網路到哪裡,駭客就到哪裡,
駭客無孔不入,有如網路新冠病毒,
不斷變種變強,攻擊牽連甚廣,
每個人都可能是「受駭者」,
攻擊無法避免,只能防禦!運用精湛技巧與迷人風格揭開網路犯罪世界的真相,改編真人真事讓您直擊現今世界中各式駭客的攻擊實錄,比犯罪驚悚小說更恐怖。在上網之前,請先讀讀這本書吧!
2021年4月初Facebook 再度爆發用戶個資外洩事件,這次一共被竊取超過 5.3 億筆資料,其中受影響的臺灣帳戶有 73 萬人左右……
2021年5月臺灣爆發多家公司遭勒索病毒入侵,勒索金額直逼天價,此時美國東岸大型輸油管系統亦遭駭客攻擊勒索,交通、消費面臨重大危機……
網路犯罪,已成為現代普遍存在的社會問題。然而,我們卻鮮少正視其嚴重性,更別說了解躲在這些攻擊背後的傢伙。這些駭客是什麼人?他們住在哪兒?他們以誰為目標?如何抓到他們,又如何追究他們的責任?我們又該如何保護自己?
網路上的攻擊時時進行著,任何人都可能是下一個目標……
本書探討駭客、安全專家和執法人員,相互連通的幕後文化。駭客可分為黑帽、白帽與灰帽三種。白帽駭客就是所謂的道德駭客,在業主許可下進行探測入侵行為,藉以發掘安全漏洞。黑帽駭客利用惡意程式不法取得金錢;灰帽駭客則是遊走黑白之間,一方面從事資安任務,另方面也有未經授權的入侵行為。
從網絡安全專業跨足到新聞工作,作者凱特‧法茲尼戳破了許多謊言,有的是公司和政府講得關於我們的資訊安全,有的是罪犯為了成功所編造的謊言,還有的是網路安全主管為了讓人以為他們把工作做得很好的謊言。她將網路安全這個瘋狂、神祕、混亂的世界,活靈活現展示在讀者面前,以堅實豐富的新聞技巧,挖掘出網路犯罪者、試圖阻止網路犯罪的人,以及從事網路犯罪雙面工作、富有創業精神的人物……他們內心的真正想法。
一名19歲的羅馬尼亞學生在她的村莊偶然陷入一個勒索軟體犯罪鏈。不久後,她就向矽谷的億萬富翁勒索幾百萬美金,這時的她連電腦的基礎都還不了解。
一位資深的網路安全專家在一間全球數一數二大的銀行中招募了一批頂尖駭客,組成深層的防禦網路。但隨後,這家銀行卻聘了一批前軍事人員前來「協助」。
中國一家旅館的門衛曾經在人民解放軍中服役,負責竊取美國公司的智慧財產權。現在,他利用自己的技能私下經營起副業,販售他在上海商業中心的旅客那裡竊取的資料。
從羅馬尼亞的網路犯罪村到中國的智慧財產權盜竊,這些都是在史上大規模網路攻擊事件背後發生的真實故事,凱特‧法茲尼遇到了這些駭客,他們有的會創造新的網路武器,有的會駭入跑車,也有人開發出能夠阻撓國際銀行正常營運的勒索軟體。
本書快速瀏覽了在幾年前還只是幻想的創新技術,但如今已成為我們生活中不可或缺的一部分,讀來既有娛樂性,又令人大開眼界。
★★推薦肯定★★
資訊安全其實是個「人造」議題:電腦是人造的、網際網路是人造的,而種種的資安威脅也是人造的。本書以故事手法,生動描繪著資安領域的種種人物、事件與場景,讓摸不著看不見的資安宛如電影般歷歷在目。藉由本書,相信讀者可以更加理解資訊安全的重要性。吳其勳|iThome總編輯
凱特.法茲尼對於資安領域的觀察可說是一針見血——謊言王國,對照於臺灣,政府針對數位身分證資安的疑慮,只會跳針回應「百分之百安全」,而臺灣各公司面對勒索軟體資安攻擊的回應則是「已於第一時間啟動資安防禦機制,全面提升網路安全等級」,這些都是深具臺灣特色的資安謊言。本人極力推薦本書,可以讓讀者更具有分辨資安謊言的洞察力。
林宗男|臺灣大學電機工程學系教授
★★頂尖推薦★★
李忠憲 成功大學電機工程學系教授
李雪莉 《報導者》總編輯
沈伯洋 臺北大學犯罪學研究所助理教授
