展開選單

網站服務選單

登入

頁面路徑列表

子選單列表

充電5分鐘5-Minute Reading

當駭客別學「奇幻熊」──導讀《奇幻熊在網路釣魚》

  • 字級



……廠商不設計更有智慧的電器也有苦衷,畢竟只有真正的怪胎才會在乎烤麵包機的資訊安全。」(p.309)

就在剛才,我的手機收到一封簡訊:

「貴賓您好:感謝您申請OO信用卡,因尚缺文件或資訊,請協助上傳或郵寄至OO銀行,詳見https://thebk.tw/4m4xe79/,申請編號:Pxxx,尚缺:存摺封面(含姓名及帳號)及近六個月清晰明細(帳號同封面)(非OO帳戶、非證券戶)或定期存款單影本(存滿3個月以上)、需帳戶戶名、帳號、明細可供確認,如有問題請洽本行客服。」

身為台灣人的好習慣,就是看到簡訊裡有網址,都要先猜是詐騙;不過話說回來,我前幾天確實申請過信用卡,於是為了以防萬一,我用筆電開了銀行的官網,確定簡訊裡給的是正確的網址。

但2016年大選時的美國民主黨沒有這麼做。而是直接點了信件中的連結,把自己的密碼交給俄國情報單位格魯烏的網路部隊「奇幻熊」(Fancy Bear),導致當年大選成為美國近年來最有爭議的一次選舉。

當然,民主黨並不是故意的,美國情報體系也並非尸位素餐。那麼是奇幻熊神通廣大嗎?《奇幻熊在網路釣魚》Fancy Bear Goes Phishing)的作者史考特.夏皮羅(Scott Shapiro)指出,駭客攻擊並非我們想像得那麼高深──老實說,有時候還滿笨的。他將網路世界分成兩個部分,一是電腦的具體程式碼(downcode),二是人類的抽象準則(upcode),而後者又可分成人的心理規則和社會的文化與規範。

要了解駭客行動是怎麼回事,必須從抽象面的行為準則下手,因為寫出程式碼的人,也是依據行為準則在設計程式,而駭客更是必須同時利用兩者的漏洞才能成功。


▌奇幻熊大爆笑

那麼,奇幻熊是怎麼做的?

作者在第八章介紹了「擊殺鏈」(Kill chain)的概念。這原本是一個軍事術語,指的是「偵查、識別、投送、追蹤、決定、攻擊、評估」等作戰環節。不過說實話,從一週菜單到國家的文化行銷,幾乎每一種專案或企劃都可以套用這個概念。

奇幻熊的行動自然也是如此。夏皮羅教授先清楚介紹網路攻擊手法和人類的各種心理偏誤──比如本文開頭提到,附在郵件或簡訊中的連結,就利用了我們就算有風險,也死都不想浪費時間的本能。比起看似深奧的程式碼,這些抽象準則才是駭客手中最重要的武器。接著,作者又以軍事小說般的筆法,描述這些俄國軍方駭客如何在美國的網路上搜尋目標,一層又一層讓各式武器就位,又是怎麼發動攻擊,再評估如何擴大戰果、大獲成功。

或者說,幾乎算是大獲成功。理想的駭客行動應該要完全保密,但2016年的行動卻露餡得非常快。民主黨的內部郵件洩漏不久,就有資安專家在推特(現在叫X了)上發文:「嗚嗚,俄式行動安全#大爆笑。」身為專業的網路部隊,奇幻熊有著明確的分工,每一名軍官在擊殺鏈上都有各自的任務,然而他們卻犯下了一連串即便在徹底的外行人眼中,都十分離譜的錯誤,許多行動環節都缺乏溝通和協調,而且細節頗有交差了事的痕跡。行動曝光後,整件事還差點從普通的間諜行動,升級成俄國和美國之間的網路戰。

相較之下,另一個駭客團體「未來」就像樣多了。

新聞報導俄國「奇幻熊」駭客攻擊


▌「未來」的組織

就在奇幻熊把美國大選搞得烏煙瘴氣的同時,一波又一波分散式阻斷服務攻擊(distributed denial-of-service attack,DDoS)也在癱瘓西方網路的基礎設施,資安業界和國安系統都判斷這是出於某個國家單位的手筆。

但兇手其實只是三個熱衷《當個創世神》(Minecraft)的青少年。他們以全新型態的惡意軟體「未來」(Mirai)和當時 DDoS 教父「走狗企業」(Poodle Corp)展開了一場大戰,而且不像奇幻熊,三人不僅成為業界龍頭,還把對手送到 FBI 手中,這是貨真價實的大獲全勝。三人落網時都早已離開了 DDoS 領域,轉戰其他網路犯罪。這段故事確實精彩,但更有趣的還是「未來」成員的行事作風。

