Scott. J. Shapiro《奇幻熊在網路釣魚》(Fancy Bear Goes Phishing : The Dark History of the Information Age, in Five Extraordinary Hacks,劉維人、盧靜譯,悅知,2023
正如犢友所言,這本書很易讀。
但其實要真正明白背後的技術問題很難。方某自認是「教初中電腦科的電腦白痴」,書中涉及的基本電腦知識,靠會考電腦科的知識還可以理解,但更深入具體的病毒運作,看了註釋還是不大了了。
那麼為何大家都說易讀?
因為作者的主旨並不在技術細節,而在於「所有的資安問題,都是源於背後人類理性和社會的抽象準則」。人類的理性有局限,建立的資訊設施和程式也有局限,再加上廠商和使用者的疏失,就產生了各種的漏洞。而理解這些準則和它們導致的漏洞,並不需要在大學修讀電腦科學或資訊工程(當然有讀過會更易理解具體漏洞)。正如作者描述的個案,有時犯人根本不需要運用高深電腦技巧,單靠當事人或公司員工的不慎,就駭了進去。甚至書名提及俄國奇幻熊情報人員的釣魚郵件,也是靠「捉心理」。
有讀戰史的人或者更易理解這點。例如二戰德軍的奇謎機,縱使波蘭亡國前夕已把機器藍圖交給英國,但要在合理時間內破解密碼,單靠圖靈的天才還是不大可能。最後還是因為德軍運用密碼時的一些習慣和漏洞,才被英國人找到竅門(廣東話:捉到路)破解密碼。(當然直接繳獲密碼本又是後話了)
抽象準則影響的不只是程式,還有駭客生態和政治、法律制度,都體現出人類的抽象準則。理解駭客心理和生態,才能從源頭減少破壞活動。法律制度沒搞好,電腦公司就沒有誘因生產足夠安全的設備和軟件。
作者在結論說得很清楚:技術萬能論只會帶我們走歪路,真正的資安解決方案,必然牽涉到政治。靠技術枝節迴避政治討論和價值判斷,最終只能得一夕安寢,不會真正解決問題。
咦,這有點像Michael Sandel《錢買不到的東西》批評政客用市場化迴避道德價值討論?只能說是英雄所見略同。
(方某人其他書評書介)
(如果閣下有興趣讀電子書,經本文連結 https://moo.im/a/fyABUY 購買,本人將獲得平台回饋。當然看倌不一定要經這條連結買的。)
---
筆記,或挑骨頭﹕
#100 繁中版作者序「這也是為什麼政治學家詹姆斯.史考特(James Scott)會說資訊武器是「弱者的武器」。弱國可以利用資訊武器騷擾、誹謗、偷竊和搞破壞,讓實力更強的敵國不堪其擾──最重要的是,這一切都是在秘密中進行,很容易否認。」
相比而言,我們稱生化武器為「窮人的原子彈」,但窮國也不敢隨便向強國用,因為強國服復起來會更厲害。(正如海灣戰爭時,盟軍也很怕伊拉克出動化學武器,但最終他們沒動用。)
#136 前言 天才計劃「美國航太總署艾姆斯研究中心(NASA Ames Research Center)的彼得.李(Peter Yee)用TCP-IP通訊錄發出第一封群組警告信」
起初見「李」,我本來懷疑是Lee誤植為Yee,但上網查的確有這位Peter Yee,可是Yee就沒理由譯「李」了。如果這位Peter Yee是華人,可能是姓余。(姓伊或茹亦有可能,但這兩個姓人數很少。)
#181 「那個(1970)時代,電腦剛出現在街頭的商店裡,每個人都買得到。TRS-80 售價三九九美元(大約等於二○二三年的一七○○美元)。」
$1700美元約為港幣$13600(當八算,畢竟美國貨運來香港一定較貴),也不至於「每個人都買得到」。方某中學時故意選修電腦就是為了要老爸買部電腦(要不然吝嗇如他絕不會買),連周邊設備(螢幕喇叭印表機之類),雖已九十年代也仍需過萬。
#208 「最好笑的是,這本書進行到一半時,其出版公司麥克米倫(Macmillan)就被勒索軟體入侵,製作流程因而中斷了大概一週──一本討論駭客的書,還沒出版就被駭客攻擊了。」
的確意想不到。
