推薦文
五角大廈把網路攻擊視為戰爭行為,我們呢?
──戴季全(《TechOrange》創辦人暨發行人,《Wired》國際中文版創辦總編輯)
美國的五角大廈在2011年時,首次制定了一套網路戰爭戰略方針,把其他國家對美國發動的網路攻擊視為戰爭行為,美國因此可以「採取傳統軍事手段予以回應。」
現在的網路攻擊,已經能夠癱瘓核四、搞垮台電、弄停捷運。蠕蟲只要感染幾萬台電腦,就可以癱瘓絕大部份的企業網路。大多數人還不理解這種新型態的犯罪行為,大多數的政府根本連這樣的犯罪行為還欠缺基本的理解,更不要說發展相應的法律和技術來抑止這樣的罪行。
這早就已經不是我們以往認知的駭客精神與駭客行為了,駭客精神是以一種打破既有框架的思考與行動,創造出更高價值的創新態度。後來駭客這個詞被劫取一部份意義,用來描述可以找出系統漏洞並透過漏洞滲入或展現破壞的高難度軟體技術行動。
發展到現在,已經有白帽駭客及由白帽駭客組成的組織以保護網路安全為己任,與黑帽駭客組織對抗。我們不夠清楚的是,這樣的惡意駭客早已經發展成極具威脅性的犯罪組織。這種新形態的犯罪組織,一樣會透過詐欺、勒索、洗錢等方式斂財,進行犯罪活動。它們用網路散佈惡意軟體或發動DDoS(分散式服務阻斷攻擊)攻擊癱瘓網路服務,向企業勒索;收集竊取並販賣私人資料;用擬真的介面進行詐欺。
有兩種情況在嚴格定義上,我們甚至不能稱他們為犯罪組織。一個是還沒有法律規範、網路技術落後的國家:沒有法律,就不會違法;沒有技術,就無能執法。
另一種情況,是這樣的破壞行為根本就是由國家層級在發動的:
「根據統計,中國有250個駭客組織在政府的默許,甚或官方的支持下,去入侵、癱瘓電腦網路。」2008年的《美中安全報告》中指出,「中國政府密切監控網際網路活動,因此很可能知道這些駭客的活動。雖然實際的數字不明,外界預估再再顯示中國為了遂行政府的意志,在網路虛擬世界投入了大量的人力。很多人在中國的軍事院校裡接受網路運作的相關訓練,這也的確符合中國軍方的整體戰略。」
這些新型態的犯罪或戰爭行為, 全都透過機器人網路(botnet)進行。
駭客先用「電腦蠕蟲」感染你的電腦,把你的電腦變成「殭屍電腦」。低階一點的殭屍電腦,就三不五時跳出色情廣告。後來的殭屍電腦,在發作前小心不讓你察覺。現在的殭屍電腦,已經不是殭屍了,蠕蟲的控制活動精微而謹慎,只佔用最小的系統資源,讓使用者和防毒軟體難以察覺。
這些機器人殭屍電腦所組成機器人網路,規模越大價值越高。這種網路的控制者大概只要擁有2萬台殭屍電腦,就可以癱瘓絕大部份的企業網路服務。在2008年,一株最厲害的蠕蟲Conficker冒出來,它在全球感染了1,200萬台電腦,這在本書《第一次網路世界大戰》中有詳細始末。
─對不起,只有始沒有末。
創造Conficker的駭客還沒被抓到,Conficker還在積極感染。這場戰爭,還沒結束。
譯者序
國家、駭客與資訊防衛的戰火正熾
──陳修賢(本書合譯者、著有《雲端經濟4強決戰》)
對網路、科技好奇的讀者,拿起《第一次網路世界大戰》這本書,極有可能讀得興味昂然。
這本書講述的是橫行全球惡意軟體的真實故事,原文版並以「第一次數位世界大戰」為副題,本身就有具象而富張力。
