暗網、黑市、祕密預算⋯⋯
原該保護人民的國家,正是致命武器的製造者?
年度《金融時報》和麥肯錫年度最佳商業圖書獎!
《書單》:年度最重要的一本書!
從駭客、學者、異議分子、影子經紀人到各國政府高層與外國傭兵
史上首度完整揭發即將引發第三次世界大戰的終極軍火真面目★亞馬遜4.6星、Goodreads4.4星高分評價
★揭開史諾登《永久檔案》沒說完的駭人真相
★即將由《白宮風雲》製作人改編電視劇
★《紐約時報》《泰晤士報》《經濟學人雜誌》《出版者週刊》《柯克斯書評》等國際重量媒體驚人好評
★史蒂文•貝洛文,哥倫比亞大學計算機科學教授、艾歷克斯•斯塔莫斯,史丹佛互聯網天文台主任,前 Facebook 和雅虎安全負責人等網路、資安重量人士有口皆碑
★《金融時報》和麥肯錫年度最佳商業圖書獎評審:「網路安全的問題還沒有被企業管理者重視,希望這部作品得獎後,可以刺激他們多加了解這個問題。」
★麥肯錫公司歐洲執行長:「這是一本令人震驚的書,作者讓人無比信服,詳細且實事求是地指出,全球電腦系統已經變得何等脆弱。」
★收錄資安專家吳其勳(iThome總編輯、台灣資安大會主席)、叢培侃(奧義智慧科技共同創辦人、台灣駭客協會理事)精彩導讀
何榮幸(《報導者》創辦人兼執行長)、吳宗成(臺灣科技大學資訊管理系特聘教授)、沈榮欽(加拿大約克大學副教授)、谷祖惠(臺灣資安大會創辦人)、洪偉淦(趨勢科技台灣暨香港區總經理)、翁浩正/Allen Own(戴夫寇爾 DEVCORE 執行長)、陳浩維(台灣駭客協會理事)、劉致昕(報導者副總編輯)、蔡依橙(陪你看國際新聞創辦人)、顏擇雅(暢銷書《最低的水果摘完之後》作者)──鄭重推薦(按姓氏筆畫排序)
「美國政府正在花大錢跟駭客購買企業、政府組織使用的軟體、硬體中的零時差漏洞,他們會將之變成用於攻擊或監視對手的武器。──這就是《紐約時報》網絡安全記者妮可柏勒斯甫出版新作《零時差攻擊》所探討的道德、政治和經濟困境。」──《華盛頓郵報》
▍本書特色
1. 全面觸及中國與美國在面對資訊戰爭時不同的應對之道
2. 仔細交代資訊戰爭發展的始末,觸及整個「數位軍火產業鏈」從駭客、中介人、企業與國家一系列由下而上的運作模式。
3. 作者走訪世界各地駭客與軍火商所在處,地理上跨幅從美國、阿根廷、俄羅斯、烏克蘭、台灣、中國、北韓、以色列、伊朗,再遍至歐洲諸國──顯示幾乎沒有國家能在這場零時差戰爭中倖免。
▍內容簡介
網路安全記者深入「零時差漏洞」交易現場的第一手報導
駭客、巨富、強權,與比核武更致命的終極武器!
當所有的民生基礎設施都壟罩在戰爭的陰影之下,
這是一場沒有大後方的戰爭,每一個人都無處可逃。
「知識即權力」在資訊時代得到印證,
面對這場祕密失控的軍備競賽,我們該何去何從?
《紐約時報》資深網路安全記者以緊湊淺白的筆法,解釋駭客與政府高層交易的內幕,希望讓更多人了解這枚正在導向第三次世界大戰的致命炸彈。當高度機密的國安問題與個人隱私產生衝突、俄國政府能跨國操弄烏克蘭選舉、中國政府能任意出入他國國防資料庫、美國失去了壟斷網路軍火的霸主地位──作者試圖探究:隨時隨地可能一觸即發的「零時差攻擊」真的將帶來世界末日嗎?面對如此無所不能的危險武器,有可能透過法律來規範已然失控的交易嗎?
本書出版後令重量媒體、美國學者、專家、企業資安顧問讚不絕口。《紐約書評》盛讚:「本書作者穿越全球網路武器貿易的地下世界,寫就一部生動而充滿挑釁意味的數位攻擊史!」
▍關於「零時差漏洞」不可不知的五件事
1. 如何從「軟體漏洞」轉變為「地表最強武器」?
零時差漏洞即「軟體漏洞」,起初不少駭客樂於義務為谷歌、微軟、甲骨文等大企業從數萬行程式碼中找出漏洞並修補,但當「漏洞」價格節節高升,終於變成由國家掌握的軍火。
2. 在美國,每39秒就發生一次駭客事件。要癱瘓整個國家,只需要1秒。
一個小小漏洞就能針對民生系統發動大規模攻擊。例如俄羅斯曾駭入烏克蘭輸電系統,造成長達六個小時的全國大停電。
3. 當今最「物美價廉」的超級軍火?
比起傳統轟炸機,零時差漏洞的價格便宜數千倍,於是戰力不敵強國的國家開始購入這種實惠的網路軍火,因為即使是最初階的網路攻擊,也可以對敵方造成嚴重傷害。
4. 8年內市值瘋漲超過600倍,「零時差」是大好市場?
最初價格為七十五美元的零時差漏洞,在短短八年內漲到五萬美元。於是,資訊天才、影子仲介商、間諜組織都紛紛投入這個下至獨立駭客上至各國政府的軍火產業鏈。
5. 愈進步方便的地區,反而愈不堪一擊?
