禍駭：網路犯罪世界的第一手紀實

前言：謊言帝國

我在展開資安主管的職業生涯後沒多久，就發現所有人都在騙我。
最大的謊言是打從一開始就聽到的──網路安全很難，太艱深了，對於沒有經過多年專業技術培訓的人來說，這肯定太困難了。那裡不是作家該去的地方。
光是那堆難以理解的行話，似乎就足以擋住像我這樣的門外漢進入這個領域。他們告訴我，除非我花很長的時間來鑽研這些術語行話，否則永遠都別希望能搞懂。除非我取得一張張專業又複雜的認證，除非我知道如何拆解電腦，還能重新組裝回去。又或除非我知道要怎麼用 Python 來編碼，還可以讀懂並解釋這些程式碼，並且找出問題的所在。
而且，就算我設法學會這些術語行話，接下來的學習也是漫漫長路，難以克服。
謊言、謊言、都是謊言。
不幸的是，資安人員的需求與實際可填補這些工作職缺的人才數量間存在著巨大的鴻溝。我認為，其中一項原因就是因為大家無法想像自己能夠從事這種工作。
你會用智慧型手機嗎？會製作 PowerPoint 這種投影片簡報檔嗎？行事果斷？是否曾經安排朋友度過一場電影之夜，且一切進展順利，沒有人因此出車禍？如果是的話，歡迎走上二十一世紀最熱門的一條職業道路。你知道要如何討女人歡心嗎？你逃過一場暴力婚姻嗎？是否曾經在家中舉辦過小孩的生日派對？如果答案都是肯定的話，親愛的，我要你加入我的網路資安團隊。
讀完本書的故事後，你會了解真正讓網路安全變得複雜的是人性本身的複雜。因此，如果你知道要如何與人打交道，就可以處理網路安全問題。如果你通曉如何讓人在網路上勾選之道，那麼你不僅可以識別威脅，還已經領先你的對手。
在我的職業生涯中，先後擔任過跨國公司網路安全主管、《華爾街日報》以及全國廣播公司商業頻道（Consumer News and Business Channel，簡稱CNBC）的記者和喬治城大學的教授。我遇過許多不可思議的人，從惡意攻擊的駭客到試圖阻止此類事件發生的專業資安人員，還有一批負責損害控制的政府機構高深莫測人物，但最終他們都是某個人的父親、兒子、母親、姐妹和配偶。換句話說，他們就跟你我一樣。是的，在駭客界中，從白帽（white hats）轉為黑帽（black hats）的頻率比你想像的要高，而他們之所以改變陣營的理由，就跟我們其他人一樣，受到相同的慾望所驅使，即使有時候，感覺起來好像資安界的每個人都對事實真相過敏，避之唯恐不及。
身為一名專業人士，我聽聞過關於這個我後來熱愛的領域的許多謊言。在成為資安記者後，我聽到的又更多。像是：
「讓我向你介紹駭客社群……」
這句謊言通常還會伴隨眨眼和點頭示意，來自那些自以爲認識地球上每個駭客的人。事實的真相是，根本沒有所謂的駭客「社群」。
當然，那些在大型年度會議上引起滿堂轟動的人可能會不同意。但是，在每個國家、每個政府、每個領域，每個團體都有相對應的駭客社群。其中有些非常保守，有些則非常自由，但大多數的都介於兩者之間。有些人白天穿西裝打領帶，從事像律師一樣的工作，另一些人看起來就像尋常百姓，在追求他們自己特有的計畫時，才發揮他們強大的人際交往能力。
有些駭客其實是好人，只是受夠了低薪和無聊的工作，因此成為罪犯。有些則原來是罪犯，最後卻改邪歸正。許多進入這一行的人，有可能是依循前者的模式，再不然就是走上後者的路子。
有些人，包括即將在這本書中遇到的許多人，都是技巧高超的駭客，他們根本沒有時間或意願與任何社群建立聯繫。
身為一名記者，讓我感到驚訝的是，有很多駭客願意對我開誠布公，提供我進入這個社群的特別路徑。我不禁注意到，「駭客社群」源頭的成員通常就只是一般人。我的意思是，在這個領域有很多不同類型的人，但我可以向你保證，他們當中有很多人就和你我一樣。
還有另一句謊話：「他是資安領域的佼佼者。」
他恐怕不是。在這個領域，名聲和才華通常並不相稱。我遇到的真正天才都不有名，而且大多數沒有在社群網站上留有資料。他們往往不會對他們專業知識之外的領域做出任何評論。
