你的電腦中過毒嗎?
只要有用過微軟Windows的阿宅,無一例外的都見過當機的藍屏吧?這已經算是小菜一碟了,很少阿宅的電腦沒中過電腦病毒吧?
我自己的電腦被病毒感染過幾次,因為懶得再數,已記不清是幾次了,但最慘痛的一次,是碩士班畢業典禮濕熱到不行的那天,穿著碩士袍在校園中擺拍了一整天,在和同學互傳數位相機的照片時,電腦感染了病毒,搞了半天收拾完殘局,所有畢業照也都徹底遺失了,早知道就不念碩班了(誤)⋯⋯
這些該死的電腦病毒,到底是哪些吃飽撐著的肥宅寫出來的啊?我也好奇,為何微軟視窗三天一藍屏、五天一中毒,為何那些阿宅工程師還有臉面對世界?因為被藍屏和病毒搞得太七葷八素了,我改用了蘋果電腦的桌機和筆電,就再也回不去毫無生活情趣可言的微軟阿宅工程師寫出來的爛作業系統了,才減少了這些令人手足無措的問題。
除了電腦病毒,我們的電腦即使沒被駭,只要那些存在我們個人資訊的網路不斷被駭,我們三不五時就會接到詐騙集團打來的電話,試圖騙取我們銀行帳戶中一直為數不多的錢錢,來變成這些人渣敗類喜歡的樣子。然而,我每次去跟這些網站抗議或報警處理,他們都愛理不理和敷衍了事。為何資安薄弱的電商企業一再被駭,卻還可以老神在在?
這些疑惑,終於在這本好書《奇幻熊在網路釣魚:為何網際網路如此脆弱?駭客如何利用人性竊取機密,以及我們如何更安全》(Fancy Bear Goes Phishing: The Dark History of the Information Age, in Five Extraordinary Hacks)中得到了深入的解答。這本書的作者史考特.夏皮羅(Scott. J. Shapiro)是一位法學學者,專長於法律哲學、國際法和憲法理論。他在美國耶魯法學院擔任教授,教授法律哲學和憲法相關課程,同時也是耶魯大學網路安全實驗室創辦人暨主任。他的研究工作集中於法律的哲學基礎,特別是法律如何被理解和應用於不同的司法系統中。
夏皮羅最知名的作品之一是厚重的《國際主義者》(The Internationalists),該書是與法學院同事烏娜.海瑟威(Oona Hathaway)共同撰寫的,深入探討1928年簽訂的和平協定如何改變了國際法和全球政治秩序。雖然該協定在簽署後十年內被視為愚蠢和失敗的舉措,因為每個簽署國都重新陷入戰爭,但他們主張該協定開啟了持續至今的和平進程。
夏皮羅還是小正太時,就對電腦深感著迷,曾是哥倫比亞大學資工系的阿宅學生,並且身為一名創業者,曾經作為科技企業家為包括時代出版社(Time-Life Books)在內的客戶建立資料庫。然而,最終他對法律哲學產生了強烈興趣,就鮮少接觸電腦程式了,並在法學院獲得教授職位。
撰寫這本《奇幻熊在網路釣魚》的過程迫使年過五十的夏皮羅重新審視自己的過去,包括重學舊的程式語言,熟悉UNIX、Linux等作業系統、網際網路協定及資料庫技術,並深入了解各種惡意軟體,如蠕蟲、病毒、分散式阻斷服務(DDoS)攻擊等網路深處的隱憂。他透過駭進耶魯法學院的網站來精進自己的技術,不過他的院長對此可不太開心。
「你可能不想駭電腦,但電腦總會駭到你。」,夏皮羅改寫了俄國革命家托洛斯基(Leon Trotsky,1879─1940)的名言。網路犯罪每年造成的損失估計高達六千億至六兆美金。然而,他認為關於駭客的大多數說法要麼是錯誤的,要麼是誤導性的,要麼是誇大的。儘管駭客行為是基於電腦科技的缺陷,但其本質仍與人性息息相關。 駭客並非神秘的暗黑藝術,從事這一行的人也不全是深居簡出的專家。駭客行為已不僅僅是愛好,而是一種由理性阿宅為謀生或其他目的所進行的商業活動。