當一隻手機就能處理所有工作業務、控制民生設備,意味著只需要利用「零時差漏洞」就操控一切。因此網路愈普及、線上作業愈常見的先進數位國家如美國,在零時差漏洞的威脅之下,反而愈是脆弱不堪。
▍人類必須銘記於心的三次重大網路安全事件
/闖入選舉系統的俄羅斯駭客/
俄羅斯駭客曾竊取競選電子郵件、搜尋選民資料,並滲透至烏克蘭的選舉單位刪除相關資料,還在該國的選舉結果報告系統中植入惡意軟體,差一點就引導其宣稱極右派的候選人勝出……選舉安全專家將這項陰謀稱為史上操縱國家選舉最無恥的舉動。而二○一六年的美國總統大選,更徹底證明了民主黨被玩弄於俄羅斯的股掌之間。當美國人因網軍的挑釁而分化,歐巴馬政府深刻意識到俄羅斯政府此舉背後的威脅之意,美國的國家安全已經陷入了空前的危機之中……
/史無前例的全國大斷電/
二○一五年十二月二十三日,俄羅斯默默地侵入烏克蘭的發電廠,駭入控制烏克蘭輸電網路的電腦,將斷路器一個接一個關掉,直到成千上萬的烏克蘭人無電可用為止。除此之外,他們還關閉緊急電話線。更狠的是,他們切斷了烏克蘭配送中心的備用電源,迫使作業人員只能在黑暗中摸索……
/改變世界的「震網」事件/
被稱為震網的電腦蠕蟲於二○一○年被零星發現,當時它已經透過數量前所未聞的零時差在全球流竄。這種電腦蠕蟲可以不被察覺地從受感染的USB隨身碟散播到電腦上,至於其他的零時差則讓這種蠕蟲緩緩爬過網路,來到更高層的數位行政管理系統,以便它尋找最終目的地:伊朗的納坦茲核電廠(Natanz nuclear plant)。震網將透過遠端遙控的方式,無聲無息地讓伊朗核電廠的離心機失去控制。而等到伊朗的核能科學家發現電腦蠕蟲毀掉他們的離心機時,震網早已經摧毀德黑蘭五分之一的鈾離心機──這將讓伊朗發展核子武器的野心倒退好幾年。
▍你知道嗎?最容易面臨危機的基礎設施是供水系統
妮可‧柏勒斯認為,是時候回過頭來審視,哪些地方是網路時代中敵人有機可乘的地方,又應該做好那些防禦措施。我們需要對「關鍵基礎設施進行數位化」做出更明智的考量。因為,敵人有可能透過遠端操作,讓水中的化學含量超標。事實上,不只是美國,台灣的自來水供應系統也曾遭駭客入侵。而且遠比想像中容易。
她擔心人們會在大爆炸中醒來。
在訪談中,妮可‧柏勒斯提到,我們並沒有真正意識到「自來水供應數位化」的危險性。「我們總是在相關議題上提到發電廠、核電廠,或是鐵路、空中交通管制,因為我們很難想像駭客竟然還可以入侵飲用水供應系統。 但這才是更可怕的無聲殺手。」
二〇二〇年,在新冠肺炎流行之際,以色列政府首次發布居家防疫的政策。同時,他們發現伊朗駭客已經入侵了他們的自來水處理設施(但什麼都還沒做)。以色列報以襲擊伊朗港口。耐人尋味的是,以色列政府沒有侵入伊朗人的飲用水供應系統──因為這麼做的代價太危險、太致命。如果雙方真的有人在對方供水系統上動手腳,在疫情期間,醫院人數暴增……這將是一場噩夢。然而這已經是警訊,提醒我們:現在是時候真正重新評估這些系統的安全性了。
▍末日是如何降臨的?──「零時差漏洞」與其他重大網路攻擊事件大事紀
一九六〇年代:以軍事為目的的網路科技前身問世。
一九六七年:駭客威利斯‧威爾(Willis H. Ware)寫就「威爾報告」明確指出現代電腦系統中有諸多漏洞,可能導致機密資訊外洩或遭間諜活動利用,並未引起關注。
一九八七年:第一起大規模電腦病毒「莫里斯蠕蟲」造成上千萬美元損失。
二〇〇九年:多次協助谷歌等私人企業系統修補漏洞的白帽駭客查理‧米勒(Charlie Miller)因谷歌背地中傷,公開表示「不會再提供免費的程式錯誤」給供應商,加速零時差漏洞地下交易網成形。
二〇〇九年:中國駭客集團發起「極光行動」攻破谷歌嚴密的安全系統,間接迫使谷歌退出中國。
二〇一〇年:美國與以色列攻擊伊朗核能設備而引發震驚世界的「震網事件」,國際間的數位戰爭已成大勢。
二〇一四年:北韓駭客入侵索尼影業,公布員工信箱、薪資,引起世界關注。
二〇一五年:國際駭客傭兵深入美國高層,美國第一夫人蜜雪兒的電子郵件資料外洩。
二〇一五年:俄羅斯駭入烏克蘭輸電系統,在寒冬中造成六個小時斷電。
二〇一六年:俄羅斯以網路攻擊干預美國大選,同年美國國安局軍械庫遭入侵。
二〇一七年:Notpetya勒索軟體攻擊全世界,造成美國全國總計逾百億美元損失。
二○一七年:北韓駭客發動規模史無前例的「想哭病毒」攻擊,災情橫跨英國、俄羅斯、德國、法國、印度多家航空公司、中國、西班牙、日本、台灣、韓國、中國、美國……全都被挾持勒索贖金。
