從科技犯罪巨著反思WannaCry

從科技犯罪巨著反思WannaCry
Photo Credit: Jonathan Ernst / Reuters / 達志影像
我們想讓你知道的是

WannaCry勒索風暴,看來這是繼2013年施諾登爆出「國安局全球科技監控機制」事件後,美國國安局又一「上身」的轟動大事。作者藉此回顧科技巨著《未來的犯罪》,以不同角度反思當中的問題。

唸給你聽
powered by Cyberon
WannaCry風暴——成也國安、敗也國安

歐馬爾.布萊德利(Omar N. Bradley):

「科技發展再不審慎明智,僕人就可能搖身一變成為劊子手。」

這次稱為「WannaCry」的勒索軟件引起全球不少恐慌,事件爆出美國國家安全局(National Security Agnecy, NSA)長期囤積Windows系統漏洞,被黑客團隊「The Shadow Brokers」發布,然後有人利用這些漏洞造成「WannaCry」勒索風暴,看來這是繼2013年施諾登爆出「國安局全球科技監控機制」事件後,美國國安局又一「上身」的轟動大事。

微軟主席及首席法務官Brad Smith指這些漏洞外洩等同「美軍的導彈被盜」。雖然微軟有沒有盡力「發掘」系統漏洞有一定責任,但Smith的形容算是維肖維妙,對於美國政府來說,這顯然是「留一手」在未來需要攻擊 / 監測威脅國安對象的做法。

這事件顯然易見,黑客透過研發各種惡意軟件(malware)等入侵途徑,它是一把雙刃劍,不論是美國、中國、俄羅斯等各國政府也在使用,問題在於使用的人和組織,他們意圖用在甚麼事情之上,你可以「總體上」質疑、批評使用惡意軟件牟利、純破壞的人或組織,然而,現實世界之複雜,往往難以所有情況黑白二分,簡單得出是非對錯。

科技「犯罪」的對錯得失,不易辨清

除了哈拉瑞(Yuval Noah Harari)在《人類大命運》分享一事,26歲美國天才駭客史瓦茲(Aaron Swartz)信奉數據主義(Dataism),不滿JSTOR掌控了科學論文資料庫收費牟利,於是入侵系統及免費發布論文,即使他當時做的事公認為網絡犯罪,事後卻足以令JSTOR深思改善的空間,致歉並開放部分論文供大眾免費使用。

另外,相信仍有朋友記得黑客組織「匿名者」(Anonymous)又一次觸碰灰色地帶的入侵事件。2011年,他們發起「行動暗網」(Operation Darknet)攻擊行動,對象是那些上載兒童性虐圖片的戀童色情網,有些黑客支持做法,聯手狂轟網站使之無法上線,再公布經常使用網站的1,500戀童癖人士的姓名。事後引來不少爭議,甚至連一些原本不同意「匿名者」的人,也苦惱在某些事上他們是否也有做對的時候。

至於一位無人不識的黑客自然是喬布斯(Steve Jobs),他跟沃茲尼克(Steve Wozniak)在1971年造出「藍盒子」(blue box)的裝置,就是能夠入侵電話網絡,使之不必收費駁通長途通話,測試成功就賣給柏克萊大學的學生,賺錢打好基礎,間接幫助創立日後知名的「蘋果電腦」公司。

筆者這裡的重點並不是指世間沒有對錯,而是反映許多問題的複雜,不容易分辨對錯得失。說到反思網絡科技犯罪的問題,不得不提馬克.古德曼(Marc Goodman)的著作《未來的犯罪(Future Crimes)》,儘管在2015年出版,但當中一系列網絡犯罪回顧與安全反思,一點也沒有過時,更應擔心全球各國應變之慢,糾纏不清的計算,對全球公民造成如何深遠的影響。

一家知名又被通緝的「勒索軟件」公司 為何總部在烏克蘭?