那些經常擔任會議主持人，能夠應邀接受我採訪的人，通常都沒有隱姓埋名人士的這份洞察力。知名駭客通常願意分享公開出來的，其背後都有明顯的重大意圖，我早就學會在老遠就將其識破。即使沒有留下什麼紀錄的對話，不論是政府高級官員，還是其他知名網路安全公司的大人物，他們透露的內部資訊其實鮮少有什麼新意涵。
在這個世界上（以及在本書中）為我釋疑解惑，點亮明燈的人，是那些從來沒有響亮頭銜的真正從業者。你絕對沒有聽過他們，而且可能永遠不會，況且基於保護他們隱私的緣故，我都將名字改了。
這些人之所以傑出，並不是因為他們的學歷，或是製造出什麼登上頭條的事件，而是因為他們帶了一盞明燈，可以指引他人前進。這類人的後面通常不會有公關團隊。
我最喜歡的一個謊言是：「他不知道他自己在說什麼。」
這通常是那些自以為比其他任何人都了解資安領域的人所說的。這些人會吹牛，說他們知道當駭客的感覺，並且可以做到其他人無法做的事情。
我總是對那些矮化其他資安人員專業知識的人保持警覺。這個領域的深度和廣度非比尋常，因此每個從業者都專精於這領域的某一部分，我還沒遇過通曉整個領域的人。連稍微接近的也沒有。
事件的觀點取決於觀察者的角度，他的見聞、他本身的專業知識，這些都會影響到他的觀點，而這會隨時間而改變。這就像讓居住在第五大道廣場飯店裡的人描述曼哈頓，然後再讓居住在東哈林區中途之家的人也來講講。同一主題，從不同的參考點來看，勢必會出現截然不同的影像。
然後是最後一個謊言，這是最難引起爭議的謊言，是一種「馬基維利技術奇蹟式」（Machiavellian technological wonde）的謊言，來自《龍紋身的女孩》超強女駭客莉絲．莎蘭德和美國心理驚悚電視劇《駭客軍團》（Mr. Robots）。媒體喜歡以非黑即白的二維鏡頭來呈現駭客、資安專家和情報專業人員；他們不是善良的十字軍，就是邪惡陣營，而且全都穿得一身黑。
我讀過無數篇新聞報導，將我認識的那些網路安全專才描述成靠著他們對電腦科學的敏銳度，在暗處操縱魁儡的大師。無論好壞，我見到這些人經歷過和你我相同的凡人經歷，我想要告訴你他們的故事。
過去十年，我一直在資安領域工作，並觀察這個網路世界。我的一些聯繫人是罪犯，遊走在真實與虛構之間的界線。我竭盡全力查證過他們的故事，力求正確，或者至少在我看來是合理的。
在我動筆寫書之際，這個行業大約只有九％是女性。我認識她們當中很多人，也許是因為我們是相對少數的關係。為了解決網路安全工作短缺的問題，到二○二○年將需要花費數百萬美元，我們也得更認真地招募女性進來。這聽起來像是在說我們得面對某種嚴峻的挑戰，但事實並非如此。對女性而言，這是自然的職業。
過度警覺、小心怕事，還會根據接二連三發生的事情發想可能導致的災難，提出大家意想不到的恐怖情況；這通常是阻礙女性進入職場的三種病態，也正好是許多新手媽媽的三大特徵。但是在這個領域，這些反而是巨大資產。我的職業生涯讓我明白，也許受過這些苦難的女性更適合從事這些資安工作，可善用她們的焦慮感來賺大錢。
在我進入這個領域時，沒有想到會為此寫一本書，我只是想認識更多這些在我人生中進進出出的有趣人物。寫書跟寫新聞很不一樣，因為我對在這裡寫的一些人並不會抱持客觀的態度。我在書中描寫到的人，有許多是我的朋友，但有些我則視為敵人。我將他們的故事保存下來，寫成這本書。
說到底，這本書是關於控制的。人在與技術產品互動時所做的一切，都有一個共同的主題，那就是希望以有利自身的方式來控制環境。我們做出的每個技術決定幾乎都是受到心中最想實現的願望所驅動。
每一項創新的催化劑，每一條前進的軌跡曲線，都是來自於想要控制某件事物或某個人，甚或是所有的人事物。也許是靠科技，也許是靠權位，也許是藉助才華，也許是搭配某種技巧。最後得到的獎賞就是高高在上地握住韁繩，操控這頭我們創造的龐然巨獸。在任何一秒鐘，都有成千上萬的人爭先恐後地為此努力奮鬥。
當然，你早就知道誰才是真正在控制的人。因為你對網路安全的認識比你想像得還要多。