二○二○年:舊金山國際機場旅客和員工使用的網路入口遭到俄羅斯駭客挾持,使用者的 Windows登錄密碼全面遭竊,印證了網路時代處處是戰場的預言。
▍國際媒體讚譽
本書精采地報導了這段歷史,它講述了一段──從未被說出來的──網路戰進化的悠久歷史。追溯到一九八〇年代,那時電腦才剛開始進入我們的生活。作者追蹤了網路武器市場至今的爆炸式增長,這段時間長弧是全球的,多面的,充滿戲劇性的。妮可證明,我們的所擁有的未來不只是一處激進的新戰場,甚至會重新定義二十一世紀。──安東•慕勒,出版社編輯
通常這類書會被稱讚說,讀起來像劇本或小說。但這本書更好,對技術問題和人類行為的敏感性使其具真實性,其中傳達的訊息:網絡安全問題威脅我們的隱私、我們的經濟、我們的生活,甚至帶來更可怕的後果。──史蒂文•利維,《連線》雜誌總編輯
本書講述了一個可怕的故事……那就是當任何人現在都可以通過單擊鼠標來消滅其他所有人時,對世界會造成什麼影響。 作者進入了一個隱密複雜的領域,這個領域被不透明的技術術語掩蓋,因而對我們其他人來說顯得如此不真實。作者向我們介紹了一些祕密英雄。我們將不會再以相同的方式看待手機、搜尋引擎,甚至恆溫器。──Kara Swisher,Recode網站(科技網站)創始人、《紐約時報》觀點作家
本書讀起來就像約翰・勒卡雷小的說,裡面充滿間諜活動和網路戰爭的恐怖故事,這些故事會讓人徹夜難眠,既無法停止閱讀,又對未來充滿恐懼。 ──《浮華世界》
對於網路武器市場的起源、發展,以及它引發的全球網路武器軍備競賽有著深入報導......本書不刻意渲染,是一部公正的編年史,以純熟的散文技巧寫下這部精采、可怕的著作。這本書一開始能把我們嚇壞,讓我們擺脫對科技的自以為是。 ——喬納森•泰珀曼,《紐約時報》
以令人著迷的電影風格講述這段故事......本書是一部清晰、不可或缺的、對世人的警醒。無論我們以為自己的保險箱有多堅固,總會有人來破解它。──LitHub
本書作者穿越全球網路武器武器貿易的地下世界,寫就這部的生動而富有挑釁性的數位攻擊史。── 《紐約書評》
本書對「零時差漏洞」的濫用有著引人入勝且令人不安的描述……這個祕密市場難以滲透,但作者比大多數人挖掘得更深。 ──《經濟學人雜誌》
強有力的網路安全政策的有力案例,可以在尊重公民權利的同時減少漏洞。──《柯克斯評論》
這可能是今年最重要的一本書……作者揭陋了這場地下軍備競賽,是一部精確、清晰和引人注目的介紹。──《書單》雜誌
本書是一則重要的警示。 在作者的深入調查之後,我們沒有理由忽視網路軍備競賽的成本。事實上,我們已經非常脆弱。──莎拉.弗埃爾,《Instagram崛起的內幕與代價》作者
一部氣力萬鈞之作。 對於任何對網路安全感興趣的人,無論是學生、政策制定者還是公民,都值得一讀。──P.W.辛格 艾默生.T.布魯金,《讚爭》作者
這是一本可讀性極強的書……一個關於駭客、零時差漏的中介人、駭客等轟轟烈烈的故事,作者也著眼於更深層次的問題。──Steven M. Bellovin,哥倫比亞大學計算機科學教授
本書一場旋風般的全球巡演,向我們介紹了控制互聯網的鬥爭背後的瘋狂人物和離奇故事。如果這一切聽起來都如此不真實,卻是千真萬確的。──Alex Stamos,史丹佛互聯網天文台主任,前 Facebook 和雅虎安全負責人
作者簡介:
妮可.柏勒斯Nicole Perlroth
《紐約時報》網路安全線10年資深記者
美國財經編輯與記者協會頒發的最佳科技報導獎得主
現任《紐約時報》資深網路安全記者,曾獲美國財經編輯與記者協會頒發最佳科技報導獎。於普林斯頓大學從事政治與近東研究,並於史丹福大學取得新聞學碩士學位。目前亦是史丹福大學商學院的客座講師。
柏勒斯曾為《富比士》雜誌撰稿,二〇一一年加入《紐約時報》負責網路安全線,已致力深耕此領域超過十年,曾深度報導俄羅斯對美國核電廠、機場和選舉的網路攻擊,朝鮮對索尼影業、銀行和醫院的網路攻擊,伊朗對石油公司、銀行和美國總統選舉期間的攻擊以及數百起中國網路攻擊事件。
本書的追蹤報導可說從史諾登事件開始。二〇一〇年起,柏勒斯開始負責追蹤俄羅斯、北韓、伊朗以及中國的網路攻擊事件。二〇一三年,《衛報》記者接獲史諾登洩密的第一手資料,為躲開英國情報機關的監視,將之送至《紐約時報》總部要求協同報導。作者與該雜誌團隊在一座密閉儲藏室中待了六個星期,鑽研外洩的國家安全局機密檔案,其後鍥而不捨持續追蹤這個足以引發世界末日的駭人武器交易市場,前後逾七年,終於完成《零時差攻擊》。