這裡先從包含推廣「勒索軟件」(ransomware)的一所公司談起。踏入2000年以後,兩位「雙劍合壁」的年輕人,一位來自印度叫沙爾什庫馬爾.吉恩(Shaileshkumar “Sam” Jain),另一位來自瑞典叫比昂.桑丁(Bjorn Sundin),二人先創立「創新行銷」公司,把總部設在烏克蘭首都基輔(Kiev),那裡有不少資訊工程及數學等高學歷人才,而聘請的薪酬遠沒有矽谷那麼昂貴,更重要的是容易避過管制。

他們需要這麼多人才,就是看準了當時人們恐懼電腦病毒的心理,製造一系列「疑似」可以令用戶安心使用電腦的軟件產品,就是「惡意軟件毀滅者」(Malware Destructor)、「系統保護者」(System Defender)、「視窗反間諜軟件」(Windows Antispyware)等。他們透過軟件有巨額利潤,而且厚待員工,不久已擴展成跨國企業,在各地有超過600名員工,甚至需要建立多國語言的客服中心。

長時期以來,不少電腦用戶偶爾會碰到網站或軟件介面顯示:「警告:發現嚴重病毒」(“WARNING: SERIOUS VIRUS DETECTED”)的字樣,還可能伴隨警鐘聲響,然後「System Defender」的標誌便會出現,「悉心」為你掃瞄硬碟檔案,不久列出一堆令人擔心的「病毒、蠕蟲、間諜軟件」,再彈出「您的電腦正面臨風險,隨時可能當機、造成資料永久遺失。請按下這個按鈕,清除所有威脅。」

看來,他們不但是研發軟件的奇才,而且操作方式可以提供網絡心理研究事例,因為這種推廣軟件的方式,輕易讓為數不少的用戶心動點按,結果可能換來:

「這項產品售價高達49美元,但保證能解決所有已知的電腦問題。如果有人還不知死活,想不管那個『清除威脅』的選項,按下螢幕其他地方,會發現整台電腦完全被鎖住,只剩惱人的警鈴聲響個不停,按Esc鍵也沒用,用戶就是被卡在這個紅色的螢幕上,無法控制自己的電腦。如果用戶夠精明,可能會想到重新開機來解決這個問題;但重開機之後,看到的還是同樣無情的紅色警示螢幕、聽到的還是刺耳的警鈴聲。想要重新控制電腦使用裡面的資料,看來唯一的辦法就是乖乖付49美元了。」

捉心理、愈變愈強的電腦病毒產業

本質上,無論這些軟件名字叫甚麼,可以說是集「假安全軟件、勒索軟件、流氓防毒軟件」於一身的厲害招數,那些悉心為你服務的掃瞄顯示,自然是虛擬的數據,到你付費下載軟件後,它們執行的任務主要是移除用戶本身有用的防毒程式,再將更多不同惡意軟件裝到硬碟中,部分甚至會取得用戶信用卡資料,在網絡黑市上販賣。

兩位年輕的創辦人僅僅在2009年,就收到450萬份訂單,以每份訂單平均取得35美元來說,他們全年就賺取了1.8億美元,大約三年在全球賺取近5億美元。

不過,賺錢之多,老闆一點也不吝嗇,員工經常會得到各類獎勵,例如頻發獎金、到海濱勝地度假、各類競技比賽,公司上下根本沒有閒暇思索道德倫理問題。最終因為名氣太大,連美國聯邦高查局及國際刑警組織也介入調查。

不少人都知道,網際網絡源起上世紀60年代,隸屬美國國防部有一「國防先進研究計劃署」(Defense advanced Research Projects Agency, DARPA),為確保一旦發生核子攻擊,可以倚靠另一種軍事通訊渠道,網絡就是為了這件事而誕生,技術及後廣泛普及到大眾使用。

為何各種惡意軟件入侵,至今無法阻止?

