[群像] Keren Elazari : 讓駭客成為網路世界的免疫系統
提到駭客,多數人的腦海中都會將之與現實生活中的罪犯劃上等號,如同在暢銷小說《龍紋身的女孩》中的莉絲.莎蘭德,外型蒼白瘦小而不起眼,卻有著獨樹一格的造型。
你可能在街上與這樣集聚所有相對立特色的人物擦肩而過,因為其獨特的造型,很難不將眼光移開,卻又因為他們不願在現實生活中受到太多的注目,於是他們的身影很快地就會消失在你的視野中,隱匿在人海裡。
他們似乎不受世俗的規範,習慣將所有的繁文縟節置之腦後。然而在現實生活中,駭客的形象是如此神秘模糊,以至於我們不得不把對駭客的想像投射在電影『駭客任務』(The Matrix)中:駭客們在網路的虛擬世界中,是個個身穿黑色風衣,戴著墨鏡,自由穿梭在層層堅不可破的安全關卡之間。
而,Keren Elazari,以色列 Tel Aviv 大學的資訊安全研究專家,站在 TED 演講台上,穿著黑衣馬靴,留著過肩的黑髮,蓄著齊眉的瀏海,似乎繼承駭客一貫低調的作風。然而髮尾染上鮮豔的酒紅色,說明了她叛逆的本質。而這樣叛逆且桀驁不馴的個性,才是讓駭客成為駭客的原因。
Elazari 的童年和電影『麻辣女王』(Miss Congeniality)的女主角有幾分相似。童年過於男性化的舉動和興趣,讓她自幼崇拜電影『網路駭客』(Acid Burn)中安潔莉納.裘莉所飾演的駭客。因爲夢想成為駭客,Elazari 開始花時間參與駭客網路論壇,並透過論壇上分享的一段 PHP 程式碼,而獲得駭客世界的入門卷:成功地駭入了受密碼防護的網站。
就如同對著原本宛若銅牆鐵壁的石壁,喊了聲“芝麻開門”後,原本被阻隔在外,不為人知的寶藏,卻一下子都呈現在妳的面前。她宛如漫畫中裡的蜘蛛人甫獲得超級能力般,那種明白自己可以毫無拘束地穿越在原先被阻隔在外的世界,了解自己持有隨意穿越資安重地的鑰匙,而曾經廣袤且遙不可及的世界,突然就在自己擺在鍵盤上的十指之間。
然而,對於 Elazari 而言,那原本深藏在石壁之後的寶藏,不是滿坑滿谷的金銀珠寶,而是自古以來被貴族權貴壟斷,隔絕在平民與貧窮人家之外的知識。
知識,在今日藉由搜尋引擎和網際網路的快速發展,以資訊為載體迅速地傳播。而資訊,在言論開放的國家中多可自由的獲得,而其價值就如同實體世界中使用的貨幣,唯有經過詳細檢視,辨認真偽方能突顯其珍貴。
在這個數位產品快速消費的年代,科技先知們,紛紛預言著,網路硬體架構和人工智慧的快速演進正揭示著資訊革命時代的到來。在網路的世界中,我們無須到實體商店便可下單購買。即便到了實體商店,我們也無需大排長龍等待收銀員結帳,Amazon 率先推出的無人商店(Amazon GO),結合影像辨識,以手機支付的方式,顧客可以拿了就走,更簡化了銷售人力的需求。
在此資訊革命中,現有的集中製造,分散販售的商業模式,將會因為 3D 列印的流行,而成為自造者的時代。因為物聯網的盛行,我們只消帶上一支隨處可上網的手機,就可以沿著如蜘蛛網般連綿延伸的網路和世界各個角落相連。
然而 Elazari 藉由一段簡短的 PHP 程式碼所揭露的資訊:藉由網路的便利,侵入個人資訊是可以如此簡易。讓隨著科技巨輪快速滾動的現代社會,對駭客的能力感到憂心和畏懼。
然而,就如 Elazari 在演講中所指出:
「更強大的能力,更需要負責的態度約制」(greater power comes great responsibility)。
駭客過去在資訊安全領域經常惡名昭彰。包括了在自動櫃員取款機(ATMs)內以插入惡意程式碼,而使駭客們在遠端便可讓自動櫃員取款機不經密碼而大量吐鈔。甚而,前些日子讓許多企業用戶聞聲色變的『勒索』病毒,更讓駭客的形象與犯罪緊緊相連。