夏皮羅在《奇幻熊在網路釣魚》儘量避免涉及過多技術細節,身為法律哲學家,他反而探討了電腦程式和阿基里斯(Ἀχιλλεύς,Achilles)及烏龜悖論之間的聯繫,並把法國哲蒙思想家盧梭(Jean-Jacques Rousseau,1712—1778)的「自然狀態」(the state of nature)之學說來解釋早期網路的發展,並談到了法國哲學家笛卡兒(René Descartes,1596—1650)對心靈和物質的哲學觀。
夏皮羅挑選了五個駭客故事,展示了我們當前所處網路世界的關鍵點。《奇幻熊在網路釣魚》從1988年康乃爾大學的阿宅博士生小羅伯.莫里斯(Robert Morris, Jr.)發布的莫里斯蠕蟲(Morris Worm)病毒講起,這個病毒導致了網路癱瘓。莫里斯蠕蟲原本並不是設計來造成破壞的,其目的是衡量網路的大小。
莫里斯發現了UNIX作業系統中的漏洞,他編寫了一個能夠在電腦間傳播的程式,本以為這將成為他博士論文的完美主題。這個蠕蟲利用了當時網路系統中的多個漏洞,包括UNIX作業系統的弱點。夏皮羅描述了莫里斯蠕蟲如何利用受信任的主機、電子郵件程式中的後門、強力的密碼猜測,以及資料和代碼之間的模糊性,在機器間移動。
夏皮羅認為,莫里斯利用的UNIX系統漏洞並不是偶然的,而是源自於UNIX開發文化。UNIX的設計初衷是為了使研究大型電腦的科學家能夠共享資源,被一個主要基於信任、重視資訊可用性而非機密性和完整性的社群所使用。莫里斯蠕蟲並非有意造成損害,它的自我複製特性意味著它可以無限制地繁殖,直到耗盡系統資源。於是,這個蠕蟲病毒在電腦中複製多個副本,這些副本佔用計算資源以尋找並感染新的電腦。在短短幾小時內,蠕蟲從麻省理工學院蔓延至加州大學柏克萊分校、聖地牙哥分校、史丹佛大學等等,導致全國多地的網路崩潰。
莫里斯蠕蟲的出現引起了廣泛的公眾關注,並促使了對網路安全和電腦病毒的進一步研究。莫里斯因創造這個蠕蟲,根據1986年通過的《非法入侵電腦設備暨電腦欺詐和濫用法》首次定罪,被判處罰款一萬鎂,提供四百小時的社區服務,並被緩刑三年。這次事件不僅在技術上具有開創性,而且在法律上也具有開創性,因為它標誌著對網路犯罪和不負責任的程式設計行為的嚴肅看待。
夏皮羅的第二個駭客故事將讀者帶到了20世紀八零年代的保加利亞,當時是世界上第一個電腦病毒創造中心,故事圍繞著才華橫溢的駭客「黑暗復仇者」(Dark Avenger)和他的宿敵、防毒專家邦契夫(Vesselin Bontchev)之間的對抗。
保加利亞在20世紀八零年代和九零年代初成為電腦病毒中心的原因之一,是因為當時的共產政府是鐵幕中最重視資訊教育的,可是成群訓練出的電腦天才阿宅,在東歐卻沒有相對應的市場提供正當工作,於是就狂寫電腦病毒作亂。
其中的暗黑復仇者是一個迄今身份仍不明的駭客,他創造的病毒以其技術創新和破壞性而聞名。1989年初,他創造的第一個病毒迅速在全球範圍內傳播,影響到了西歐、蘇聯、美國甚至東亞。他響應網路安全研究人員的挑戰,設計了一種感染防毒軟體的「變異病毒引擎」。暗黑復仇者使用了當時流行的BBS(電子布告欄)作為病毒傳播的主要渠道。