#228 「在網路時代出現幾十年後,我的學生們是數位原住民,他們把生活中的許多時間花在線上平臺;但另一方面,他們對網際網路的原理,甚至電腦的原理卻一無所知。」
的確如是。今天的學生甚至小孩,很快就能用智能手機平板電腦之類,拍片剪片也比我們純熟(謎之聲﹕其實只是比「你」純熟吧)。可是這其實是操作系統界面和應用程式設計得宜之功,到電腦堂一提及基本操作,就看到學生對「檔案」、「資料夾」這類概念完全陌生,甚至連「儲存」掣也認不到(十幾年前的學生是扮不懂,現在的是真不懂)。他們習慣了在雲端一找就有,而且東西都會自動儲存,完全沒想到有操作和管理的必要。
#312 「我們更不應該繼續誇大威脅。如果大家都被嚇得草木皆兵,就只會陷入心理學所謂的「習得性無助」,以為自己無法改變環境,做什麼都無濟於事」
《阿共打來怎麼辦》和《再談阿共打來怎麼辦》就是這樣說。
#558 Chapter 1 網路大蟲「系統管理員沙德斯當然知道這不是玩笑。而且他自己也不想被捲進去,所以花了一整個小時設法匿名寄信,最後設了一個假帳號「foo%bar.arpa」,透過布朗大學的郵件列表發送出去。但這一個小時的時間差助長了悲劇,到了凌晨三點三十四分,蠕蟲已經快速擴散,癱瘓了許多網路路由器。安迪的信件塞在大量雜訊中,四十八小時後才終於送達,在這段時間,每個系統管理員全都求助無門。」
正如偷襲珍珠港。日方的宣戰文書因為解碼延誤而到襲擊後才送交美國國務院﹔而華盛頓雖然提前解讀宣戰電文,但對夏威夷發的警告電文又因為經民營電報傳送,於是在襲擊後才送到。
#624 「軍方一眼就看出Multics潛力無窮。有了Multics,五角大廈就不用購買好幾臺電腦,分別處理一般資料、機密資料、極機密資料、絕對機密資料,只要用Multics把不同使用者隔開就可以辦到。」
但結果還是要分,因為根本很難避免被駭。最機密的電腦甚至不能連上網絡。
#805 「耶魯的印刷部就會取走郵件,統一貼上郵票,寄到紐哈芬的郵局。耶魯的印刷部是我們與美國郵務系統間的門戶。」
印刷部﹖上網看沒發覺印刷部是負責派信的部門呀。
#823-833 「想要在彼此連通的網路中,找出正在傳輸的蠕蟲或其他類型的惡意軟體,根本是癡人說夢。這會對路由器造成極大負擔。即使真的開發出某種檢查惡意流量的技術,也會嚴重拖垮路由器,讓它們無法把寶貴的運算資源用來計算有效的路徑或者轉發封包。最後的結果就是網路速度大幅下降。物理世界的郵政也是這樣:如果你要一一檢查每封信件有沒有包含惡意訊息,信件和包裹就一定會擠在郵局,得隔上很久才能送達目的地。」
共產國家以前就是這樣,想逐封信檢查有沒有「反動」訊息,結果就是郵政極度延誤。
#879 「科學家相信每個使用者都有社群意識,都認為互助比搗亂更重要。「駭客」這個詞就是出自這個社群,並且一開始沒有貶意,而是指那些能夠用優雅簡約的程式碼解決困難問題的世外高人。直到後來才變成了一種搞破壞的人。」
這種想法在小圈子裡行得通(早期能使用網絡的人本來也很少,都是學界精英),人數一擴大了就不成立。
#1223 Chapter 2 烏龜駭掉阿基里斯「康乃爾大學也強烈譴責小羅伯.莫里斯。該校資訊科技副主席斯圖爾特.林恩(M. Stuart Lynn)以學術角度表示」
這顯然是把 Vice-President 直譯之誤,公司才會叫「主席」,大學應譯「副校長」。
#1255 「烏龜宣稱,牠知道自己是個爬行動物,而所有爬行動物都有死亡的時候,不過呢,烏龜是永垂不朽的。」
令人想起一場舊演講﹕朱曉農教授講「為什麼中國產生不了科學﹖」,中國人玩三段論,「凡人皆有死」、「孔子是人」,之後卻跳了去「然則聖人不朽」,玩概念滑轉。還以為是中國特色的辯證法,原來西人也會。
#1364 「(以粗體表示的是程式碼,以斜體表示的是資料)」
電子書檔顯示不到斜體。