網路安全是一個以高專業門檻、充斥複雜術語聞名的領域,柏勒斯擅長以清晰、簡明的方式帶領讀者一窺這個重要而神祕的領域。美國知名媒體如公共廣播電視公司、MSNBC曾數次邀請她上節目,針對網路安全議題為民眾提供專業觀點。索尼預計翻拍她二〇一四年撰寫關於數位獨立調查員布萊恩·克雷布斯(Brian Krebs)的人物傳記文章。二〇一六年,她寫下中國駭客與美國中小企業、矽谷工程師諜對諜的精采過程,也受到影視製作人青睞。本書出版後,獲邀至專門分析國際事務的節目《Amanpour and Company》接受深度專訪。FX電視台已經搶下影視改編版權,將由《白宮風雲》電視製作人湯馬斯·史蘭擔綱製作,柏勒斯亦將親身參與製作。
譯者簡介:
李斯毅
(翻譯前言至第十六章)
臺灣大學新聞研究所碩士,美國波士頓大學企業管理碩士及財經法學碩士,具臺灣證券分析師(CSIA)資格。喜愛閱讀,關心弱勢,譯有《印度之旅》、《判決》、《等星星發亮的男孩》、《對不起,我不正常》等。人生路上處處有貴人相助,充滿感激。未來會繼續努力。
張靖之
(翻譯第十七章至第二十三章)
本名張紫蘭,台灣大學學士畢業,主修中文,輔修人類學,英國劍橋大學漢學碩士。曾任職於媒體、出版業,現為自由譯者。近期譯作有《氣候緊急時代來了》、《動物界的大旅行家》、《馬格蘭的街拍智慧》、《艾力克.克萊普頓自傳》、《如何避免氣候災難》等。賜教信箱:violea@gmail.com
章節試閱
前言
基輔,烏克蘭
我搭乘的班機於二○一九年隆冬抵達基輔時,沒人能確定攻擊行動是不是已經結束,抑或才即將開始。
飛機進入烏克蘭領空的那一刻,機艙內就出現一陣微弱的恐慌,一種戒備的偏執。亂流讓我們精疲力竭,我可以聽見機艙後方傳來陣陣嘔吐聲。我隔壁是位身材纖瘦的烏克蘭模特兒,她嚇得抓著我的手臂,並緊閉雙眼默默祈禱。
在我們三百英尺下方,烏克蘭已進入橘色警戒狀態。一場突如其來的暴風雨吹翻了公寓的屋頂,鬆脫的屋瓦在馬路上砸得粉碎。首都外圍的村落以及烏克蘭西部的村莊全都停電了──這已經不是第一次發生。當我們搖搖晃晃地降落在飛機跑道,穿越鮑里斯波爾國際機場時,就連那些身形高瘦的年輕烏克蘭邊防警衛似乎也緊張地互問彼此:究竟是這場暴風雨來得太怪,還是俄羅斯又發動了網路攻擊?這段日子以來,沒有人敢妄下斷言。
為了勘查全世界有史以來最具毀滅性的網路攻擊現場,我在前一天向我的寶貝道別,懷著到暗黑之境朝聖的心態飛來基輔。不到兩年之前,俄羅斯向烏克蘭發動一場網路攻擊,導致烏克蘭的政府機關、鐵路、提款機、加油站、郵務系統,甚至廢棄的車諾比核電廠輻射監測器,全部當機。那次攻擊事件迄今仍讓世人萬分震驚。攻擊的程式碼緊接著從烏克蘭流出,在全球恣意亂竄。那個程式碼外洩之後,短短幾分鐘就癱瘓遠在澳洲塔斯馬尼亞州的工廠,摧毀了世界上最大製藥公司之一所生產的疫苗,並且滲透進聯邦快遞公司的電腦,讓這個全世界最龐大的運輸服務集團作業停擺。
克里姆林宮故意將這場攻擊訂在烏克蘭二○一七年的行憲紀念日──相當於美國七月四日的獨立紀念日──以向烏克蘭人發出帶有威脅性的提醒:雖然烏克蘭人可以依自己的意思慶祝獨立,但他們永遠無法脫離母國俄羅斯的掌控。
俄羅斯一直暗中透過網路攻擊烏克蘭,而且攻勢逐漸加劇,這次的襲擊事件是最高峰,目的是報復二○一四年的烏克蘭革命。當時有數十萬名烏克蘭人占領基輔的獨立廣場,反對克里姆林宮在烏克蘭成立的影子政府,最後罷免了俄羅斯總統普丁操控的傀儡總統維克多.亞努科維奇(Viktor Yanukovych)。
亞努科維奇下台後,普丁在幾天內就把亞努科維奇找回莫斯科,並派遣軍隊入侵克里米亞半島。在二○一四年之前,克里米亞半島是黑海海域的天堂,宛如一顆懸浮在烏克蘭南岸的鑽石。前英國首相邱吉爾曾經稱其為「冥王黑帝斯的海濱度假勝地」。如今它隸屬於俄羅斯聯邦,為普丁與烏克蘭對峙的控制中心。
從那個時候開始,普丁的數位軍團就一直招惹烏克蘭。俄羅斯的駭客毫不留情地以數位方式侵入烏克蘭的一切人事物。長達五年的時間,他們每天對烏克蘭人進行上千次網路攻擊,並且不斷掃描該國的網路,企圖找出弱點──鬆懈的密碼、錯置的零點、未修補的軟體破口、匆促安裝的防火牆──任何可以製造數位動亂的事物,任何可能散播紛擾並破壞烏克蘭親西方領導政權的事物。
普丁只為俄羅斯駭客訂定兩條規則。首先,駭客不得侵入俄羅斯境內;其次,克里姆林宮要求駭客幫忙時,駭客必須完全服從命令。除了這兩項規範之外,駭客擁有完全的自主權。普丁真的非常寵愛他的駭客。
二○一七年六月,在普丁的駭客破壞烏克蘭的系統前三個星期,他對一群記者說:俄羅斯的駭客「就像早晨懷著好心情醒來,然後開始作畫的藝術家,如果他們愛國,就會致力對抗那些批評俄羅斯的人」。
