11月時,我國數位發展部部長黃彥男指出,由於地緣政治的關係,臺灣每秒就被駭客攻擊約1.5萬次,是其他國家的四倍之多。儘管被攻擊的次數多並不代表被成功駭入,但如此高頻率的攻擊加上國人普遍低落的資訊安全觀念,公家機關、企業乃至身邊的親朋好友被成功駭入的案例屢見不鮮。然而,儘管網路攻擊如此常見,我們對於他們是怎麼發生的卻知之甚少,也因此有許多人對於網路攻擊抱有不切實際的想像或是恐懼。為此本書的作者,美國耶魯大學法學院的法律與哲學教授兼耶魯大學網路安全實驗室創辦人,史考特?夏皮羅先生親自學習駭客的技術並且爬梳駭客發展的歷史,並在最終撰寫成此書。
在這本書的最一開始作者提出三個問題:資安技術發展如此多年,網路為何依然處處危機?駭客是如何利用那些資安漏洞?我們該如何加強資訊安全?這三個問題是作者在花費大量的時間鑽研駭客的技術、歷史及哲學之後,希望所有對網路安全抱有疑問的人在讀完這本書之後能夠回答的問題,也是作者在開始研究之前對自己所發出的提問。而在本書之中,作者將會以五段故事分作十章的內容講述駭客技術的發展史,並且藉此來描繪出駭客的形象、手法與核心價值。在讀完這本書之後。不論讀者原先對於駭客的相關知識有多少了解,都能夠從中發掘出原本所不知道的駭客面像。
首先作者從史上第一起大規模網路攻擊事件:莫里斯蠕蟲事件開始說起,這起事件起源於一個研究生失控的實驗。1988年網路還處在早期發展階段,並不像如今這般發達,只有少數人與機構使用。而本起事件的主角莫里斯為了研究當時的網路規模究竟有多大,放出他自己編寫的網路蠕蟲程式。在理想的情況下,這隻蠕蟲將會在不造成損失的情況下盡可能地感染所有連上網路的電腦,然而實際上所發生的情況遠遠超出莫里斯放出蠕蟲時的預期。由於莫里斯在蠕蟲的程式碼中所設定的感染規則中設定,蠕蟲在感染時會檢查這部裝置是否已被感染,並且繞過那些已被感染的目標,但這條規則有七分之一的機率會被無視。這條規則是為了突破那些偽裝成自己已經被感染過的裝置而設的,但七分之一這個機率實在是太高了。在蠕蟲極高的感染速度之下,蠕蟲很快地便會占滿被入侵的裝置空間,並導致設備癱瘓。這起事件的發生雖然沒有造成太大的危害,蠕蟲們在被放出的一天之內就被專家們收拾乾淨,但也在眾人的心中敲響了警鐘,一個研究生無惡意的舉動就能在短時間內癱瘓網路,那如果是帶有惡意的行動呢?藉由這起事件大眾這才開始檢視起當時的網際網路安全應當如何補強,而本書的作者則透過莫里斯蠕蟲的運作原理,向讀者解釋網路攻擊的基本運作原理。
除了莫里斯蠕蟲之外,作者另外舉出2016年時俄國駭客組織奇幻熊利用釣魚信件駭入希拉蕊競選陣營的事件,並藉此來說明駭客的攻擊並不僅限於放出病毒來感染設備,更多的是利用人心的漏洞來達到他們所想要達成的目的,這也是本書書名所指涉的事件。這起事件的手法說起來大家或許會覺得老套,畢竟奇幻熊只是偽裝成 google 寄送一封信件,宣稱該用戶的帳戶密碼已經外洩,並且提供一組釣魚網址希望收到信的人盡速更改他們的密碼。然而,若是仔細審視該郵件,便會發現該郵件與正牌的 google 安全性警告郵件完全不同,可是即便如此還是有人會因此上當,其中原因便是由於奇幻熊掌握了人心的弱點。在郵件中,奇幻熊用上紅色的橫幅警告「有人已取得你的密碼」、在內文強調「請立刻更改你的密碼」、提供一個巨大的藍色按鈕「更改密碼」,這三樣在正版的郵件中都沒有,但是奇幻熊就是透過加上這些警告,使得受害者乖乖交出自己的密碼。或許有人會問這些東西明明假到不行,只要稍作查證或是不點連結改成自行進入帳號設定更改密碼都可以避免這些風險,為何還是有人會受騙?作者認為這源自於人性規避損失的弱點。即便多繞一點路或是多花一點時間查證就能夠避免掉這些風險,但是因為風險成真的可能性不是100% ,而多繞路與查證所花費的時間則是必定的損失,進而導致人們普遍傾向冒一點風險來節省時間,使得駭客有可趁之機。
達人