除了電腦病毒,3C設備被駭的代價可以是很大的,《奇幻熊在網路釣魚》描述了芭黎絲.希爾頓(Paris Hilton)的手機遭駭客入侵的事件。2005年,一名十六歲的小阿宅拉夸(Cameron LaCroix)獲取了芭黎絲的手機通訊錄、訊息、裸照和性愛影片,然後把它們公開在網路上。這一通訊錄包含了多位名人的私人電話號碼和電子郵件地址,其中包括饒舌歌手阿姆(Eminem)和安娜.庫妮可娃(Anna Kournikova)等名人。
拉夸利用一種被稱為社交工程(social engineering)的技巧,以及利用美國電信商T-Mobile網站的一個漏洞,獲取了芭黎絲手機上的個人資訊。社交工程是資訊安全領域中的一種心理操控手段,利用人類的心理弱點來誘使人們執行某些行為或洩露機密資訊。社交工程攻擊的所有技術都是基於阿宅決策中所謂的認知偏誤,包括偽裝成合法身份以獲得目標的信任,然後利用這種信任獲取敏感資訊,例如密碼或銀行帳戶詳情 。
拉夸最終認罪,並被判處在少年觀護所服刑11個月,在兩年的假釋期間,他被禁止使用任何能夠上網的電腦、手機或其他電子設備。該事件引起了廣泛關注,並凸顯了個人資料安全和隱私保護的重要性。此外,這起事件還促使T-Mobile採取措施,以防止未來發生類似的社交工程攻擊。
《奇幻熊在網路釣魚》談到為何科技公司會讓我們暴露在中毒的風險中,其中之一是微軟將Visual Basic程式語言納入其Office軟體套裝的後果。這一舉措原本要讓使用者能夠自動化日常任務,但意外地引發了如Melissa和ILOVEYOU等巨集病毒的爆發,這些病毒感染了Microsoft Word,導致西方世界許多辦公室陷入癱瘓數週。
這些微軟巨集病毒,使用了與軟體程式(如Microsoft Excel或Word)相同的巨集語言編寫。這些病毒主要針對軟體應用程式,而不依賴於作業系統,因此它們可以感染任何運行任何類型作業系統的電腦,包括Windows、macOS和Linux。巨集病毒通常通過帶有惡意附件的釣魚郵件傳播。當用戶打開受感染的文件時,病毒就會快速傳播。這些病毒的代碼可能在用戶點擊惡意鏈接時下載到他們的電腦上。
當巨集病毒感染一個應用程式時,它會執行一系列命令和一連串的動作,這些動作在打開應用程式時自動開始。一個受感染的巨集執行後,通常會感染用戶電腦上的每一個文件。這種病毒還可能造成文檔中的文字或圖片異常,創建新文件,損壞或刪除存儲資料,格式化硬盤,駭進電子郵件帳戶,甚至把受感染的文件發送給用戶聯絡人名單上的每一個阿宅。
最初,巨集病毒主要感染Word或Excel文檔——這兩種應用程式擁有功能強大的巨集語言和特性。但隨著時間的推移,巨集病毒演變成了一種主要類型的病毒,影響使用巨集的所有類型應用程式、文件和作業系統。自微軟在Office 2000及其後續版本中預設禁用巨集程式以來,啟動巨集病毒變得更加困難。
接著,夏皮羅提到了2016年俄羅斯情報機構對民主黨全國委員會(Democratic National Committee,DNC)的電腦進行駭客攻擊並洩漏大量電子郵件的事件,這對希拉蕊.柯林頓(Hillary Clinton,1947─)的總統競選造成了影響。其中的「奇幻熊」(Fancy Bear)和「安逸熊」(Cozy Bear)是與俄國情報部門聯繫的駭客組織,在2016年總統大選前取得了DNC電腦系統的存取權限,並公開了一系列電子郵件,其中包括希拉蕊.柯林頓對高盛集團的閉門演說。
《奇幻熊在網路釣魚》深入探討了駭客如何騙取希拉蕊.柯林頓的工作人員洩漏密碼的心理策略,以及他們試圖掩蓋蹤跡的技術方法。夏皮羅還討論了DNC缺乏雙重認證的背後原因、執法機關對駭客攻擊的遲緩反應,以及政府對俄羅斯情報部門的控訴猶豫不決。