烏克蘭已然成為俄羅斯的數位武器測試場,是俄羅斯可以試驗各種駭客手法及武器,又不必擔心遭到報復的地方。光是在二○一四年,也就是他們進行測試的第一年,俄羅斯官方媒體和網路鄉民就以散播假消息的方式大肆抨擊烏克蘭總統大選,輪番指責烏克蘭的親西方起義活動是非法政變、軍人「執政團」(junta)或美國與歐洲的「深層政府」[ 深層政府(deep state)指由政府官僚、公務員、軍事工業團體、金融業、財團、情報機構所組成的非民選政府,目的是保護其既得利益。]。俄羅斯駭客竊取競選電子郵件、搜尋選民資料,並滲透至烏克蘭的選舉單位,刪除相關資料,還在該國的選舉結果報告系統中植入惡意軟體。該軟體原本將宣稱極右派的候選人勝出,但烏克蘭人在選舉結果交付至烏克蘭媒體手中之前就揭發了這項陰謀。選舉安全專家將這項陰謀稱為史上操縱國家選舉最無恥的舉動。
如今回想起來,這件事應該要在美國敲出更響亮的警鐘,可是在二○一四年時,美國人的關注焦點在其他地方:密蘇里州佛格森的暴力事件[ 麥可.布朗命案(Shooting of Michael Brown)於二○一四年八月九日發生在美國密蘇里州的佛格森,十八歲的非裔美國青年麥可.布朗遭二十八歲的白人警員達倫.威爾遜(Darren Wilson)射殺。該事件引發連續多日的抗議行動。
]、伊斯蘭國的可怕及神出鬼沒,以及那年十二月北韓駭客侵入索尼影業。由於影星塞斯.羅根與詹姆斯.法蘭科主演的喜劇電影描述暗殺北韓摯愛的領袖金正恩,北韓駭客因此入侵索尼影業以資報復。北韓駭客用程式碼摧毀索尼影業的伺服器,然後選擇性地公開電子郵件內容,藉此羞辱索尼影業的高層。該攻擊事件為普丁在二○一六年的計畫提供了完美的範本。
對大多數的美國人而言,烏克蘭依然像是另一個世界。我們只大概知道烏克蘭人在獨立廣場進行抗議,以及他們後來慶祝親西方派的新領袖取代了普丁的傀儡。還有一些人注意到發生在烏克蘭東部的戰爭。大多數人都記得俄羅斯的分離主義者無緣無故打落一架載滿荷蘭旅客的馬來西亞飛機。
但如果我們多留心,早該看見紅色警示燈已經亮起、新加坡與荷蘭的伺服器遭受危害、大停電,以及程式碼四處外洩。
我們應該早已看出不是烏克蘭玩完了,是我們。
俄羅斯干預烏克蘭的二○一四年大選,只是一個開端。接下來,他們發動了一場全世界從未見識過的網路侵略和破壞行動。
他們仿照冷戰時期的做法。當我搭乘計程車從鮑里斯波爾機場前往烏克蘭革命淌血的心臟──位於基輔市中心的獨立廣場──時,不禁好奇他們接下來又會採取什麼行動,以及我們有沒有辦法預測出他們將怎麼做。
普丁的外交政策要點是削弱西方世界對於全球事務的控制。每一次駭客活動並散播假消息時,普丁的數位軍團都試圖讓俄羅斯的敵人受困於自身的政治議題中,使他們的注意力偏離普丁的真實目的:斷絕對於西方民主國家及北大西洋公約組織的支持,並進一步毀壞北大西洋公約組織,因為那是唯一壓制普丁的勢力。
烏克蘭人的幻想破滅得愈徹底,他們就愈可能對西方心生厭惡,進而返回母國俄羅斯冰冷的懷抱,因為他們得不到西方的保護。
在酷寒的冬天關閉烏克蘭的暖氣與電力系統,是激怒烏克蘭人並使他們質疑新政府的最好方法。二○一五年十二月二十三日,就在平安夜的前一天,俄羅斯斷然採取一次重大行動。數月以來,在烏克蘭媒體和政府機關放置破解程式碼之暗門程式[ 編注:暗門程式(trapdoor),指祕密且無文件的程式進入點,用以擷取未經授權的資料。為一常見的電腦犯罪伎倆。]及虛擬爆炸物的同一批俄羅斯駭客,也正默默侵入烏克蘭的發電廠。那年十二月,他們駭入控制烏克蘭輸電網路的電腦,將斷路器一個接一個關掉,直到成千上萬的烏克蘭人無電可用為止。除此之外,他們還關閉緊急電話線。更狠的是,他們切斷了烏克蘭配送中心的備用電源,迫使作業人員只能在黑暗中摸索。
烏克蘭的電力並未中斷太久──不到六個小時──但當天發生在烏克蘭西部的這件事,確實是史無前例。許多數位領域的先知和陰謀論者早就警告過駭客可能會攻擊輸電網路,但是直到二○一五年十二月二十三日前,沒有哪個具備這種能力的國家真的敢落實這種行動。
烏克蘭的攻擊者花了很多心思隱匿自己的真實位置,他們採用犯罪偵查員從未見過的混淆手法,先繞過新加坡、荷蘭和羅馬尼亞遭受感染的伺服器,然後才進行攻擊。他們將武器以看似無害的小東西加以包裝,下載至烏克蘭的網路,以躲過入侵檢測器,並且仔細地隨機設定程式碼,以避開防毒軟體。儘管如此,烏克蘭的政府官員還是馬上就查出是誰發動這次攻擊,因為要進行如此複雜的輸電網路攻擊,所需花費的時間和資源,普通駭客是做不到的。
