展開選單

網站服務選單

登入

頁面路徑列表

\ 本月大人物 /

擁有這項武器,可以一秒癱瘓全世界──專訪《零時差攻擊》作者妮可.柏勒斯 Nicole Perlroth

  • 字級


《紐約時報》資深網路安全記者妮可.柏勒斯(Nicole Perlroth)。(圖/© Christian Högstedt)


「零時差漏洞」是軟體或硬體的瑕疵,如未能及時修補,駭客就能在不被察覺的情況下通過網路侵犯個人隱私、偷取商業機密、摧毀公共設施,是能在一秒之間癱瘓世界的最強致命武器。

妮可.柏勒斯(Nicole Perlroth)是《紐約時報》資深網路安全記者,自2010年起,嚴密追蹤俄羅斯、北韓、伊朗以及中國的網路攻擊事件。她報導過俄羅斯對美國核電廠、機場和選舉的網路攻擊,朝鮮對索尼影業、銀行和醫院的網路攻擊,伊朗對石油公司、銀行和美國總統選舉期間的攻擊以及數百起中國網路攻擊事件。曾獲得美國財經編輯與記者協會頒發的最佳科技報導獎。新作零時差攻擊意在喚起大眾對於網路安全的重視,全書文字清晰簡明,內容精采跌宕,帶領讀者一窺這個重要而神祕的領域。

在本篇報導中,她與美國著名科技網站The Record的記者亞當.亞諾夫斯基(Adam Janofsky)聊到寫作《零時差攻擊》的寫作起源,以及幕後的心路歷程。

 __________________________

Q=亞當.亞諾夫斯基(Adam Janofsky)|A=妮可.柏勒斯(Nicole Perlroth)

 

Q:當初妳為什麼決定寫這本書?

A2014年,我注意到很多人在寫關於網路安全的書,並且在註腳中提到我的文章。另外還有許多研究報告也引用了我的報導,包括關於沙烏地阿拉伯國家石油公司的駭客攻擊。於是我對自己說:「妮可,這場改變遊戲規則的攻擊事件,除了發動者之外,妳是知道最多細節的人,而且妳已經訪問過那些發動攻擊的人了。」關於這場攻擊,我可以寫出詳盡的頭條新聞,可是這麼做沒有意義,除非完整地將一切故事串連起來,讓人們知道事情的起源,我們現在面對了什麼情況,以及為什麼會陷入這種處境……

這些可以追溯至數十年前,當時我們決定讓網路安全系統變得脆弱一點,好讓政府加以窺探;也可以追溯至矽谷提倡的「零阻力社會」,當時我們都覺得這個主意很棒,卻沒有考量到安全問題。我在《紐約時報》工作,這家報社有其立場鮮明的專欄──我非常欣賞,而且我可以在專欄中發聲,但除此之外,也必須有人以淺白又有趣的方式吸引讀者,讓他們知悉相關的背景故事。等到我實際這麼做之後,才發現做起來有點痛苦,因為我無法全面地觸及一切資訊。

2014年,我提出撰寫這本書的構想,並且與出版社簽約。我要寫出這個危機:世界各國都在儲存「零時差漏洞」,並且鼓勵人們放任零時差漏洞敞開。很明顯駭客攻擊事件將會越演越烈,但我從來沒有想過會發生「影子經紀人」這種事。影子經紀人事件,就是美國政府的零時差武器遭到駭客入侵,並且被轉賣給敵人。

永久檔案

永久檔案

我在《紐約時報》報導此事件,報社將這則新聞放在頭版,這其實比史諾登洩密事件更嚴重關於史諾登事件,我是第一手接觸到相關資料的人,在一間儲藏室裡研讀了好幾個月;史諾登洩露的只是非常模糊的投影片和國家安全局的內部資料庫,殺傷力遠遠不及實際的程式碼──影子經紀人賣出去的就是具有破壞性的程式碼,他們洩露了國家安全局最重要的駭客工具,可是我覺得大家沒有意識到這件事的嚴重性。這是促成我寫這本書的一個重要因素。

這段期間我結婚生子,經歷許多有趣的事,因此寫這本書耗費比我預期還要長的時間。很高興現在它終於順利出版了,雖然已經是在總統大選之後、是在軟體開發公司SolarWinds遭受網路攻擊之後,但是我們有新的政府,新政府可能會願意閱讀這本書並且做點什麼。


Q:妳也訪問了許多之前在情報界工作的人,讓他們敞開心胸與妳交談。妳是如何說服這些人接受訪問?