一場資安與駭客的拉鋸戰,似乎就成了網路盛行後,永無止息的技術角力。在未來的世界裡,人工智慧與機械學習將大舉進入人們的日常生活,從無人駕駛車,到物聯網,生活的便利必然換來了安全層面的風險。然而這樣的競爭關係,卻意外地促成了資訊安全的演化。
Elazari 在演說中倡導著,駭客就像網路中的免疫系統,資安人員有如人體內的白血球,在與駭客進行一段艱苦的戰鬥後,修補了資安的破洞,更記憶學習了駭客植入病毒的模式,進而提升了整體資訊安全的層級。
Elazari 說明,並不是所有的駭客都是以獲取個人暴利的目的,而惡意入侵企業或私人的電腦,進而造成公司或個人財務的損失。這樣以牟取私人暴利為目標,不具備道德標準的駭客,又被稱為『黑帽駭客』(black hat hacker)。
在駭客的文化中,另有一類型的駭客,在侵入企業資安系統後,會維持該公司的資產完整,並企圖通報或勸告該公司須及時修補資安破洞。這樣不以私利為目標的道德駭客則被稱為『白帽駭客』(White hat hacker),他們在網路的世界中遵行一定的道德規範,就像網路世界裡的羅賓漢,他們多少帶著玩樂的性質或是急欲挑戰自己能力的意圖,侵入企業或行政機關的資安系統。
根據 Elazari ,在 2010 年黑帽駭客資訊安全大會上,Barnaby Jack 實際以植入的惡意程式,讓兩台特定機型的自動櫃員機(ATM) [註一] 在眾目睽睽下自動吐鈔。Jack 不將這發現成為圖謀暴利的工具,反而選擇將此資安的漏洞公諸於世,便是一個典型的道德駭入實例。
另外一個著名的道德駭入例子,則是來自另一位資安專家 Kyle Lovett,在意外發現華碩公司生產的一款無線路由器,可不使用密碼便能駭入其系統,並任意取得該路由器使用者的私人檔案。在向華碩舉報資安漏洞,卻未被受理後,Lovett 決心自己採取行動。與其植入惡意程式,竊取使用者的個人資訊,Lovett 給該路由器的使用者留下了訊息。訊息的內容大意,是警告該路由器的使用者,他們所使用的路由器正面臨重大的資安漏洞,他們隨時都有可能被惡意的駭客侵入而被竊取個人身份資訊,隨文還附上了修復漏洞的補丁(patch)網址。
而來自巴勒斯坦的少年,Khalil Shreateh,Shreateh 則發現了臉書的資安漏洞,這個漏洞可使他繞過隱私授權,得以在任何使用者的臉書牆上留言。臉書標榜著該公司是『由一群駭客組成的公司』,有著對世界開放的『臭蟲獎金』(Bug Bounty),鼓勵使用者或駭客們向公司回報臉書程式的臭蟲,並以獎金酬謝。
然而 Shreateh 的回報卻未被臉書的團隊重視,直到他在臉書的創辦人馬克.祖伯格的臉書牆上留言,這個臭蟲才遭到臉書的團隊重視。誠如 Elazari 所舉的例子們,這些白帽駭客,他們對自己的行為具有高度的約束力,不但不以獲利為目標,能夠主動的回報負責公司,希望他們能修補安全上的漏洞。
然而,這樣的善意卻屢遭受到企業的忽視,迫使駭客們採取視為犯法的行為,促使企業正視他們的警告。Elazari 更指出,將駭客在資訊安全的系統中邊緣化並與之對立,等同於和超越控制的未知力量宣戰,不僅缺乏有效的策略來反制駭客們高度特化的資訊攻擊技巧,卻也在資訊安全的維護上處於被動的角色。
Elazari 認為駭客在現代社會中的角色可以如利刃之兩面。
「一個人眼中的罪犯,可以是另一個人心目中的英雄。」(One man’s hero can be another villain.)