#1427 「最大的問題是所有的陪審員都沒有電腦,而且只有其中兩位曾在工作中使用過電腦。如果說莫里斯是一個巫師,那他的陪審團就全都是麻瓜。不過政府這邊就很幸運了,負責起訴的馬克.羅許(Mark Rasch)檢察官在處理電腦犯罪方面經驗豐富,甚至可以說是全國最豐富。」
政府當然會找他負責起訴,但從另一面看﹕如果按陪審團的初衷(由同儕審判),那麼專業程度那麼高的案,是否應該以電腦專家為陪審團﹖專家比較容易設身處地思考被告是否有犯罪意圖。
#1466 「他不處理指控是否屬實,而是直接主張檢方曲解法律。圭多博尼表示,他的當事人雖然故意製造蠕蟲並釋放蠕蟲,但完全沒有想藉此傷害電腦。傷害會發生,是因為蠕蟲的行動超越了意料。當事人的行為是失誤,而不是犯罪。」
即是把刑事案說成民事案。不過如果政府部門和各大學和公司都找他索償,他也賠不起。
「這種辯護策略顛覆了正常的法律程序。一般來說,法庭爭論的是事實而非法律。」
不完全是。不過初審/初級法院較多處理事實問題,高級的法院和上訴審通常就只處理法律問題。
「比較麻煩的是,該庭的蒙森法官(Howard Munson)在審判開始之前就直接下了判斷。蒙森法官認為,這場審判並不需要檢查被告的意圖。」
這本身就不公平吧。
「程式碼與資料不僅功能不同,評估標準也不一樣。程式碼有好壞之分,它的效率有高有低,目標有善良邪惡的差別。但資料沒有好壞之分,只有真假之別。」
資料也有品質高低之別吧﹖
#1673「問:你當時知不知道,這至少會讓一些人花費時間精力去清除蠕蟲、去搞清楚蠕蟲在做什麼、去解決蠕蟲造成的影響?答:對。照理來說應該會這樣。」
他至少承認了自己是魯莽犯罪。
#1849 註36「根據普通法,律師與當事人、醫生與患者、牧師與懺悔者、配偶等等,均不需為對方作證。」
對比國安法﹖
#2097 Chapter 3 保加利亞毒窟「普雷瓦斯基製作這些病毒的時候,都只是為了研究,並不想將其釋出。但這些實驗室病毒最後還是逃了出來。」
「而普雷瓦斯基的疫苗病毒之所以會逃脫出來,是因為他的電腦搭載了微軟的DOS作業系統。DOS是「磁碟作業系統」(Disk Operating System)的簡稱,跟同時能讓多個使用者登入的UNIX不一樣,DOS一次只能一個人使用。因此,DOS沒有登錄頁面,也不用輸入帳號密碼。只要能坐到電腦前面,每個人都可以存取系統中的所有文件、執行所有檔案。簡單來說,每個使用者都擁有系統的所有權限,想對電腦做什麼都可以。」
所以後來的Windows終於加入了管理員戶口。
#2111 「艾克頓勳爵(Lord Acton)有句名言:「絕對的權力帶來絕對的腐敗。」我猜他可能也會說,絕對的使用者權限帶來絕對的檔案破壞。」
誠然。
#2118-2126 「讓邦契夫始料未及的是,他寫文章是為了警告病毒的危險性,卻因此啟發更多人開始寫病毒。不少病毒作者從這些文章中學到病毒的寫法,開始嘗試改寫既有的病毒。」
所以總會有人認為乾脆別講,就像「性教育助長性行為」的邏輯。其實這只會令大家更危險。
#2126 「普羅夫迪夫市的大學生彼得.提莫夫(Peter Dimov),因為討厭自己的導師,就寫了一個病毒去感染對方的檔案;然後又寫了兩個病毒,獻給女友來表達愛意。」
前者還可理解,後者令人費解。收到電腦病毒會感受到愛意的女人恐怕也跟他一般瘋。
#2391 「值得一提的是,上述弗瑞德.柯恩的自我複製定義,會把安裝套件視為病毒。我們一下載安裝套件,它們就複製到我們的硬碟上,而且會進行安裝,顯然是自我複製。」
但安裝軟件只會在你故意召喚它的時候才複製,而且在同一部電腦只需複製一次。而電腦病毒通常是假裝成正常檔案或者躲在正常檔案中,你觸動它的時候不知道它會自我複製。
#2551 Chapter 4 群龍之父「分身就得搭載一份相同的複製藍圖。也就是說,本尊內建的複製藍圖,必須包含一份複製藍圖的子藍圖,而且因為分身也要能夠繼續複製,藍圖裡的子藍圖還得包含另一份孫藍圖。這樣下去根本沒完沒了,光是複製藍圖就永遠寫不完。」