A這也是我當初與出版社簽約時最擔心的事──一定得切入情報專案的核心,才能說清楚:這些計畫如何展開、由誰主導,以及是什麼力量促成了這些計畫。除非寫出這些內容,否則這本書的觀點就不夠公允,因為執行那些計畫必須有正當的理由。

然後有一天我坐在辦公桌前,苦惱著要如何在政府機關裡找到願意接受我採訪的人。在《紐約時報》報導網路安全議題超過20年的約翰.馬克歐夫(John Markoff)在無意中聽見我的談話,便走過來對我說:「噢,妳應該去找網路戰爭教父。打個電話給吉姆.戈斯勒(Jim Gosler)吧!」我上網搜尋了吉姆.戈斯勒這個人,竟然找不到任何關於他的資料,於是開始四處打聽。每次只要有機會採訪監督美國網路間諜活動發展之人,在訪談最後我都會補問一句:「如果要選一個網路戰爭的教父,你第一個想到誰?」每個人都回答吉姆.戈斯勒。我找到了聯絡他的方法。他已經退休了,住在沙漠裡──這本書裡我最喜歡的環節之一,是吉姆.戈斯勒就住在「黑帽駭客會議」每年舉辦地的附近,可是他從來沒有參加過那些會議。他說那些會議是招募駭客最糟糕的場合──沒人希望那些人在舞臺上展示程式漏洞,他們應該在研究實驗室修補漏洞。

戈斯勒不談論機密計畫,所以我只能旁敲側擊。他之所以願意接受我訪問,是因為他本身就是駭客,他和現今的研究人員一樣,對於他所發現的各種程式漏洞感到擔憂。然而回首當年,最大的威脅曾經只不過是俄羅斯駭入美國駐莫斯科大使館的打字機。在跟戈斯勒聊過之前,我從未聽說過大使館打字機遭駭的事。那個專案是「槍手計畫」(Project Gunman),戈斯勒就是解密該專案的推動者之一。他建議我去讀一讀那個計畫,以便了解我們為什麼走到現今這種處境。當年各國使用的科技都不同,間諜活動也以公正的方式進行。彼時,戈斯勒率先破解那些計畫,並且向政府展示零時差的可怕。

他讓那些害怕自己被數位行動取代的間諜知道:別怕,這對你們而言是好事。不需要再闖入檔案室,只要拿個隨身碟就可以完成任務。而且如果我們不改採取數位間諜行動,就是不負責任,會使得我們的國家更為脆弱。戈斯勒於2001年5月離開中央情報局,開著他的吉普車,駛出停車場,回新墨西哥州過退休生活。幾個月後,在受到全球化發展影響的同時,911事件讓一切加速惡化。人們開始使用相同的科技──大家都使用iPhone、Android手機、微軟視窗、施耐德電機與西門子的科技產品,只要在這些系統中找出一個漏洞,就可以儲備起來,將來用在間諜活動上,或者為網路戰爭的抵禦做準備。在戈斯勒職業生涯的後期,他到國防科學委員會協助評估美國重要基礎設施在面對網路攻擊的風險,對於美國的脆弱感到驚愕。因此,他接受我採訪的動機正是我寫這本書的目的:喚醒美國。


Q:我讀了一些書評,評論家希望妳多著墨於解決方案。但就我看來,那麼做可能會太過刻意──因為這是一個非常複雜的議題,幾乎沒有顯著的解決方案,而且情況不可能好轉,只會越變越糟。妳同意這種看法嗎?或者妳認為拜登政府可以做點什麼來阻止類似SolarWinds的網路攻擊事件?

