當駭客別學「奇幻熊」──導讀《奇幻熊在網路釣魚》

「……廠商不設計更有智慧的電器也有苦衷，畢竟只有真正的怪胎才會在乎烤麵包機的資訊安全。」（p.309）

就在剛才，我的手機收到一封簡訊：

「貴賓您好：感謝您申請ＯＯ信用卡，因尚缺文件或資訊，請協助上傳或郵寄至ＯＯ銀行，詳見https://thebk.tw/4m4xe79/，申請編號：Pxxx，尚缺：存摺封面（含姓名及帳號）及近六個月清晰明細（帳號同封面）（非ＯＯ帳戶、非證券戶）或定期存款單影本（存滿3個月以上）、需帳戶戶名、帳號、明細可供確認，如有問題請洽本行客服。」

身為台灣人的好習慣，就是看到簡訊裡有網址，都要先猜是詐騙；不過話說回來，我前幾天確實申請過信用卡，於是為了以防萬一，我用筆電開了銀行的官網，確定簡訊裡給的是正確的網址。

但2016年大選時的美國民主黨沒有這麼做。而是直接點了信件中的連結，把自己的密碼交給俄國情報單位格魯烏的網路部隊「奇幻熊」（Fancy Bear），導致當年大選成為美國近年來最有爭議的一次選舉。

當然，民主黨並不是故意的，美國情報體系也並非尸位素餐。那麼是奇幻熊神通廣大嗎？《奇幻熊在網路釣魚》（Fancy Bear Goes Phishing）的作者史考特．夏皮羅（Scott Shapiro）指出，駭客攻擊並非我們想像得那麼高深──老實說，有時候還滿笨的。他將網路世界分成兩個部分，一是電腦的具體程式碼（downcode），二是人類的抽象準則（upcode），而後者又可分成人的心理規則和社會的文化與規範。

要了解駭客行動是怎麼回事，必須從抽象面的行為準則下手，因為寫出程式碼的人，也是依據行為準則在設計程式，而駭客更是必須同時利用兩者的漏洞才能成功。

▌奇幻熊大爆笑

那麼，奇幻熊是怎麼做的？

作者在第八章介紹了「擊殺鏈」（Kill chain）的概念。這原本是一個軍事術語，指的是「偵查、識別、投送、追蹤、決定、攻擊、評估」等作戰環節。不過說實話，從一週菜單到國家的文化行銷，幾乎每一種專案或企劃都可以套用這個概念。

奇幻熊的行動自然也是如此。夏皮羅教授先清楚介紹網路攻擊手法和人類的各種心理偏誤──比如本文開頭提到，附在郵件或簡訊中的連結，就利用了我們就算有風險，也死都不想浪費時間的本能。比起看似深奧的程式碼，這些抽象準則才是駭客手中最重要的武器。接著，作者又以軍事小說般的筆法，描述這些俄國軍方駭客如何在美國的網路上搜尋目標，一層又一層讓各式武器就位，又是怎麼發動攻擊，再評估如何擴大戰果、大獲成功。

或者說，幾乎算是大獲成功。理想的駭客行動應該要完全保密，但2016年的行動卻露餡得非常快。民主黨的內部郵件洩漏不久，就有資安專家在推特（現在叫Ｘ了）上發文：「嗚嗚，俄式行動安全#大爆笑。」身為專業的網路部隊，奇幻熊有著明確的分工，每一名軍官在擊殺鏈上都有各自的任務，然而他們卻犯下了一連串即便在徹底的外行人眼中，都十分離譜的錯誤，許多行動環節都缺乏溝通和協調，而且細節頗有交差了事的痕跡。行動曝光後，整件事還差點從普通的間諜行動，升級成俄國和美國之間的網路戰。

相較之下，另一個駭客團體「未來」就像樣多了。

▌「未來」的組織

就在奇幻熊把美國大選搞得烏煙瘴氣的同時，一波又一波分散式阻斷服務攻擊（distributed denial-of-service attack，DDoS）也在癱瘓西方網路的基礎設施，資安業界和國安系統都判斷這是出於某個國家單位的手筆。