網絡平台使全球用戶高度連結起來,也促成了不同惡意軟件有效擴散。惡意軟件(malware)一詞,是由「惡意」(malicious)跟「軟件」(software)結合而成,下可分為三大類:電腦病毒(virus) 、電腦蠕蟲(worm)和木馬程式(Trojan)。

2012年,有資研安全研究公司與大學合作,測試市面各大防毒軟件,發現它們能成功偵測不同威脅的比例只有5%,其餘95%的惡意軟件無法阻截。同年,莫斯科卡巴斯基實驗室研究員發現名為「火焰」(Flame)的惡意軟件,事前它已成功竊取了全球資訊五年左右,才終於被發現。一般來說,令人防不勝防的病毒入侵,是採取「零時差攻擊」(zero-day attack),可以利用電腦程式未知的漏洞廣泛傳播。古德曼如此道:

「防毒軟體公司一般並非主動尋找程式中的漏洞,而只是檢查已知的資料點,如果某個軟體中的程式碼類似於過去已知的惡意軟體,就把它擋下來。基本上,這就像是在有銀行被搶之後,把罪犯的海報貼在銀行裡面一樣,行員會知道要對這種長相的人提高警覺,但如果其他顧客不是這副長相,行員就可能會掉以輕心——直到又被另一個搶匪搶了為止。而我們生活中有愈來愈來科技產品,從微軟的視窗軟體、Linksys的路由器、Adobe無所不在的PDF閱讀程式和Flash程式,結果也就是產生愈來愈多這種零時差的攻擊。」

據顧能(Gartner)推估,2017年全球花在網絡安全上的開支可能達到940億美元,其中一項任務是為了應付「每天」數以萬計、十萬計的新惡意軟件的出現。

說到底,還是國家安全大於一切?被犧牲的又是誰?

除了銀行及各種企業憂心網絡安全之外,「WannaCry」風暴不得不令人疑惑,究竟美國政府有沒有必要為安全漏洞「留一手」,應變國家級「可能」出現的攻擊,必要時進行報復?

隨著現代各類科技系統愈來愈先進,尤其交通網絡,等於處處都有運算複雜資訊的電腦裝置四處走動。現實確有「類似」荷里活電影《虎膽龍威4.0》(Die Hard 4.0)的事件發生。2008年1月,波蘭羅茲市(Lodz)有一列電車突然失控轉左,而司機按下的指令卻是右轉,一瞬間列車闖出軌道再撞到另一電車,極度慶幸是事件沒人死亡,有十多名乘客受傷。經過調查之後,發現事件由一位14歲電腦神童策劃,他花了數個月時間研究全市鐵道系統,然後造了個紅外線遙控器,可以遙距控制鐵道運輸路線的所有轉向,像玩玩具火車一樣操控方向。到終於被捕拘的時候,他稱:「只是為了好玩。」

曾經,一位阿根廷黑客凱撒.塞魯多(Cesar Cerrudo)就曾經入侵設置在馬路底下的感應器,操控城市無線交通偵測系統,造成塞車。而2014年德國安全研究員以「埃特林根」(Ettlingen)小鎮進行試點,成功奪得電力控制權,如果技術用在國家攻擊層面,意味可以把一個城市甚至國家斷電,而且決意進行攻擊,未必只有電力系統,也可以是其他系統。

諸如此類的問題,全球各國及企業,如何在風險管理或技術上及早協調規劃,都是當前尚待解決且極度頭痛的問題,也正如前文指出,國家完全掌控相關漏洞和技術,就肯定沒有問題嗎?網絡科技及攻防戰,當中的思考的對錯得失又如何?還有各種大數據與私隱的實際問題。這些問題可透過人工智能技術協助解決嗎?抑或成就另一個失控的問題?「世界是平的」,但當科技促成它變平的同時,衍生的問題使人類的未來一點也不平坦。

愛因斯坦(Albert Einstein):

「科技進步就像是病態罪犯手中的一把斧頭。」

延伸閱讀:

  1. 〈用黃子華的幽默智慧閱讀《人類大命運》〉
  2. 〈勒索病毒肆虐,微軟批情報部門「囤積」漏洞〉

馬克.古德曼(Marc Goodman)著:《未來犯罪:當萬物都可駭我們該如何面對》(Future Crimes: everything is connected, everyone is vulnerable and what we can do about it),新北市:木馬文化出版,2016年3月。

勒索軟件WannaCry橫行 專家:損失是天文數字(東方日報)

核稿編輯:周雪君

或許你會想看
更多『評論』文章 更多『科技』文章 更多『王陽翎』文章
Loader