駭客切斷電源無法獲得任何經濟利益,因此這顯然是出於政治意圖。在接下來的幾個月,資訊安全研究人員也證實了此項推論。他們將這次攻擊追溯至一個知名的俄羅斯情報部門,因而獲悉對方的動機。這次攻擊的目的是要提醒烏克蘭人他們的政府很弱小、俄羅斯很強大,而且普丁的數位軍團已經深入烏克蘭每個數位角落,俄羅斯可以隨意關閉烏克蘭的供電系統。
為了避免這個訊息表達得不夠清楚,一年後,同一批俄羅斯駭客再次採取行動,於二○一六年十二月切斷烏克蘭的電力。只不過,他們這次切斷的是烏克蘭的核心城市基輔的暖氣與電力,以展現他們的膽識與技術。這種行為使得俄羅斯的對手,也就是總部設於美國馬里蘭州米德堡(Fort Meade)的美國國家安全局,不禁皺起了眉頭。
許多年來,機密國家情報評估認為俄羅斯與中國是美國在網路領域中最強勁的敵手。中國占了壓倒性的優勢,但並不是因為他們的科技產品精密,而是因為中國駭客經常竊取美國的商業機密。美國國安局前任局長奇斯.亞歷山大(Keith Alexander)的名言,就是將中國的網路間諜活動稱為「史上最大規模的財富轉移」。中國人偷走了美國所有值得竊取的智慧財產,並交給他們的國有企業模仿。
伊朗和北韓在網路威脅方面也名列前茅,因為這兩個國家都明顯表現出傷害美國的意圖。美國拉斯維加斯金沙集團(Las Vegas Sands Corp.)的執行長謝爾登.阿德爾森(Sheldon Adelson)公開鼓勵華府轟炸伊朗之後,伊朗對美國的銀行網站發動攻擊,並且刪光拉斯維加斯金沙賭場電腦裡的資料。在勒索軟體的攻擊浪潮中,伊朗以及伊朗的網路犯罪分子以程式碼挾持美國的醫院、公司,甚至整座城鎮。北韓入侵美國的伺服器,只因為好萊塢冒犯了金正恩的電影品味。金正恩的數位爪牙後來還從孟加拉的一家銀行偷走八千一百萬美元。
但是就手法的複雜性而言,俄羅斯始終是第一名,這點毫無疑問。俄羅斯駭客曾侵入美國的五角大廈、白宮、參謀首長聯席會議及國務院。俄羅斯的納什青年組織(Nashi youth group)[ 納什(Nashi)是俄羅斯的青年運動,正式全稱是「青年民主反法西斯運動『納什』」(Youth Democratic Anti-Fascist Movement “Nashi”)。]在愛沙尼亞人膽敢遷移一尊蘇聯時代的雕像之後[ 編注:二○○七年四月底開始,愛沙尼亞面對大規模網路襲擊,普遍被軍事專家視為第一場國家層級的網路戰爭。彼時愛沙尼亞試圖移走蘇俄時代的紀念銅像,不但引起國內俄人騷亂,俄羅斯政府亦做出嚴厲批評。
],就癱瘓了整個愛沙尼亞的網路。可能是克里姆林宮下令要求他們這麼做,也可能是他們受到愛國心驅使。在一次網路攻擊中,俄羅斯駭客偽裝成伊斯蘭基本教義派,一口氣讓十多個法國電視頻道無法播出,還移除沙烏地阿拉伯一家石油化學公司的安全控制系統,這都讓俄羅斯駭客距離觸發一場網路大爆炸又靠近了一步。他們攻擊了英國的脫歐公投、侵入了美國輸電網路、干預了二○一六年的美國大選、法國大選、世界反禁藥組織,以及神聖的奧林匹克運動會。
前言
基輔,烏克蘭
我搭乘的班機於二○一九年隆冬抵達基輔時,沒人能確定攻擊行動是不是已經結束,抑或才即將開始。
飛機進入烏克蘭領空的那一刻,機艙內就出現一陣微弱的恐慌,一種戒備的偏執。亂流讓我們精疲力竭,我可以聽見機艙後方傳來陣陣嘔吐聲。我隔壁是位身材纖瘦的烏克蘭模特兒,她嚇得抓著我的手臂,並緊閉雙眼默默祈禱。
在我們三百英尺下方,烏克蘭已進入橘色警戒狀態。一場突如其來的暴風雨吹翻了公寓的屋頂,鬆脫的屋瓦在馬路上砸得粉碎。首都外圍的村落以及烏克蘭西部的村莊全都停電了──這已經不是第一次發生。當我...
推薦序
v 資安攻防的兩個零—零時差與零信任
吳其勳/iThome總編輯、臺灣資安大會主席
十年前我採訪資安新聞時,曾有一位白帽駭客專家對我說:「如果攻擊者真要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒有用,裝了等於沒裝。」
我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話,畢竟當時一般個人電腦的資安防護,主要就是靠防毒軟體過濾電腦病毒,以避免電腦中毒。所以我很納悶地問:「裝了防毒軟體也無效!難道可以不採取任何防護措施嗎?」
這位白帽駭客進一步說道:「如果中國網軍鎖定要入侵你的電腦,他們會利用世人都還不知道的軟體漏洞,開發出連防毒軟體都無法辨識的新型攻擊程式,直接就穿越防毒軟體,堂而皇之的入侵電腦。」
後來我才逐漸理解,他的本意並非要我解除防毒軟體,而是提醒零時差漏洞這種資安威脅的存在與其嚴重性。
什麼是零時差漏洞?