但兇手其實只是三個熱衷《當個創世神》（Minecraft）的青少年。他們以全新型態的惡意軟體「未來」（Mirai）和當時 DDoS 教父「走狗企業」（Poodle Corp）展開了一場大戰，而且不像奇幻熊，三人不僅成為業界龍頭，還把對手送到 FBI 手中，這是貨真價實的大獲全勝。三人落網時都早已離開了 DDoS 領域，轉戰其他網路犯罪。這段故事確實精彩，但更有趣的還是「未來」成員的行事作風。

「未來」的分工同樣明確，但與奇幻熊的差別在於，「未來」成員所負責的不只是單一任務，而是各自負責一個方向的擊殺鏈，憑借敏捷的合作打造出數位時代的原子彈。也就是說，「未來」的成功，是因為成員擁有很大的主宰空間與很強的動機。

另外一點，或許跟成員的背景有關。「未來」的三名成員都是遊戲玩家，在合夥犯罪以前就已經是朋友，也有相近的品味、背景和價值觀，當然後來還加上了共同的利益；換句話說，三人的共鳴相當豐富，而這種豐富的共鳴，似乎也能織成更緻密的信任，這點從他們被逮後的作為也可以看得出來。「未來」落網後，成員並沒有像許多犯罪故事演的一樣，在執法單位面前背叛彼此，後來也保持著良好的關係。

這或許可以說是最理想的組織型態了。

▌學習、引導與利用駭客文化

《奇幻熊在網路釣魚》與其他資安科普書的一個有趣差異，在於書中提到了許多好用的抽象原理。也許是因為作者是從理科轉向法學院的專家，書中的原理都解釋得淺顯易懂，讀者一邊閱讀一邊就能在腦中連帶浮現許多應用方式，夏皮羅教授的文筆幽默，讀者想到的點子應該也會相當離經叛道。以下就以「程式碼vs資料」為例，略述書中提到的幾個原理：

電腦不懂什麼是程式碼什麼是資料。程式碼是叫電腦以特定流程選擇特定標準處理特定事物的指令；資料則是儲存在電腦中的資訊。人類通常可以在一長串的字串中，輕易辨別哪些是程式碼，哪些是資料；但對電腦而言這兩者都是一連串的０與１，必須根據事先指定的範圍或標準才能分開。這至少告訴我們兩件事：

1.只要設計者沒有防好，程式碼與資料之間的模糊地帶就是入侵的良機。

許多歷久不衰的入侵方法，都是在需要輸入程式碼的地方輸入資料（引發當機之類的奇怪反應），或者在需要輸入資料的地方輸入程式碼（藉此惡意操作別人的電腦）。

這種事甚至完全不需要電腦。因為程式碼與資料之間的模糊性跟電腦無關，而是跟語言有關。人類的語言本來就沒有辦法100%清楚區分哪些東西是指令或描述，哪些東西是被指定或描述的內容。早在2700年前荷馬史詩《奧德賽》，主角就在姓名欄中填入「沒有人」，使敵對的獨眼巨人誤以為「沒有人前來偷襲」。如果你有興趣的話，下次寄東西給朋友的時候，也可以在店到店的收件人姓名欄輸入「先讓下一位結帳」，屆時朋友與超商店員的表情一定相當逗趣。

2.決定判定字串的方式，就決定了電腦的運作。

電腦不僅根據預先給定的方式來區分程式碼與字串，還依此判定幾乎所有它所接觸到的東西，不會自己反思修正。如果碰到尚未定義的事物，電腦要嘛根據該事物所在的原本規則來處理，因而造成各種荒謬現象；要嘛兩手一攤回傳錯誤訊息。而且此時只要有人能夠給予新定義，就可以直接影響電腦的行為。

這機制其實也不專屬於電腦。作者在書中提到，法院與許多社會體制的運作也很像電腦，官僚、市場、陪審團只會照著寫好的典章或標準來執行，無法時時檢查標準是否有漏洞；當遇到新科技或新概念時，就可能照著執行出荒謬結果，或者直接說自己無法處理。

這第二點又可以引出了作者屢次提到的另一個通則：新科技註定會溢出既有社會／法律／政治的處理範圍。在美國法院首次將駭客審判定罪的時代，陪審團與法律人都幾乎不懂怎樣算是入侵、如何判定傷害範圍與行為是否故意，法律條文也都沒明定，審判的時候幾乎只能用上一個時代的想像，去思考當下的事件。

