫防毒軟體的公司與執法人員一開始把這群駭客看做不能溝通、邪惡又墮落的反社會份子,總之通通抓起來!
這段性別一面倒是男性的駭客史,在1993年出現了一位女性研究者,出身藍領階級與失能家庭,擔任過社工,當時在印第安納大學讀學士的莎拉.戈登,她決定去採訪釋放電腦病毒的駭客,瞭解他們是怎樣的一群人。
莎拉.戈登發現,會寫病毒並散布的族群有四種:
- 13到17歲的青少年:智力優於平均或與平均相當,基本上會尊重父母師長的權威,但不認為病毒暴走惹出的問題是自己的責任。
- 18到24歲的大學生:也是一群聰明人,知道自己的行為違法,在道德上也是錯的,但不是很在意病毒造成多少傷害。
- 曾經撰寫並發布過病毒,如今已停手的人:他們相當融入社會,放棄寫病毒是因為沒時間,或寫了幾次就覺得無聊。他們不討厭其他病毒作者,但不確定寫病毒在道德上到底有沒有問題。
- 大學畢業的專業人士:他們把「社會」當成敵人,主張撰寫與發布病毒在道德上毫無問題,法律也不該禁止。
上述族群在學歷、收入、品味、社經地位上迥異,在道德觀方面,除了第四個族群的道德觀沒發展完備,仍停留在柯爾伯格道德發展階段的第二階段「對我有什麼好處?」,前面三組的道德觀都會隨著成長階段與人生閱歷前進。
硬要說這群釋放病毒的駭客們唯一共通點,全都是生理男性。這群寫出電腦病毒的人,最常用社會階級的落差展開自我辯護:
- 電腦是有錢人的專利,其他人根本買不起。
- 有錢人的電腦都是玩具,裡面根本沒有什麼重要的資料,破壞了也不會怎樣。
- 我以為病毒完全不會造成傷害。
- 我寫的病毒不是為了感染其他電腦。
- 如果不是人們犯錯在先:因為出身富裕看不起人、使用盜版軟體等等,病毒根本就沒有機會傳播出去。
莎拉.戈登在一對一訪談中發現,駭客們「會表達自己的挫折、憤怒、看什麼都不順眼,然後停下來覺得自己是不是說得太過,自己的行為有沒有做錯」。換句話說,他們在公開場合死鴨子嘴硬,跟權威對著幹,但私底下都會思考自己做的到底對不對。
挖掘出駭客的人性面,是非常重要的社會科學進展,當時卻引來資安防毒業界的猛烈抨擊,認為莎拉.戈登美化了惡徒,是標新立異、為了在業界撈錢撈聲量地位。
對此,防毒軟體公司CyberSoft創始人彼得.勒達悌(Peter Radatti)認為防毒界群起圍攻莎拉.戈登,是因為性別問題:「當時整個業界都是男人,她是唯一的女性。而且她既聰明又極有魅力,什麼事都做得很好,還進一步挑戰了整個業界的看法。她是這樣才會被打壓,你知道的,男人的嫉妒心。」
《奇幻熊》揭示科技進步產生的新困境,往往是來自人性自古以來的弱點。
真正能夠守護資安的,是人類的政治決策
Scott. J. Shapiro,照片取自Yale Law School官方資料照
回偷談談《奇幻熊》的作者Scott. J. Shapiro,他是耶魯大學法學院的法律與哲學教授,他在學生時代車庫創業,曾經幫財星五百大企業建構資料庫,經營事業的過程令他「對電腦失去興趣」,我非常好奇作者經歷了什麼事,但他一筆帶過切入結論:他因此投入哲學研究、走上高等教育之路。
電腦基礎理論的發展和哲學、數學息息相關,Shapiro換跑道幾十年後,為了研究駭客活動重新開始學習寫程式,甚至練習駭入系上的主機,讓系主任對此頗有微詞。現在Shapiro同時是耶魯大學網路安全實驗室創辦人暨主任,運用跨領域的知識與幽默感,來書寫現代駭客史並科普資訊安全的漏洞式為何必然發生。
對程式碼來說,六十年可以發展出一千個世代;現代智人則是花了十五萬年的時間,去思考怎樣的制度才能保障現實世界的安全。
如今每個人都活在非常複雜的資訊社會之中。我們的文化、財富、成功都比前人更加仰賴數位資訊的傳輸、儲存、操作。人類必須開始思考如何保障資訊安全,這需要好幾代人接力完成。
Shapiro認為,人們不該迷信「解方無敵論」,只從修改程式碼著手:
解方無敵論不僅會惡化資安,更會讓我們失去道德自主性、拋棄道德責任。如果我們把安全與隱私問題都當成技術問題,就會叫程式設計師去處理複雜的政治權衡。程式設計師當然都很了解電腦的運作機制,但他們畢竟是工程專家,不是政治專家,他們很清楚怎麼製作和操作機器,卻不熟練怎麼處理道德風險和社會衝擊。
科技來自於人性,人是道德自主的主體,必須自己做出選擇。