吳其勳 iThome總編輯
林宗男 臺灣大學電機工程學系教授
黃彥棻 iThome資安主筆
廖雲章 獨立評論@天下頻道總監
鄭俊德 「閱讀人」創辦人
★★各界好評★★
《禍駭:網路犯罪世界的第一手紀實》的行文敘事手法幾乎像一本小說,生動描述了從羅馬尼亞到中國的黑帽駭客這些幫派分子是如何從像你我這樣的人以及有錢有勢的華爾街銀行那裡勒索金錢,以及白帽駭客是如何試圖阻止這些人的行動,讓他們不至於癱瘓跨國公司的運作,或是製造數位宣傳來左右輿論。
──《泰晤士報》(The Times, UK)
讀起來像是懸疑小說……讀者可能沒想到她所講的故事有許多是直接取自新聞報導的內容……而且,可以說,從法茲尼的書中學到的遠遠超過一篇交代清楚的新聞報導。
──《時代》(The Times)
在這本深入剖析網路安全專業領域的書中,全國廣播公司商業頻道(CNBC)記者法茲尼提供給讀者近身觀察網絡犯罪事業的角度……法茲尼清楚傳達網絡犯罪手法日新月異的發展方式,在未來將會變得更為狡猾難測。
──《書單》(Booklist)
語調輕鬆詼諧地探討了許多在網路另一端伺機而動的壞人……對於任何打算進入網絡安全領域的人來說是本不錯的書,也會扭轉人的想法,產生往這個方向發展事業的興趣。
──柯克斯書評(Kirkus Reviews)
作者簡介:
凱特‧法茲尼(Kate Fazzini)
現為美國全國廣播公司商業頻道(CNBC)的網路安全記者。在此之前,曾為《華爾街日報》(The Wall Street Journal)報導網路安全新聞,亦曾在位於華盛頓特區的海岬金融集團(Promontory Financial Group)──現為IBM的一個部門──擔任網路安全業務部門負責人。更早以前,曾在摩根大通(JPMorgan Chase)擔任網路安全營運副總裁。目前在喬治城大學(Georgetown University)的應用情報計畫中任教。現居紐約市。
譯者簡介:
王惟芬
臺大動物系、倫敦大學帝國理工學院科技醫療史碩士。日前在巴黎半工半讀,一邊於索邦法式文明課程修習法文,一邊翻譯寫作偶爾還兼中文家教。
曾經謀生處:中研院動物所與生物多樣性中心、葉子咖啡店、總統府、臺大海洋所與臺大醫學院。
譯著以科普、科學史、藝術史、環境科學及傳記文學為主。
Email:weifen.wang@gmail.com
章節試閱
前言:謊言帝國
我在展開資安主管的職業生涯後沒多久,就發現所有人都在騙我。
最大的謊言是打從一開始就聽到的──網路安全很難,太艱深了,對於沒有經過多年專業技術培訓的人來說,這肯定太困難了。那裡不是作家該去的地方。
光是那堆難以理解的行話,似乎就足以擋住像我這樣的門外漢進入這個領域。他們告訴我,除非我花很長的時間來鑽研這些術語行話,否則永遠都別希望能搞懂。除非我取得一張張專業又複雜的認證,除非我知道如何拆解電腦,還能重新組裝回去。又或除非我知道要怎麼用 Python 來編碼,還可以讀懂並解釋這些程式碼,並且找出問題的所在。
而且,就算我設法學會這些術語行話,接下來的學習也是漫漫長路,難以克服。
謊言、謊言、都是謊言。
不幸的是,資安人員的需求與實際可填補這些工作職缺的人才數量間存在著巨大的鴻溝。我認為,其中一項原因就是因為大家無法想像自己能夠從事這種工作。
你會用智慧型手機嗎?會製作 PowerPoint 這種投影片簡報檔嗎?行事果斷?是否曾經安排朋友度過一場電影之夜,且一切進展順利,沒有人因此出車禍?如果是的話,歡迎走上二十一世紀最熱門的一條職業道路。你知道要如何討女人歡心嗎?你逃過一場暴力婚姻嗎?是否曾經在家中舉辦過小孩的生日派對?如果答案都是肯定的話,親愛的,我要你加入我的網路資安團隊。