資訊戰爭:入侵政府網站、竊取國家機密、假造新聞影響選局,網路已成為繼原子彈發明後最危險的完美武器

資訊戰爭:入侵政府網站、竊取國家機密、假造新聞影響選局,網路已成為繼原子彈發明後最危險的完美武器

A:那些評論很公道。我希望這本書可以敲響警鐘,也或多或少把解決方案寫在結語的部分,但那些評論家說我沒有多花一些篇幅來討論解決方案,是完全公道的批評。寫這本書的同時,我的好友大衛.桑格也出版了他的新書資訊戰爭The Perfect Weapon),詳細探討政策方面的問題。我不想和大衛的書重疊,他的書寫得非常出色。最後我在論及解決方案時,沒有從華盛頓特區的政策面出發,而是針對一般的美國民眾。這也算是對他作品的致敬。我建議:提出物料清單(bill of materials)來了解我們的系統中有哪些軟體。通常我們都要等到發生了「心臟出血漏洞」(Heartbleed)之類的事件才會明白事情的嚴重性。(編按:從亞馬遜、臉書到聯邦調查局,都使用OpenSSL這款免費套件來加密自家系統。它也早已嵌入安卓手機、家用Wi-Fi路由器,甚至五角大廈的武器系統中。然而,直到有人發現其中的漏洞,大家才意識到,該系統僅由一個工程師以三千美元的低廉預算在維護。)

要嚴格把關進入我們系統的開放原始碼,建立充分防禦、監控與認證的過程,以確定沒有人可以添加軟體後門。對軟體製造商也一樣,必須掌握,進入我們核實驗室的軟體有哪些是美國製造的。我的意思並不是說其他地方製造的軟體一定比較危險,而是我們已經從SolarWinds遭受攻擊的事件中學到教訓,大部分的受害者都不知道,許多程式碼是來自白俄羅斯,而白俄羅斯即是所謂「歐洲最後的獨裁政權」。在該攻擊事件發生之前,我們根本不知道SolarWinds的網路安全系統有多爛──我差點說髒話了。他們設定的密碼是Solarwinds123,而且為了要節省成本,沒有推行「漏洞賞金計畫」(編按:付費給找到漏洞並提出的駭客)。可是他們公司內部早就有很多人提出警語,表示必須認真看待網路安全,否則將會有大災難發生。

針對個人,我要反覆提醒:

  • 設定不同的密碼
  • 雙重驗證
  • 以及不要隨便點擊連結

如果這些最基本的事情都做不到,更高層級的解決方案根本毫無意義。我在這本書中確實提供了一些解決方案……例如:微軟視窗軟體不應該放任零時差存在超過五年,這麼做等於帶著炸藥去釣魚。很顯然,當問題出現時,真的就像帶著炸藥去釣魚,結果是炸傷自己。美國的企業和醫院都已經受到影響。

安妮.諾伊貝格爾(Anne Neuberger)(圖片來源/wiki)美國國安局網路安全顧問安妮.諾伊貝格爾(Anne Neuberger)。(圖片來源/wiki

很高興我有談到物料清單,因為SolarWinds遭受攻擊的事件使得物料清單受到矚目,現在我們就需要這個。不過我也認為,SolarWinds確實讓我們在困境中看到一絲希望,那就是拜登政府已別無選擇,只能解決這些問題。我認為拜登總統從國家安全局(NSA)招攬安妮.諾伊貝格爾(Anne Neuberger)是大有可為的做法。國家安全局經常被戲稱為「沒有這個機構」(No Such Agency),但是在諾伊貝格爾的領導下,他們確實開始公布更多科技相關資訊,以及那些科技如何被俄羅斯及其他國家使用。這樣的行動原本應該更早展開,不過這對他們而言已經是跨出一大步。倘若諾伊貝格爾在國家安全局時就已經把這件事訂為優先項目,我相信她進入政府高階之後也會維持這個做法。