所謂的零時差漏洞,是指軟體存在可被利用的安全漏洞,然而多數人、包括該軟體開發者與供應商卻對漏洞的存在一無所悉。從零時差漏洞的生命週期來看,一開始軟體開發者寫好了程式,而程式碼存在一些錯誤(這其實是尋常的事);然而這些錯誤並不影響程式運作,因此連程式開發者自己都未察覺,可想而知,使用者更不會知道這些漏洞的存在。
但是,可能在某一天,這個軟體錯誤被人發現了,心存善意的發現者,會通知軟體開發者,以提供使用者修補更新程式。但若是遇到心懷不軌的人,例如別有居心的網軍、黑帽駭客或網路犯罪組織,他們就可能投入研究該漏洞是否有機可乘,一旦發現利用價值很高,例如可藉此入侵大多數人使用的微軟視窗作業系統或蘋果iOS作業系統,駭客便會進一步設計攻擊程式,利用這個漏洞入侵電腦。而只要這個漏洞尚未曝光,網路攻擊便能持續進行,這就是零時差漏洞。
恐將引發戰爭的核彈級武器
駭客擁有零時差漏洞就可以神不知鬼不覺地進出電腦,控制被駭的電腦,可能長期潛伏在電腦裏監聽使用者的一舉一動、持續竊取電腦裏的機密資料,或是挾持電腦作為發動其它攻擊的傀儡工具,甚至是綁架檔案進行勒索,或摧毀整臺電腦的檔案。而這一切攻擊,都要等到有人也發現了這個程式漏洞,提報給軟體開發者,待修補程式釋出後,針對這個漏洞的攻擊才會失效。然而若使用者不予理會或不知道要安裝修補程式,那麼駭客的攻擊仍然會繼續得逞。
隨著最近幾年資安攻擊事件層出不窮,攻擊手法也日益詭譎多變,我才逐漸理解十年前這位白帽駭客沒有直接點明的事:利用軟體漏洞可以發展出網路武器,而網路武器庫裏的核彈級武器,就是零時差漏洞。
網路戰爭的型態有別於傳統戰爭,傳統戰爭的攻擊武器主要是破壞實體,但網路攻擊武器卻是利用軟體漏洞入侵與控制電腦,進而控制與破壞仰賴電腦運作的設備與系統。現今我們生活周遭,從食衣住行育樂到國防軍事,從宇宙的衛星太空船到人手一機的智慧型手機,無一不是依靠晶片、軟體與網路在運行,而這些都是網路武器可以悄然無聲攻擊的目標。近年來,天天目睹網路攻擊與地下漏洞交易的資安專家,紛紛敲響警鐘:網路戰爭即將觸發第三次世界大戰。然而就如同我過往的經驗一樣,當我們每天尚能如常上網、聊天、追劇,未曾親身感受到網路攻擊的威脅,其實很難想像零時差漏洞會對未來的生活造成多大的影響。
值此之際,《零時差攻擊》一書的問世,以第一手調查報導揭露零時差漏洞的地下經濟,帶我們正視零時差攻擊可能對世界造成不可逆轉的衝擊,就顯得格外重要。
遵奉零信任原則
紐約時報資深資安記者妮可.柏勒斯懷著她對零時差漏洞的好奇,發揮記者追查真相的天性,以長達七年的時間追蹤零時差漏洞市場。期間她採訪超過三百位專家學者、駭客、零時差漏洞掮客與國安官員等,更走遍全世界好幾個國家,一點一滴挖掘出原本難以窺視的零時差地下經濟,不僅讓世人得以一窺神祕的零時差漏洞市場,更帶領讀者探究許多國家為了掌握網路戰場的致勝優勢,而不惜斥資收購與儲備零時差漏洞的現象。這種種作為到底真正保障了國家安全,還是反而助長零時差攻擊走向更偏激的道路?
此外,本書內容的驚悚程度,絕對有助於喚醒大眾對於零時差漏洞日漸失控的警覺,然而驚嚇之餘不免感嘆,難道我們的未來只能任由零時差攻擊擺布嗎?
借鏡此刻全球對抗COVID-19的經驗,會發現零時差漏洞與新冠病毒有其共通之處。在疫苗與治療藥物尚未問世前,COVID-19如同人類的零時差病毒,那麼當時為何臺灣能夠成功抵禦病毒入侵呢?其中一個重要關鍵,就是持續落實勤洗手、戴口罩、保持社交距離,設下一道道防線。這樣的防疫觀念其實與資安業界近來積極推動的零信任(Zero Trust)理念「絕不信任,一律驗證」不謀而合。零信任資安不預設信任,針對每個用戶、每個裝置的每一次行為,唯有經過驗證,才賦予適當權限。透過縮小信任空間、增加驗證頻率,以及適時適當的授權。若我們逐步落實零信任的精神,或許就可以逐漸削弱零時差攻擊的火力,有朝一日成功抑制零時差漏洞。
資安一直被視為專業技術領域,資安書籍也往往因為技術名詞令大眾卻步。本書作者以淺顯易懂的文字與第一人稱敘述方式撰寫,雖然有些描述看在資安專家眼裏或許不夠精準,卻更能吸引一般大眾。本書將帶領讀者一步步深入不為人知的零時差市場,一頁頁揭開零時差攻擊的神祕面紗,讓讀者宛如置身諜報電影,在不知不覺中親近資安議題,進而喚起其資安意識。
v 資安,人與技術的學問
叢培侃/奧義智慧科技 共同創辦人 、台灣駭客協會理事
許多人對駭客一詞有著負面的印象。但駭客一詞,原本並不具有負面的意思,而是指對事物內部運作原理深入研究、追求技術卓越的人。不論置身於哪個地方、從事何種產業,深入探索系統原理、追求技術卓越的駭客,都是值得尊敬的。為了深入理解系統運行原理,他們開啟了逆向工程的領域,利用反編譯、反組譯等方式,剖析程式運作機制。為了探索軟體錯誤(Bug)延伸的可能性,他們創造了各種記憶體資料外洩、任意讀寫記憶體資料、遠端程式碼執行等漏洞利用方式。為了保護隱私,也衍伸出了許多身份認證、加解密研究的進展。而在追求技術精進的過程中,意外地創造了軟體漏洞、惡意程式、密碼破解,成了網路戰爭、網路犯罪及資訊安全的基石,延伸成了一個蓬勃的產業。