讀完本書的故事後,你會了解真正讓網路安全變得複雜的是人性本身的複雜。因此,如果你知道要如何與人打交道,就可以處理網路安全問題。如果你通曉如何讓人在網路上勾選之道,那麼你不僅可以識別威脅,還已經領先你的對手。
在我的職業生涯中,先後擔任過跨國公司網路安全主管、《華爾街日報》以及全國廣播公司商業頻道(Consumer News and Business Channel,簡稱CNBC)的記者和喬治城大學的教授。我遇過許多不可思議的人,從惡意攻擊的駭客到試圖阻止此類事件發生的專業資安人員,還有一批負責損害控制的政府機構高深莫測人物,但最終他們都是某個人的父親、兒子、母親、姐妹和配偶。換句話說,他們就跟你我一樣。是的,在駭客界中,從白帽(white hats)轉為黑帽(black hats)的頻率比你想像的要高,而他們之所以改變陣營的理由,就跟我們其他人一樣,受到相同的慾望所驅使,即使有時候,感覺起來好像資安界的每個人都對事實真相過敏,避之唯恐不及。
身為一名專業人士,我聽聞過關於這個我後來熱愛的領域的許多謊言。在成為資安記者後,我聽到的又更多。像是:
「讓我向你介紹駭客社群……」
這句謊言通常還會伴隨眨眼和點頭示意,來自那些自以爲認識地球上每個駭客的人。事實的真相是,根本沒有所謂的駭客「社群」。
當然,那些在大型年度會議上引起滿堂轟動的人可能會不同意。但是,在每個國家、每個政府、每個領域,每個團體都有相對應的駭客社群。其中有些非常保守,有些則非常自由,但大多數的都介於兩者之間。有些人白天穿西裝打領帶,從事像律師一樣的工作,另一些人看起來就像尋常百姓,在追求他們自己特有的計畫時,才發揮他們強大的人際交往能力。
有些駭客其實是好人,只是受夠了低薪和無聊的工作,因此成為罪犯。有些則原來是罪犯,最後卻改邪歸正。許多進入這一行的人,有可能是依循前者的模式,再不然就是走上後者的路子。
有些人,包括即將在這本書中遇到的許多人,都是技巧高超的駭客,他們根本沒有時間或意願與任何社群建立聯繫。
身為一名記者,讓我感到驚訝的是,有很多駭客願意對我開誠布公,提供我進入這個社群的特別路徑。我不禁注意到,「駭客社群」源頭的成員通常就只是一般人。我的意思是,在這個領域有很多不同類型的人,但我可以向你保證,他們當中有很多人就和你我一樣。
還有另一句謊話:「他是資安領域的佼佼者。」
他恐怕不是。在這個領域,名聲和才華通常並不相稱。我遇到的真正天才都不有名,而且大多數沒有在社群網站上留有資料。他們往往不會對他們專業知識之外的領域做出任何評論。
那些經常擔任會議主持人,能夠應邀接受我採訪的人,通常都沒有隱姓埋名人士的這份洞察力。知名駭客通常願意分享公開出來的,其背後都有明顯的重大意圖,我早就學會在老遠就將其識破。即使沒有留下什麼紀錄的對話,不論是政府高級官員,還是其他知名網路安全公司的大人物,他們透露的內部資訊其實鮮少有什麼新意涵。
在這個世界上(以及在本書中)為我釋疑解惑,點亮明燈的人,是那些從來沒有響亮頭銜的真正從業者。你絕對沒有聽過他們,而且可能永遠不會,況且基於保護他們隱私的緣故,我都將名字改了。
這些人之所以傑出,並不是因為他們的學歷,或是製造出什麼登上頭條的事件,而是因為他們帶了一盞明燈,可以指引他人前進。這類人的後面通常不會有公關團隊。
我最喜歡的一個謊言是:「他不知道他自己在說什麼。」
這通常是那些自以為比其他任何人都了解資安領域的人所說的。這些人會吹牛,說他們知道當駭客的感覺,並且可以做到其他人無法做的事情。