這不僅會讓判斷方式流於個案而喪失普遍性，使政府機關與市場管理者無從依循；更會成為惡意顛覆社會、國家、市場的好機會。而且新科技伴隨的新商機與新熱潮，往往會吸引許多消費者與新創者，這些使用者大多不希望直接延續舊有的監理方法，於是有心人士甚至敵國，就會趁此見縫插針，動搖我們的體制。

這種現象在英國脫歐與川普勝選之後，乍看之下已是先進國家的老生常談，但實際上社會的反應依然經常有許多可議之處。舉兩個這一年的近例：許多幣圈人士都聲稱要用「加密貨幣」來超脫主權國家的掌控，但去年（2022）全球第二大虛擬貨幣交易平台 FTX 宣布破產之後，卻紛紛在美國法院提起訴訟，要求國家保護他們的權益。台灣社會也不惶多讓，去年 NCC 提出《數位中介法》草案時，許多民眾都在沒有確認草案內容的情況下，直接想像法案將使政府能夠監控言論；但不到短短一年，當網路上出現更多各種傷害性的言論與不實資訊，民眾又批評政府怎麼不出來管一管。

這些事情回頭看都相當荒謬；但照本書作者的觀點，它們不是例外，而是常態。

作者也藉此導出本書的另一個重要原則：不是什麼問題都有解。絕大多數人碰到科技衝擊或者產品當機，第一直覺都是找工程師或要求政府解決；但很多科技問題都不是科技本身造成的，而是人性、文化或市場造成的，甚至單純是因為社會與規範遠遠落伍於科技，讓新科技反過來在規範產生之前，就開始改變這個世界的樣貌。若是把問題工程化，期待某些天才工程師或者決策明君能提出完美解方，很可能只會錯放信任甚至加劇惡化。

夏皮羅教授在《奇幻熊在網路釣魚》中提出的許多原則，在大型語言模型（large language model，LLM）與 web3 兩個重要數位科技同時出現，資訊操弄與資訊戰隨地可見的當下，讀者應該相當有感。數位工具早已滲透整個世界，「虛擬」早已變成了「真實」。書中列舉的故事與原理，在在指出無論資安、程式設計、還是資訊操弄，都絕不只是 IT 問題，而是橫跨科技、社會、政治的問題。只有在正確的理解下打造出健康的環境，才能設計出永續共好的科技工具，也只有這樣的科技工具，才能從根本降低科技造成的傷害，發揮科技的正面力量。

奇幻熊在網路釣魚：為何網際網路如此脆弱?駭客如何利用人性竊取機密，以及我們如何更安全

劉維人
自由譯者，譯有《暴政》、《心智操控》、《修辭的陷阱》等社科書籍，以及《世界上最完美的物件：鳥蛋》、《集體錯覺》等自然科普。
譯作賜教：warren1_liu@hotmail.com
 
盧靜
自由譯者，譯有《操弄》、《末日》等社會科學書，以及《遊戲設計的藝術》。喜歡研究文化間的移植和融合。
譯作賜教：rutkking@gmail.com。

兩人共同翻譯《末日》、《後疫情效應》、《西方的自殺》、《欲望分子多巴胺》、《民族重建》等書。

 延伸閱讀 

• 擁有這項武器，可以一秒癱瘓全世界──專訪《零時差攻擊》作者妮可．柏勒斯 Nicole Perlroth
• 在對抗怪物時，如何不讓自己也變成怪物？──2021諾貝爾和平獎得主瑪麗亞．瑞薩《向獨裁者說不》
• 有錢能使網路不自由？12本書回顧網路議題出版趨勢
• 【張妙如｜圖說歐美文化】因為做了這件事，電話反而變成「全美詐騙熱線」！

沙蟲駭客：全球最具侵略性和破壞性的克里姆林宮黑客組織，如何掀起新時代網路戰爭

禍駭：網路犯罪世界的第一手紀實

只是上網，竟變被害人：性剝削、詐欺、賭博、駭客，滲透你我生活的網路犯罪事件實錄

比特幣大騙局：竊盜、駭客、投機者，加密貨幣交易所Mt. Gox的腐敗運作與破產真相