作者馬克.包登(Mark Bowden)是美國寫作真實故事的好手。他所著的《黑鷹計畫》(Black Hawk Down)一書,記述了1993年美軍特種部隊在非洲索馬利亞首都摩加迪修與當地叛軍激戰的真實故事,後來改拍成電影也膾炙人口。
對我個人,翻譯這本書是學習、了解網路奇異世界的好機會。一如所有現代人,我常常聽到、讀到網路世界多麼光鮮、影響力如何遠播的故事,但對網路世界詭譎、邪惡的一面,所知極度有限。
這本書裡的網路世界,就像作者在本書開頭不久的形容,好像法紀不彰的蠻荒大西部,在那裡,懷抱理想、心存良善的遊俠,與惡念存胸、蠢蠢欲動的壞客,大剌剌地並存天地之間,處處可以開戰,時時要分出高下。
過去講述病毒蠕蟲、網路犯罪的書籍與資訊不少,但那些書籍,大都文字專業生硬,內容不時夾雜大量的程式碼,讓並非修習軟體的一般讀者看了就卻步。這本書真的特別,就在它既是一本可以讓人在泡杯好茶、輕鬆閱讀之間看盡網路世界群像的故事書,卻又言之有物,紮實得經得起考驗。由起始到結束,就算這本書說的是虛擬世界發生的故事,連串的場景卻無一不好似圖像實境般地栩栩如生,而非虛假空言。
這本書也來得正是時候。一方面,惡意軟體、網路犯罪快速蔓延,這個題目何其嚴肅。你我、以至整個社會、經濟、政治都受其騷擾挑戰,已不能再把它看成是少數專家的小眾專門事務。另一方面,在行動、雲端的應用型態快速崛起後,資訊安全正迅速演變成為全球最難解的維安議題。
就算是尋常百姓,看到這麼多相關報導,實在令人寢食難安。2010年有一個叫做「宙斯」的木馬程式到處氾濫,據傳感染了約四百萬台電腦。就曾有人透過這一惡意軟體,啟動聚沙成塔式的偷竊行為,在大眾不知不覺間,自銀行體系挖走了眾多戶頭裡總共七千萬美金。
連台灣都逃不過這股網海惡風。國安局長蔡得勝去年在立法院答詢時承認,來自對岸的網軍攻勢越來越積極。前年在台灣有統計的個資被盜案件就總計有兩萬六千筆。而國安局本身前年全年共遭受98萬次有意圖的攻擊,去年單是上半年就已達103萬次。同在現場的立法委員坦承,立委的電子郵件信箱被駭客設定轉送到其它國家的伺服器情事,同樣常常發生。
走入2013年,我們對網路資安的危機感更為強烈。美國最有影響力的主流媒體,包括《紐約時報》、《華爾街日報》、《華盛頓郵報》的網站,今年以來紛紛遭到中國大陸的駭客侵入。
英國起訴了以惡意軟體攻擊匯豐銀行HSBC、網路交易付款系統PayPal等金融服務業者的主使人。
一個遍及全球的惡意軟體網絡早已成形,現在益發勃興。參與其中的有駭客高手、有銷售專家。侵入網路、竊盜資訊,已不再是好手間的鬥法遊戲,而是有巨大經濟、政治利益的政商謀略。
由病毒肆虐演進到專業駭客四處巧取豪奪,我們正身處網路資安大環境的快速量變以及質變。過去的駭客,大多以好玩、炫耀為動機發動所謂攻擊,不刻意出重手造成大幅度傷害;而今網路虛擬世界的犯罪行為與我們再實體世界所見的動機與後果近乎等同。為了錢財、甚或為了政治、軍事目的,專業的網路犯罪高手不時有計劃地出手,以資訊造成傷害。
也因此,全球化的網路世界早已養起一個日益龐大的地下經濟體。甚至在網路上可找到管道,與駭客這產業直接通聯,只要肯花錢,就可以雇到高手,以本書提及的「殭屍網路」為工具,去挖出任何所需的資訊、智慧財產等。