我總是對那些矮化其他資安人員專業知識的人保持警覺。這個領域的深度和廣度非比尋常,因此每個從業者都專精於這領域的某一部分,我還沒遇過通曉整個領域的人。連稍微接近的也沒有。
事件的觀點取決於觀察者的角度,他的見聞、他本身的專業知識,這些都會影響到他的觀點,而這會隨時間而改變。這就像讓居住在第五大道廣場飯店裡的人描述曼哈頓,然後再讓居住在東哈林區中途之家的人也來講講。同一主題,從不同的參考點來看,勢必會出現截然不同的影像。
然後是最後一個謊言,這是最難引起爭議的謊言,是一種「馬基維利技術奇蹟式」(Machiavellian technological wonde)的謊言,來自《龍紋身的女孩》超強女駭客莉絲.莎蘭德和美國心理驚悚電視劇《駭客軍團》(Mr. Robots)。媒體喜歡以非黑即白的二維鏡頭來呈現駭客、資安專家和情報專業人員;他們不是善良的十字軍,就是邪惡陣營,而且全都穿得一身黑。
我讀過無數篇新聞報導,將我認識的那些網路安全專才描述成靠著他們對電腦科學的敏銳度,在暗處操縱魁儡的大師。無論好壞,我見到這些人經歷過和你我相同的凡人經歷,我想要告訴你他們的故事。
過去十年,我一直在資安領域工作,並觀察這個網路世界。我的一些聯繫人是罪犯,遊走在真實與虛構之間的界線。我竭盡全力查證過他們的故事,力求正確,或者至少在我看來是合理的。
在我動筆寫書之際,這個行業大約只有九%是女性。我認識她們當中很多人,也許是因為我們是相對少數的關係。為了解決網路安全工作短缺的問題,到二○二○年將需要花費數百萬美元,我們也得更認真地招募女性進來。這聽起來像是在說我們得面對某種嚴峻的挑戰,但事實並非如此。對女性而言,這是自然的職業。
過度警覺、小心怕事,還會根據接二連三發生的事情發想可能導致的災難,提出大家意想不到的恐怖情況;這通常是阻礙女性進入職場的三種病態,也正好是許多新手媽媽的三大特徵。但是在這個領域,這些反而是巨大資產。我的職業生涯讓我明白,也許受過這些苦難的女性更適合從事這些資安工作,可善用她們的焦慮感來賺大錢。
在我進入這個領域時,沒有想到會為此寫一本書,我只是想認識更多這些在我人生中進進出出的有趣人物。寫書跟寫新聞很不一樣,因為我對在這裡寫的一些人並不會抱持客觀的態度。我在書中描寫到的人,有許多是我的朋友,但有些我則視為敵人。我將他們的故事保存下來,寫成這本書。
說到底,這本書是關於控制的。人在與技術產品互動時所做的一切,都有一個共同的主題,那就是希望以有利自身的方式來控制環境。我們做出的每個技術決定幾乎都是受到心中最想實現的願望所驅動。
每一項創新的催化劑,每一條前進的軌跡曲線,都是來自於想要控制某件事物或某個人,甚或是所有的人事物。也許是靠科技,也許是靠權位,也許是藉助才華,也許是搭配某種技巧。最後得到的獎賞就是高高在上地握住韁繩,操控這頭我們創造的龐然巨獸。在任何一秒鐘,都有成千上萬的人爭先恐後地為此努力奮鬥。
當然,你早就知道誰才是真正在控制的人。因為你對網路安全的認識比你想像得還要多。
前言:謊言帝國
我在展開資安主管的職業生涯後沒多久,就發現所有人都在騙我。
最大的謊言是打從一開始就聽到的──網路安全很難,太艱深了,對於沒有經過多年專業技術培訓的人來說,這肯定太困難了。那裡不是作家該去的地方。
光是那堆難以理解的行話,似乎就足以擋住像我這樣的門外漢進入這個領域。他們告訴我,除非我花很長的時間來鑽研這些術語行話,否則永遠都別希望能搞懂。除非我取得一張張專業又複雜的認證,除非我知道如何拆解電腦,還能重新組裝回去。又或除非我知道要怎麼用 Python 來編碼,還可以讀懂並解釋這些程式碼,...