雖然無法確定電子郵件洩漏是否成為了促使情勢有利於川普(Donald John Trump,1946─)的關鍵因素。夏皮羅指出,駭入民主黨全國委員會的系統是一種典型的間諜行為,而根據國際法,間諜活動是合法的。然而,當奇幻熊向全世界公開竊取的資訊時,他們可能涉嫌戰爭行為。
夏皮羅最後在《奇幻熊在網路釣魚》談到了「殭屍網路戰爭」,即由感染了的網路設備構成的虛擬軍隊進行的DDoS(分散式阻斷服務)攻擊。這是一種常見的網路攻擊方式。其目的是使目標網站或網路服務被超過其處理能力的大量流量灌爆而無法正常運作,從而使正常用戶無法訪問或使用這些服務。DDoS攻擊的影響可以從暫時性的網站訪問中斷到長時間的服務停機,甚至可能造成經濟損失和品牌信譽損害。這種攻擊的防禦需要複雜的安全措施,包括流量監控、過濾和與網絡服務提供商的合作。
《奇幻熊在網路釣魚》描述了2016年由三名青少年開發的「Mirai殭屍網路」,能把運行Linux系統的網絡設備轉化為遠程控制的「機器人」或「殭屍網絡」(botnet)成員。Mirai主要針對線上消費設備,如IP攝像頭和家用路由器,並利用這些設備的弱點將它們串聯成一個被感染設備網絡,即殭屍網絡。這個殭屍網絡通常被用於發動DDoS攻擊。
夏皮羅在《奇幻熊在網路釣魚》主張,我們可以採取多種措施來減少對駭客攻擊的脆弱性。他認為,技術因素只是解決駭客問題的一部分,這是他所謂的「downcode」。另一部分是「upcode」,涵蓋人類的社會、政治、法律、規範、認知偏誤等,這些偏誤使得阿宅們誤以為他們能忍受糟糕的網路衛生(cyber hygiene)狀態。他指出,儘管修復漏洞很重要,但它們的保護作用有限,因為「downcode」是基於「upcode」的。他強調,網路安全是一個涉及人類行為的問題,需要我們理解和改變人類行為。
沒錯,ILOVEYOU病毒是利用Microsoft Word中嵌入的強大巨集程式語言來傳送受感染的電子郵件、刪除圖片和隱藏音樂檔案,但它的傳播也依賴於阿宅用戶是否願意打開名為「給你的情書」的誘人附件,以及微軟是否願意發佈帶有可預見漏洞的軟體。
夏皮羅認為,微軟未能充分重視這些警告的部分原因,是他們忙於追趕他們傲慢而錯失的新興網際網路,並在確保軟體安全性之前就急於為軟體增加新功能,而把成本轉嫁給那些遭遇文件損壞、信用卡資訊洩漏或遇到藍屏當機的消費者。他指出,由於使用微軟產品的條款中包含放棄起訴權的條款,他們因此能夠一再逃避法律上的懲罰。
夏皮羅指出,我們現在生活在一個「監控資本主義」(surveillance capitalism)的世界,意味著我們的許多資料都被大企業儲存和出售。我們信任這些企業會盡力保護我們的個人敏感資訊免遭駭客攻擊。然而,當這些公司的資料發生外洩時,它們所面臨的法律後果往往是微不足道的。
隨著時間的推移,我們可能變得更為警惕,更不願點擊可疑連接、透露個人資訊,或使用過於簡單的密碼。更嚴厲的懲罰和更有效的立法可能會有所幫助,但夏皮羅也警告說,我們不應該期待有一種一勞永逸的方案來解決網路安全問題,不應僅僅將安全和隱私的重責大任交給阿宅工程師,而應該正視網路革命帶來的道德和政治問題。
即使你對駭客攻擊不感興趣,有些事情我們還是不得不做,首先就是要知彼知己,才能百戰不殆!
本文原刊登於閱讀最前線【GENE思書軒】
沒有留言:
張貼留言