長期觀察網路世界的專家就警告,駭客固然散佈各地,但尤其要注意蘇聯崩解之後,在東歐等地區放出大批技術實力紮實的網路高手待價而沽;而對岸中國對網軍實力的培養也同樣不遺餘力。
當年網際網路的創造者,懷抱對人性本善的信任,對自由民主的信仰,相信網路的進步就代表開明力量的崛起。他們看到現今網路的黑暗一面必然氣結,好像有人毫不客氣地刷了他們、以及我們所有網路使用者一個耳光。我們的生活已無法離開網路,但在快意使用之際,也不得不謹慎設防。
尤其在國家的力量介入網路戰爭的攻防後,情勢更為複雜。美國國防部去年破天荒成立了「虛擬戰鬥指揮部」,任命了一位准將擔任指揮官,專責網路戰略的制定與作戰的指揮。 美國將網路攻防提升到此層級,標誌這新時代來臨。此後如有其他國家對美國發動網路攻擊,美國會把它視為戰爭行為,一如外國對珍珠港丟炸彈一樣,美國可以用傳統軍事手段回應。
全球大國現已反守為攻,不再只想於網路世界採取守勢。2010年,一個名為「Stuxnet」的病毒開始在中東地區肆虐蔓延。其後陸續披露的報導揭露了曲折細節,這株毒其實是美國國安單位與以色列情報單位合作的產物。
原本以色列對伊朗的核武計畫極度憂慮,依照他們傳統作風,一定會派出空軍轟炸或是突擊隊襲擊,以摧毀伊朗的核武計畫。因此,美國說服以色列加入極機密的惡意攻擊軟體研發計畫,所開發的病毒目的單純,就是要癱瘓伊朗分裂核原料的分離器。但其後滲透攻防的過程中,一位毫不知情的伊朗工程師不經意插入網路線的動作讓病毒流出核子設施,禍延中東。
Stuxnet計畫曝光,讓人意外發現,美國也加入了俄國、中國等等國家,以國家的力量支持網軍向外攻擊,以達成戰略目的。在這件事近一年來被廣泛報導後,美國政府開始要求報導相關事務的美國新聞媒體保證,以後不會讓敏感而機密的國安計畫曝光。
就在年初,先是美國國防部長、其後由歐巴馬總統在國情咨文中公開宣示,網路安全已是美國(或是全球)現在最急迫的戰略安全議題。剛上任的歐巴馬政府立即開始推動政府、民間合作的資安防護體制。而美國與中國間的資訊安全對壘,已迅速成為美中關係現在最敏感而難解的衝突點。
想要了解這複雜的新發展,都可以在本書中找到大大小小的線索。不管是「黑帽客」、「白帽客」間的隔空程式交火、利用惡意軟體或殭屍網路撲天蓋地的攻擊、以至體制內掌權者對現今資訊安全脆弱的無知、和你我這些小老百姓的財富福祉在行動雲端時代所處的危險,我們都可以在這本書中發覺思考現今資安危機的來龍去脈。
而本書的難得,就在於它讓這些重要議題可以如此容易親近理解。它的敘事方式,像是電影、說書,沒有難懂的程式碼,沒有長篇大論的八股分析。這是雲端時代早該出現的一本該讀的故事書。
在資訊安全議題更見急迫的情勢中,我們也可以期待這本書有天會有被改編為電影問世。
不過,與好萊塢的電影相較,這本書裡故事的結局很不傳統。但是今日資訊安全這場大戲不正是如此非典型、難以掌握?沒有人可以完整了解所有問題,黑白兩方不斷鬥法,動態發展,好萊塢式的圓滿大結局不再可能。反而恐怕會是一場長遠而曲折的上坡之行,沒有結局,過了一山,又是一山,永無止境地發展下去。