她如此形容。
真正的駭客精神所代表的是『反叛』以及『不服從』,而這樣的精神令他們願意遊走法律邊緣,向壟斷資訊的獨裁政權或大型企業下戰帖。英國作家喬治.歐威爾在小說 《1984》 中描繪一個無處不受監視的世界。
在這個世界裡,統治者被稱為老大哥,以大眾傳播媒體如催眠般向他的民眾鼓吹自由思想的危險。小說所描寫過度控制的社會中,知識是價值不菲的資產,唯有寡頭政權的統治者們方能擁有。在這樣的世界裡,所有的思想都將遭到審查和檢視,人民的生活,不僅行動失去自由,思想更是被禁錮。
《1984》 中的許多情節,的確預言了在冷戰時期,極權國家利用國家機器,來監聽人民的生活,如東德的『史塔西』和蘇聯的秘密警察,都在專制的國家體制下,擔任了極權政府的鷹爪,將其爪牙伸向人民,以確保人民在被剝奪資訊的狀態下,停留在『畏懼』與『服從』的狀態。
白帽駭客強調自我約束且追求比謀取個人私利更遠大的動機,這樣的駭客文化,進而導致『駭客運動』(hacktivism)的興起。近年來被譽為阿拉伯之春,於中東地區如野火燎原般迅速發展的民主運動,包括伊朗的『綠色革命』(又被稱為 Twitter 革命),突尼西亞的『茉莉花革命』,直至這把春天的革命之火燃燒至埃及,而推翻了長期獨裁者穆拉巴克的行動,多少都能歸功於世界各地駭客們的串連與密集活動。
這些民眾革命,都是以社群媒體為聯繫管道,得以讓資訊快速傳播,民眾示威者得以有效集結並迅速行動。更進一步,駭客在埃及的廣場革命中,更扮演突破官方的封鎖防線。當政府關閉境內網路服務提供,著名的駭客團體 Telecomix 和匿名者(Anonymous)以傳統電話撥接的方法,另闢上網途徑,讓抗議廣場上資訊可以毫無障礙的流通,而順利讓抗議民眾得以大量聚集,讓廣場的憤怒之聲得以向世界傳播。
面對國家機器和企業巨輪的無情傾軋和圍堵,Elazari 認為駭客所擁有的特殊知識,若能誘導成為社會改革的力量,必能有效的成為對抗老大哥的主要利器。
在數位時代,能掌握資訊便能夠洞察先機,進而捷足先登。『知識就是力量』,在網路通訊便利的今日是再真實不過。更進一步的,我們甚至可以說:
「獲取資訊這樣的行為是能成為使權力更迭的籌碼」(access to information is a critical currency of power)。
Elazari 在演講中指出,2008 年以前,駭客們還只是鬆散的網路用戶,缺乏組織更別說凝聚群眾的號召力。彷彿就像嘻哈年代的塗鴉藝術家般,恣意在網站上留下塗鴉訊息或在論壇上以垃圾留言洗板。
直到美國的山達基教派嘗試在網路上移除該教派外洩的影音錄影後,才激怒了這些崇尚網路言論自由的駭客們。他們組織且動員起來,不僅建立了穩固的社群,也開啟具有特定改革訴求的駭客運動。每一個參與社群的駭客們,貢獻他們的知識並致力於確保網路存取的自由。
然而,正如同駭客的角色在現代社會中備受爭議,逐漸地一些獨裁政府以及軍事單位,也開始僱用駭客們來從事具有政治目的的行動。例如,敘利亞的獨裁政府,便擁有一支自稱為敘利亞電子軍隊(Syrian Electronic Army),專門侵入美國媒體者的社群帳號,並散佈不實新聞,以重挫美國股市。
相較於竊取資訊造成企業或個人的財物損失,駭客們若供獨裁者驅使,反使獨裁者如虎添翼,對於個人隱私和網路言論自由也更不能獲得保障。
在短短約二十分鐘的演講中,Elazari 描述了一個善加利用駭客的遠景,一個我們可以將原本破壞的力量疏導成更為正面的推力。她不屛棄駭客屢屢闖入企業國家安全的行為,反而認為這樣的行為若能藉由正面的鼓勵,進而形成推動社會改革的一個無形且強大的力量。
她的見解,被 TED 選為 2014 年最具有創意的想法。而我們期許,在更多的駭客了解自身的能力,所能帶給社會的影響力後,能更加具有道德自覺,且有效地透過社群或自我規範,對自己的行為採取負責的態度。
當『駭客』一詞,正逐漸演變從專指電腦犯罪者,到使用數位工具來創作,或表達訴求的影像藝術家,音樂家等。從以『駭客』為主的『駭客運動』到孕育社會改革的創意為主的『駭客松』(Hackthon)活動,也逐漸呈現多元化,容納許多對現狀不滿,無需駭客技巧的人們,並肩為更美好的地球而駭!
Hack the planet!
註釋: [註一] 隨後,這兩款自動櫃員機機型被稱為 “Jackpotting ATM” 以表揚 Jack 在這項資安上的貢獻。
延伸閱讀: - Keren Elazari TED 2014 talk 延伸閱讀
- 台灣第一銀行搶案與 ATM 的資訊安全
- Kyle Lovett 和他著名華碩無限路由器資安漏洞的訊息
- Khalil Shreateh 和他被拒絕的臉書臭蟲獎
圖片來源: Keren Elazari 於 2014 以『駭客網路之免疫系統』為題的 TED 演講
- Keren Elazari TED 2014 talk 延伸閱讀
- 台灣第一銀行搶案與 ATM 的資訊安全
- Kyle Lovett 和他著名華碩無限路由器資安漏洞的訊息
- Khalil Shreateh 和他被拒絕的臉書臭蟲獎
圖片來源: Keren Elazari 於 2014 以『駭客網路之免疫系統』為題的 TED 演講
分享至
成為作者繼續創作的動力吧!