本書並非是一本專屬於駭客、研究員或資安從業人員的書籍。現今社會資訊技術已完美融入我們的日常生活。先不論大家人手一台的手機已在資訊社會中成為人們的替身,智慧家電、物聯網的演化,辦公用的投影機及印表機,也已非單純的機械化裝置,內建了許多的嵌入式裝置。而您的愛車,也是由數十甚至數百個電子控制單元(ECU) 所組成,大量採用了資訊技術。資訊技術就如同空氣一般,無處不在。因此,資安事件是隱形、不可見,卻又隨時隨地都在發生的重要事件,從小至個人電腦中毒、大到巨量個資外洩、企業勒索、情報戰、網路戰,甚至足以改變國與國之間的關係。因此,除非您不用電腦、不用手機、不上網、不使用任何電子設備,不然本書便是與您相關的書籍。
本書作者從美國的角度出發,從記者不同的角度,讓我們以不同面向,認識這個產業。美國是網路戰爭的先驅,震網病毒、稜鏡事件、方程式網路戰隊一再顯示美國在網路戰仍領先其他國家,啟蒙了伊朗、中國、俄羅斯、北韓等國家的網路戰隊。因此,從美國角度來了解網路戰的發展是值得的。作者發揮了記者的駭客職人精神,採訪了許多資安領域的人物,其數量之多,令人咋舌。「人」永遠是產業運作的關鍵。在資安產業中,大家往往重視技術,卻忽略的人的問題。對於網路戰、網路地下犯罪、個人隱私、網路詐騙等重要議題,除了技術之外,人的運作至關重要。而本書中生動的描述了不同資安產業的人,讓我們更貼近地了解少為人深入探索的新興產業。
另一方面,其採訪的人的特質也相當精要,往往都是貼近這些重大資安事件的第一線人員。書中提到從以前到現在相當重要的資安事件,從震網病毒、極光行動、影子仲介商、烏克蘭基礎建設攻擊、美國大選干預等事件,勾勒出這些事件帶動的影響,了解這些事件對世界的衝擊。
由於網路漏洞的可複製性、低物理資源門檻,網路武器具有相當高的擴散性,不易為少數國家所壟斷。網路戰的技術,在短短十年內,已經從頂尖國家專有的,變成各國皆有自身的網路戰部隊。進一步,各國黑色產業、犯罪集團已經具有相當高的網路戰能量。因此受駭範圍已從政府、重要官員延伸至一般企業,甚至個人。
此外,與物理戰爭有別,不像飛彈或戰機等,軟體漏洞武器有其時效性,且難以有效監控管理。資訊系統容易複製、網路攻擊的隱蔽性、攻擊留下的證據,都與傳統攻擊相異,造成網路攻擊難以禁止、法規難以全面監管、也難以有國際間的武器限制公約,或是形同虛設。有鑑於此,網路戰爭的發展,可預計不會停下腳步,而是會更加快速的發展。網路戰也慢慢與其他領域接合,發展成各種綜合戰。隨著對資訊技術的依賴,網路戰帶動了監控、隱私、關鍵基礎建設、社交網路、輿情戰、情報戰、智財權商業間諜等,未來在AI、影像、自駕車等領域也會是重要議題。資安問題將有更大的影響範圍。
書中提到相當多俄羅斯針對烏克蘭的網路攻擊,對此我們感覺深有同感。台灣的政治立場與烏克蘭有不少相似性,身為資安人員,負責保護許多台灣重要政府、企業,我們也經常看到中國網路戰的影響,中國網軍一直是我們可敬可畏的對手。台灣在近幾年的發展下,社會大眾、政府也都廣泛理解資安的重要性,產官學研各界也逐漸投入此領域。台灣駭客年會(HITCON)在多年的發展之下,已經成為世界聞名的資安技術會議,吸引許多頂尖研究員前來。而HITCON CTF戰隊,這幾年在駭客圈的奧運-DEFCON CTF中(也許稱呼為駭客的電競大賽比較貼切),都取得非常好的成績。台灣本土的資安企業,也不再侷限於本土,輸出到世界各國。顯示出台灣在資安技術上,已有長程的進步,但除了領頭羊以外,整體資安產業能量仍然不足。要將人、技術等一小塊的拼圖,組出一幅漂亮的圖畫,還需大家努力探索。
書中最後一句話提到「紐西蘭駭客麥克曼納斯他那件T恤上印的字:總有人要做點事。」資訊領域已成為我們生活中不可或缺的一環,資安領域不只需要更多工程師、研究員、駭客的加入,也需要更多元的切入點,如本書作者以記者的角度作出了如此貢獻,資安領域值得更多不同領域加入。並無可質疑資安將是現代人並需要具備的基本常識。
v 資安攻防的兩個零—零時差與零信任
吳其勳/iThome總編輯、臺灣資安大會主席
十年前我採訪資安新聞時,曾有一位白帽駭客專家對我說:「如果攻擊者真要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒有用,裝了等於沒裝。」
我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話,畢竟當時一般個人電腦的資安防護,主要就是靠防毒軟體過濾電腦病毒,以避免電腦中毒。所以我很納悶地問:「裝了防毒軟體也無效!難道可以不採取任何防護措施嗎?」
這位白帽駭客進一步說道:「如果中國網軍鎖定要入侵你的電腦,他們會利用世人都還不知道...