上個世紀末九零年代中期俺讀了《電腦叛客》(Cyberpunk)一書,時隔多年,已經忘了書裡有沒有提到20世紀八零年代開始出現的科幻子類別「Cyberpunk」,倒是記得書中解釋:大家以為會潛入網路、盜取資料、破壞系統的「駭客」(hacker)應該稱之為「叛客」(punk),真正的「駭客」其實是技術高超的程式設計人員,他們會改善運作流程、指出系統漏洞。
書裡提到的另一件事是當時某些叛客的程式水準其實也不算太好,他們能入侵系統的主因是很閒──彼時各種系統密碼還不複雜,不寫程式自己一直試都能試出來(以今天的說法就是用程式暴力破解)。
不過詞語廣泛流行、尤其是被媒體使用之後,變化不見得會依循原意;「Cyberpunk」因為各種創作之故,與科幻的連結逐漸比較緊密直接,也能指稱某種特定的美術或設計風格;與「叛客」意義相同的詞「劊客」(Cracker)不若「駭客」常見,「駭客」開始以「白帽」(White Hat)、「灰帽」(Grey Hat)及「黑帽」(Black Hat)來區分不同行動意圖,而「駭客」一詞還是常常被用來泛指電腦系統的破壞分子。
相同的狀況發生在「電腦病毒」(Computer Virus)一詞上頭。
經由早年的磁帶、磁片,到後來的光碟、隨身碟等儲存裝置,以及20世紀九零年代中期開始快速成長的網際網路入侵個人電腦裝置,破壞程式的程式叫「電腦病毒」,那在原用戶不知情的狀況下把其電腦變成「殭屍電腦」的程式也算嗎?有些只會作怪(例如在特定情況下播音樂)但不修改既有系統的程式算嗎?有些讓用戶無法使用程式、存取資料,藉機勒索的綁架程式算嗎?有些用來竊取資料的手段,真的是靠「電腦病毒」做的嗎?
《奇幻熊在網路釣魚》(Fancy Bear Goes Phishing)談了這件事。
乍看這個書名,會以為這書講的是2016年俄國利用網路干預美國大選──這事不但有數本專書討論,許多談相關議題的書也會提到,俺可能就是在《資訊戰爭》(The Perfect Weapon)中讀到「奇幻熊」(Fancy Bear)這個名字(該書裡譯為「魔幻熊」),知道這是個與俄國政府相關的網路間諜組織,因此才會對這書如此猜想。
這書的確提及此事,但不只提到此事。
《奇幻熊在網路釣魚》的原文副書名是〈The Dark History of the Information Age, in Five Extraordinary Hacks〉,也就是說它談的是資訊時代的黑暗歷史,包括五樁有名的資訊安全事件。從1988年的「莫里斯蠕蟲」(Morris worm)事件開始(這事件很可能是不小心搞出來的),伴隨各種惡意程式的發展歷史,作者夏皮羅(Scott. J. Shapiro)輕鬆幽默同時詳細地解釋了電腦蠕蟲(computer worm)、電腦病毒、綁架軟體、殭屍電腦等等程式的相異之處與運作原理(而且舉例相當易懂,沒有相關知識也能了解),相關企業及公權力的對應過程,創造或使用這些程式的個人或團體特色──在某些情況下,不怎麼會寫程式的人也能搞出電腦病毒;在某些情況下,不需要任何程式知識也能「駭入」別人的手機或電腦──以及,在明瞭這些之後,一般人應當如何保護自己的資訊安全。
夏皮羅在20世紀七零年代曾是相當早期的電腦玩家(當時個人電腦還不普遍,也沒有現在所謂的「internet」),後來放棄資訊成為法學教授,近年才因關注資安議題重新鑽研電腦技術。
網際網路是目前許多人重度使用的工具,但大多數使用者對它的運作模式一無所知。這在現代社會或許不足為奇,一如很多人不知道冰箱或汽車的工作原理但仍可以正常使用;但網際網路連結了許多個人資訊,從電腦裡重要的工作資料到銀行存款帳戶,不明白它有哪些可能的風險,就很難擔保不會出事,而夏皮羅的學生,也就是未來會進入法律界及政府單位工作的人,更需要了解這些,才能夠在面對問題時採取有效策略。
而《奇幻熊在網路釣魚》就是一門給普通人的相關課程。
閱讀《奇幻熊在網路釣魚》的經驗愉快又滿意,一方面是夏皮羅的筆調幽默,另一方面是這書的資訊量很高──夏皮羅在沿著主線敘述時的旁徵博引相當多,涉及電腦發展歷史及原理、人性剖析、國際法規,以及人類的思考模型,亦即名作《快思慢想》(Thinking, Fast and Slow,這書的中譯版很可惜地一直令人詬病)裡提到的兩大系統。
《奇幻熊在網路釣魚》可以當成歷史書來讀,而且這約莫四十年的網際網路黑暗歷史相當吸引人也相當令人意外(例如有段時期保加利亞居然是全球最大的電腦病毒「毒窟」);可以當成惡意程式的科普書來讀,包括個人電腦演進時對「密碼」的控管態度變化到各種惡意程式如何發生作用;可以當成「駭客」(負面的那種)群象來讀,知道某些人某些單位因在什麼特質及時空背景下,決定要利用電腦做什麼事;也可以當成反制教材來讀──網際網路比想像的更不安全,但「駭客」(負面的那種)的限制也比想像的更多;明白惡意程式有哪些限制、用什麼方法入侵,就更有能力自保。