目錄
序幕:燕子
介紹一些具有里程碑意義的事件,是本書敘事發展的背景基礎。
前言:謊言王國
簡單介紹一下在這場旅途中即將遇到的種種謊言。
第一章未來威脅
回顧早期一些造成網路威脅的人,以及他們在本書中的對手。
第二章冒牌貨
對那些經費不足的資安主管來說,金融部門遭受的重大網路攻擊,正是他們要求預算增加的機會。但是,大手筆的招聘反而會產生弊端。
第三章牆
遇到一些攻擊金融部門的罪犯,目睹大型組織疲於應付的窘境,陷入艱苦戰鬥。
第四章孩子
介紹俄羅斯和其他國家長期以來所採行的策略,他們默許網路犯罪,以此來交換犯罪分子的資訊和專門知識,這可能會造成奇怪的成果。
第五章義大利人
看到網路犯罪世界是如何打破物理邊界,以及媒體對網路事件的錯誤認識是怎樣誤導大眾,讓大家對網路犯罪產生錯誤觀點。
第六章零工經濟
遇到更多的駭客,看到當中有些人如何棄暗投明,設法將其網路犯罪專業知識轉化成合法工作。儘管許多人發現,要與過去切割真的很難。
第七章試用
解釋銀行和民族國家是如何制定策略,以網羅從紐約到中國等各地最有前途的駭客。
第八章父親
看到駭客的現實生活也是充滿辛苦的掙扎,包括為人父母、死亡,甚至也遭到駭客入侵。
第九章青少年
在羅馬尼亞,有位年輕的大學生愚蠢地展開一場另類的青春狂賭。
第十章流言
認識情報工作和干涉外國的活動之間由來已久的聯繫,以及種種變動的不實資訊是如何進入數位領域。
第十一章戀人
再回到特蘭西瓦尼亞的鄉村,我們發現對這個小鎮上的少女來說,要退出可能為時已晚,她已經陷入地下網路犯罪的困境。
第十二章研究員
一位算是屬於好人陣營的受僱駭客,他跟著一個有趣的線索,從赫爾辛基飛到布加勒斯特。
第十三章志願者
當政府找上門來,網路犯罪分子並不總是願意提供自己的知識和技能,而這會引起一場有趣的衝突。
第十四章母親
駭客有時也必須對付世界上最強大的一種力量:媽媽。
第十五章鬼魂
人、機器和公司都難以擺脫過去帶來的困擾,無論是災難事件、不良併購,還是主管間的衝突。有些人得以應付,有些則否。
第十六章招聘人員
當年輕的駭客想要成長,找一份真正的工作時,要去哪裡問?該往那個方向走?就目前資安領域專業人員嚴重不足的狀況來看,每個人都可以找到發揮所長的地方。
第十七章內部威脅
今日,資安人員中有很大一部分來自情報專業領域。要從刺激有趣的外國領土轉變到美國公司窗明几淨的辦公室,對他們來說這中間有多困難?
第十八章:恐怖分子
要是罪犯不與要求苛刻的政府合作,而是選擇跨國恐怖組織來進行,又會發生什麼事?
第十九章長途旅行
即使是網路犯罪分子,也有可能走上更好的道路,而適量的陽光可提供最佳的消毒劑。
第二十章原因
為什麼網路犯罪分子會犯下這些罪行?我們了解到也許這他媽的根本並不重要。
第二十一章西班牙人
在馬拉加太陽海岸的潔淨陽光下,即使是自認無可救藥的網路罪犯,也可以獲得第二次機會。
第二十二章計畫經理
最後,無論你來自何處,犯下什麼樣的罪行,或是救過多少生命,獲得哪些頭銜,你實際上只是一個光榮的計畫經理。
第二十三章記者
在我們看到媒體的唯一代表努力解決這個事實時,用托馬斯‧沃爾夫(Thomas Wolfe)的話來說,有時是你離開SOC,有時是SOC離開了你,但是你無法再次回到SOC。
結語:我們沒有開火
提醒你還有好多故事要講。
附錄A:網路術語詞彙表
附錄B:結語說明
附錄C:資料來源
後記
謝辭
序幕:燕子
介紹一些具有里程碑意義的事件,是本書敘事發展的背景基礎。
前言:謊言王國
簡單介紹一下在這場旅途中即將遇到的種種謊言。
第一章未來威脅
回顧早期一些造成網路威脅的人,以及他們在本書中的對手。
第二章冒牌貨
對那些經費不足的資安主管來說,金融部門遭受的重大網路攻擊,正是他們要求預算增加的機會。但是,大手筆的招聘反而會產生弊端。
第三章牆
遇到一些攻擊金融部門的罪犯,目睹大型組織疲於應付的窘境,陷入艱苦戰鬥。
第四章孩子
介紹俄羅斯和其他國家長期以來所採行的策略,他們默許網路犯罪,以此來...