「未來」的分工同樣明確,但與奇幻熊的差別在於,「未來」成員所負責的不只是單一任務,而是各自負責一個方向的擊殺鏈,憑借敏捷的合作打造出數位時代的原子彈。也就是說,「未來」的成功,是因為成員擁有很大的主宰空間與很強的動機。

另外一點,或許跟成員的背景有關。「未來」的三名成員都是遊戲玩家,在合夥犯罪以前就已經是朋友,也有相近的品味、背景和價值觀,當然後來還加上了共同的利益;換句話說,三人的共鳴相當豐富,而這種豐富的共鳴,似乎也能織成更緻密的信任,這點從他們被逮後的作為也可以看得出來。「未來」落網後,成員並沒有像許多犯罪故事演的一樣,在執法單位面前背叛彼此,後來也保持著良好的關係。

這或許可以說是最理想的組織型態了。

新聞報導惡意軟體「未來」(Mirai)攻擊


▌學習、引導與利用駭客文化

《奇幻熊在網路釣魚》與其他資安科普書的一個有趣差異,在於書中提到了許多好用的抽象原理。也許是因為作者是從理科轉向法學院的專家,書中的原理都解釋得淺顯易懂,讀者一邊閱讀一邊就能在腦中連帶浮現許多應用方式,夏皮羅教授的文筆幽默,讀者想到的點子應該也會相當離經叛道。以下就以「程式碼vs資料」為例,略述書中提到的幾個原理:

電腦不懂什麼是程式碼什麼是資料。程式碼是叫電腦以特定流程選擇特定標準處理特定事物的指令;資料則是儲存在電腦中的資訊。人類通常可以在一長串的字串中,輕易辨別哪些是程式碼,哪些是資料;但對電腦而言這兩者都是一連串的0與1,必須根據事先指定的範圍或標準才能分開。這至少告訴我們兩件事:

1.只要設計者沒有防好,程式碼與資料之間的模糊地帶就是入侵的良機。

許多歷久不衰的入侵方法,都是在需要輸入程式碼的地方輸入資料(引發當機之類的奇怪反應),或者在需要輸入資料的地方輸入程式碼(藉此惡意操作別人的電腦)。

這種事甚至完全不需要電腦。因為程式碼與資料之間的模糊性跟電腦無關,而是跟語言有關。人類的語言本來就沒有辦法100%清楚區分哪些東西是指令或描述,哪些東西是被指定或描述的內容。早在2700年前荷馬史詩《奧德賽》,主角就在姓名欄中填入「沒有人」,使敵對的獨眼巨人誤以為「沒有人前來偷襲」。如果你有興趣的話,下次寄東西給朋友的時候,也可以在店到店的收件人姓名欄輸入「先讓下一位結帳」,屆時朋友與超商店員的表情一定相當逗趣。

2.決定判定字串的方式,就決定了電腦的運作。

電腦不僅根據預先給定的方式來區分程式碼與字串,還依此判定幾乎所有它所接觸到的東西,不會自己反思修正。如果碰到尚未定義的事物,電腦要嘛根據該事物所在的原本規則來處理,因而造成各種荒謬現象;要嘛兩手一攤回傳錯誤訊息。而且此時只要有人能夠給予新定義,就可以直接影響電腦的行為。

這機制其實也不專屬於電腦。作者在書中提到,法院與許多社會體制的運作也很像電腦,官僚、市場、陪審團只會照著寫好的典章或標準來執行,無法時時檢查標準是否有漏洞;當遇到新科技或新概念時,就可能照著執行出荒謬結果,或者直接說自己無法處理。

這第二點又可以引出了作者屢次提到的另一個通則:新科技註定會溢出既有社會/法律/政治的處理範圍。在美國法院首次將駭客審判定罪的時代,陪審團與法律人都幾乎不懂怎樣算是入侵、如何判定傷害範圍與行為是否故意,法律條文也都沒明定,審判的時候幾乎只能用上一個時代的想像,去思考當下的事件。

這不僅會讓判斷方式流於個案而喪失普遍性,使政府機關與市場管理者無從依循;更會成為惡意顛覆社會、國家、市場的好機會。而且新科技伴隨的新商機與新熱潮,往往會吸引許多消費者與新創者,這些使用者大多不希望直接延續舊有的監理方法於是有心人士甚至敵國,就會趁此見縫插針,動搖我們的體制。