拜登總統說,網路安全將會是最優先處理的事務,這也是他與俄羅斯總統普丁通電話時最先討論到的事項之一。相較於川普政府,這是巨大的轉變,因為川普曾經表示他相信普丁沒有干擾美國總統大選,以致在過去四年裡,與網路安全相關的措施都停擺了。而就算真的有些進展,也不是由政府主導,而是在不理會政府阻撓的情況下進行。如今,我認為新政府會在這方面做很多事。

雖然我們有時會覺得在這場遊戲中一切都為時已晚,實際上並非如此。我們正處於人工智慧年代的開端,還在虛擬化的非常早期階段,因此,如果可以在這裡暫停一下,還不算太遲。


Q:寫出一本妳自己也沒有所有答案的書,這是什麼感覺?比方說,妳認為我們將來有可能查清楚影子經紀人的幕後黑手是誰嗎?

A:我真心希望如此,但是你說中了我寫這本書的焦慮。這是一個非常不容易釐清真相的領域。焦慮會造成作家在心理上的阻滯,也導致我拖了七年才出版這本書。身為一名記者,當寫作遇到心理阻滯的問題時,我知道自己只能繼續努力撰寫報導,不過在這種情況下,也會不斷撞牆。就算明知應該繼續報導,可是這本書到最後可能只觸及到表面的問題。所以我想用其他方式來訴說這些事件,例如用一些人物來代表這個市場的幾個面向:官方代表是吉姆.戈斯勒,而我必須使用假名的仲介商代表則是吉米.薩比恩。雖然我們還不知道影子經紀是誰,可是那些人可以增加故事性,角色強化了我們所不清楚的一切。我們無法採取積極的防守來戰勝每一個敵人,畢竟我們甚至不知道是誰入侵我們。


Q:最後一個問題──妳能不能分享一下,為什麼決定在這本書的開頭引用水牛春田合唱團(Buffalo Springfield)的歌詞?

A:我一直很喜歡這首歌!有一天我在開車的時候,一邊開一邊唱這首歌,突然很想用這首歌當成我的題辭,只可惜得花一點錢才能這麼做,因為必須支付使用歌詞的版權費,又萌生退意。但這首歌真是完美地概括了我想透過這本書來表達的一切,於是我最後還是付了版權費。


在這裡有一些事情發生了
我們不太清楚到底是什麼事
那邊有一個人拿著槍
他告訴我該小心
我想我們是時候停止,孩子們,那是什麼聲音
大家看看,這糟糕的情況

──水牛合唱團〈這一切值得嗎?〉(For What It's Worth)


\\水牛合唱團For  What  It's  Worth//


※本篇翻譯訪談原始文章為The Record之訪稿

 

零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相

零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相

零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相 (電子書)

零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相 (電子書)


 延伸閱讀 

沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織,如何掀起新時代網路戰爭

沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織,如何掀起新時代網路戰爭

深度造假:比真實還真的AI合成技術,如何奪走人類的判斷力,釀成資訊末日危機?

深度造假:比真實還真的AI合成技術,如何奪走人類的判斷力,釀成資訊末日危機?

禍駭:網路犯罪世界的第一手紀實

禍駭:網路犯罪世界的第一手紀實

Mindf*ck 心智操控【劍橋分析技術大公開】:揭祕「大數據AI心理戰」如何結合時尚傳播、軍事戰略,深入你的網絡神經,操控你的政治判斷與消費行為!

Mindf*ck 心智操控【劍橋分析技術大公開】:揭祕「大數據AI心理戰」如何結合時尚傳播、軍事戰略,深入你的網絡神經,操控你的政治判斷與消費行為!

上下則文章

主題推薦RELATED STORIES

回文章列表

關閉

主題推薦

入圍當季排行榜TOP 10的4本暢銷書籍,你讀過了嗎?

2021年中入圍當季暢銷排行榜TOP 10的4本書籍

356 0