前言：謊言帝國

我在展開資安主管的職業生涯後沒多久，就發現所有人都在騙我。
最大的謊言是打從一開始就聽到的──網路安全很難，太艱深了，對於沒有經過多年專業技術培訓的人來說，這肯定太困難了。那裡不是作家該去的地方。
光是那堆難以理解的行話，似乎就足以擋住像我這樣的門外漢進入這個領域。他們告訴我，除非我花很長的時間來鑽研這些術語行話，否則永遠都別希望能搞懂。除非我取得一張張專業又複雜的認證，除非我知道如何拆解電腦，還能重新組裝回去。又或除非我知道要怎麼用 Python 來編碼，還可以讀懂並解釋這些程式碼，...

序幕：燕子
介紹一些具有里程碑意義的事件，是本書敘事發展的背景基礎。
前言：謊言王國
簡單介紹一下在這場旅途中即將遇到的種種謊言。
第一章未來威脅
回顧早期一些造成網路威脅的人，以及他們在本書中的對手。
第二章冒牌貨
對那些經費不足的資安主管來說，金融部門遭受的重大網路攻擊，正是他們要求預算增加的機會。但是，大手筆的招聘反而會產生弊端。
第三章牆
遇到一些攻擊金融部門的罪犯，目睹大型組織疲於應付的窘境，陷入艱苦戰鬥。
第四章孩子
介紹俄羅斯和其他國家長期以來所採行的策略，他們默許網路犯罪，以此來交換犯罪分子的資訊和專門知識，這可能會造成奇怪的成果。
第五章義大利人
看到網路犯罪世界是如何打破物理邊界，以及媒體對網路事件的錯誤認識是怎樣誤導大眾，讓大家對網路犯罪產生錯誤觀點。
第六章零工經濟
遇到更多的駭客，看到當中有些人如何棄暗投明，設法將其網路犯罪專業知識轉化成合法工作。儘管許多人發現，要與過去切割真的很難。
第七章試用
解釋銀行和民族國家是如何制定策略，以網羅從紐約到中國等各地最有前途的駭客。
第八章父親
看到駭客的現實生活也是充滿辛苦的掙扎，包括為人父母、死亡，甚至也遭到駭客入侵。
第九章青少年
在羅馬尼亞，有位年輕的大學生愚蠢地展開一場另類的青春狂賭。
第十章流言
認識情報工作和干涉外國的活動之間由來已久的聯繫，以及種種變動的不實資訊是如何進入數位領域。
第十一章戀人
再回到特蘭西瓦尼亞的鄉村，我們發現對這個小鎮上的少女來說，要退出可能為時已晚，她已經陷入地下網路犯罪的困境。
第十二章研究員
一位算是屬於好人陣營的受僱駭客，他跟著一個有趣的線索，從赫爾辛基飛到布加勒斯特。
第十三章志願者
當政府找上門來，網路犯罪分子並不總是願意提供自己的知識和技能，而這會引起一場有趣的衝突。
第十四章母親
駭客有時也必須對付世界上最強大的一種力量：媽媽。
第十五章鬼魂
人、機器和公司都難以擺脫過去帶來的困擾，無論是災難事件、不良併購，還是主管間的衝突。有些人得以應付，有些則否。
第十六章招聘人員
當年輕的駭客想要成長，找一份真正的工作時，要去哪裡問？該往那個方向走？就目前資安領域專業人員嚴重不足的狀況來看，每個人都可以找到發揮所長的地方。
第十七章內部威脅
今日，資安人員中有很大一部分來自情報專業領域。要從刺激有趣的外國領土轉變到美國公司窗明几淨的辦公室，對他們來說這中間有多困難？
第十八章：恐怖分子
要是罪犯不與要求苛刻的政府合作，而是選擇跨國恐怖組織來進行，又會發生什麼事？
第十九章長途旅行
即使是網路犯罪分子，也有可能走上更好的道路，而適量的陽光可提供最佳的消毒劑。
第二十章原因
為什麼網路犯罪分子會犯下這些罪行？我們了解到也許這他媽的根本並不重要。
第二十一章西班牙人
在馬拉加太陽海岸的潔淨陽光下，即使是自認無可救藥的網路罪犯，也可以獲得第二次機會。
第二十二章計畫經理
最後，無論你來自何處，犯下什麼樣的罪行，或是救過多少生命，獲得哪些頭銜，你實際上只是一個光榮的計畫經理。
第二十三章記者
在我們看到媒體的唯一代表努力解決這個事實時，用托馬斯‧沃爾夫（Thomas Wolfe）的話來說，有時是你離開SOC，有時是SOC離開了你，但是你無法再次回到SOC。
結語：我們沒有開火
提醒你還有好多故事要講。
附錄A：網路術語詞彙表
附錄B：結語說明
附錄C：資料來源
後記
謝辭

序幕：燕子
介紹一些具有里程碑意義的事件，是本書敘事發展的背景基礎。
前言：謊言王國
簡單介紹一下在這場旅途中即將遇到的種種謊言。
第一章未來威脅
回顧早期一些造成網路威脅的人，以及他們在本書中的對手。
第二章冒牌貨
對那些經費不足的資安主管來說，金融部門遭受的重大網路攻擊，正是他們要求預算增加的機會。但是，大手筆的招聘反而會產生弊端。
第三章牆
遇到一些攻擊金融部門的罪犯，目睹大型組織疲於應付的窘境，陷入艱苦戰鬥。
第四章孩子
介紹俄羅斯和其他國家長期以來所採行的策略，他們默許網路犯罪，以此來...