這種現象在英國脫歐與川普勝選之後,乍看之下已是先進國家的老生常談,但實際上社會的反應依然經常有許多可議之處。舉兩個這一年的近例:許多幣圈人士都聲稱要用「加密貨幣」來超脫主權國家的掌控,但去年(2022)全球第二大虛擬貨幣交易平台 FTX 宣布破產之後,卻紛紛在美國法院提起訴訟,要求國家保護他們的權益。台灣社會也不惶多讓,去年 NCC 提出《數位中介法》草案時,許多民眾都在沒有確認草案內容的情況下,直接想像法案將使政府能夠監控言論;但不到短短一年,當網路上出現更多各種傷害性的言論與不實資訊,民眾又批評政府怎麼不出來管一管。

這些事情回頭看都相當荒謬;但照本書作者的觀點,它們不是例外,而是常態。

作者也藉此導出本書的另一個重要原則:不是什麼問題都有解。絕大多數人碰到科技衝擊或者產品當機,第一直覺都是找工程師或要求政府解決;但很多科技問題都不是科技本身造成的,而是人性、文化或市場造成的,甚至單純是因為社會與規範遠遠落伍於科技,讓新科技反過來在規範產生之前,就開始改變這個世界的樣貌。若是把問題工程化,期待某些天才工程師或者決策明君能提出完美解方,很可能只會錯放信任甚至加劇惡化。

夏皮羅教授在《奇幻熊在網路釣魚》中提出的許多原則,在大型語言模型(large language model,LLM)與 web3 兩個重要數位科技同時出現,資訊操弄與資訊戰隨地可見的當下,讀者應該相當有感。數位工具早已滲透整個世界,「虛擬」早已變成了「真實」。書中列舉的故事與原理,在在指出無論資安、程式設計、還是資訊操弄,都絕不只是 IT 問題,而是橫跨科技、社會、政治的問題。只有在正確的理解下打造出健康的環境,才能設計出永續共好的科技工具,也只有這樣的科技工具,才能從根本降低科技造成的傷害,發揮科技的正面力量。

 

奇幻熊在網路釣魚:為何網際網路如此脆弱?駭客如何利用人性竊取機密,以及我們如何更安全

奇幻熊在網路釣魚:為何網際網路如此脆弱?駭客如何利用人性竊取機密,以及我們如何更安全


劉維人
自由譯者,譯有《暴政》、《心智操控》、《修辭的陷阱》等社科書籍,以及《世界上最完美的物件:鳥蛋》、《集體錯覺》等自然科普。
譯作賜教:warren1_liu@hotmail.com

 
盧靜
自由譯者,譯有《操弄》、《末日》等社會科學書,以及《遊戲設計的藝術》。喜歡研究文化間的移植和融合。
譯作賜教:rutkking@gmail.com。

兩人共同翻譯《末日》、《後疫情效應》、《西方的自殺》、《欲望分子多巴胺》、《民族重建》等書。


 延伸閱讀 

沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織,如何掀起新時代網路戰爭

沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織,如何掀起新時代網路戰爭

禍駭:網路犯罪世界的第一手紀實

禍駭:網路犯罪世界的第一手紀實

只是上網,竟變被害人:性剝削、詐欺、賭博、駭客,滲透你我生活的網路犯罪事件實錄

只是上網,竟變被害人:性剝削、詐欺、賭博、駭客,滲透你我生活的網路犯罪事件實錄

比特幣大騙局:竊盜、駭客、投機者,加密貨幣交易所Mt. Gox的腐敗運作與破產真相

比特幣大騙局:竊盜、駭客、投機者,加密貨幣交易所Mt. Gox的腐敗運作與破產真相

上下則文章

主題推薦RELATED STORIES

  • 為什麼我們喜歡看詐騙的故事?

    從《創造安娜》、《Tinder大騙徒》到各種離奇的詐騙犯罪,在經過串流平台的包裝後大受歡迎,但當我們看這些騙人與被騙的故事時,我們真正想看的是什麼?而這類影片是否只是幫助騙子們獲得更多關注?

    1334 0

回文章列表

關閉

主題推薦

為什麼我們喜歡看詐騙的故事?

從《創造安娜》、《Tinder大騙徒》到各種離奇的詐騙犯罪,在經過串流平台的包裝後大受歡迎,但當我們看這些騙人與被騙的故事時,我們真正想看的是什麼?而這類影片是否只是幫助騙子們獲得更多關注?

1334 0