但其實只要複製的機器本身就是複製藍圖的機器就成了。正如生物自帶DNA聚合酶去複製DNA,而DNA又包含製造DNA聚合酶的指令。
#2587 「馮紐曼為了這個階段,刻意在元件中放了一臺2D影印機,它的唯一功能就是複製包含藍圖的磁帶」
細胞只不過是反過來(先複製DNA然後再行細胞分裂),而反正藍圖(DNA)本身是3D就不用煩。
#2612 「二相性原則是一把雙刃劍,它讓電腦能夠進行通用運算,但也打開了惡意操弄的後門。」
真正的生物也如是,DNA可以帶製造蛋白質的結構指令(基因),但也可以帶操作基因的指令(如啟動子)。
#2634 「戈登從九歲開始賺錢,做過各種工作:青少年危機輔導、保母、撰寫詞曲、管理公寓泳池。」
這其實很奇怪,她沒讀過相關課程也可以從事輔導﹖六七十年代真是十分奇怪。
#2750 「因為透過網路,他們無法具體看到行為造成的後果,自以為放出的病毒不會造成太大傷害:「當這些人說出『我寫的病毒又沒害到人』的時候,很可能是真心相信的;因為他們從沒看過那些因為論文憑空消失而痛哭的淚水。」」
網絡罵戰或欺凌亦然,沒直接見面令人更易放肆。有些事如果讓你跟對方面對面,一般人還未必做得出來。
#2764 「黑暗復仇者明白自己做錯了事,也注意到自己傷害到了人。另一方面,黑暗復仇者也相當好戰、對世界充滿怨恨,而且有譴責受害者的傾向。」
算不算「4%的人毫無良知」那種﹖
#2781 「一片裝有新病毒(稱為轟炸司令部,Commander Bomber)的磁片」
轟炸司令部英文應是Bomber Command,Commander Bomber應是「司令轟炸機」吧。
「我從來沒有要害人,我一直以為這些病毒只會破壞電腦。」
但電腦現實中是有用的,並不只是用來玩遊戲,破壞電腦就等於破壞現實生活。
#2795 「真要說起來根本就是人類自己蠢吧,跟電腦根本沒有關係。」
這種心態跟《痴漢心理學》裡面那些個案簡直同出一轍。
#2801 「黑暗復仇者在對話中,多次顯露階級仇恨。他不斷指出,電腦是有錢人的奢侈專利。」
跟那些熱普城憤青對「中產泛民」的怨恨差不多。
「「如果大家都乖乖付錢買軟體,病毒想要擴散都很難……這些人整天不工作,只會盜拷電腦遊戲,哪天碰到病毒也只是剛好而已。」」
問題是一般文件檔案也可以帶毒。否則美國的大公司就不會中毒了,他們又不會用盜版軟件。
「美國政府可以擋住我的身體,但擋不住我的病毒。」
關美國事﹖美國政府有不准他離開保加利亞﹖
#2808 「「我覺得他可能是我認識的人中最善良的,但也是最危險的。」」
其實我讀完整篇文也感受不到他有多善良。你或者可以說他本質上未算大奸大惡,但故意傷害別人肯定說不上善良。
#2901 註30「乒乓球變種病毒 A 攻擊磁片,乒乓球變種病毒 B 攻擊硬碟開機磁區。參見YouTube is not currently available on this device.」
這顯然是個error message,連結無法連接到相關影片。但不知是作者還是譯者(懷疑是作者)不察照抄。
#3045 Chapter 5 贏者全拿「影片的開場,甚至還秀出一張雙子星大樓熊熊燃燒的照片,然後亮出美國國旗,上面寫著:「致九一一受難者。我們永不遺忘。」」
究竟偷來的名媛性愛片段跟九一一有何關係﹖
#3159 「作業系統的生產銷售市場稱為「贏者全拿」(Winner Take All)。在贏者全拿的市場中,競爭者不是爭奪市占率,而是不勝則亡。」
網絡事業亦同。
#3181 「例如聯邦參議院的席次,加州居民人數明明比懷俄明州多出三千八百萬,參議員數量卻與懷州相同。這不只是美國民主的大漏洞,而且連修都沒辦法修。」
這倒是說錯了,要套句資訊業的梗﹕「It's a feature, not a bug」。
作者教法學院的,似乎沒理由不知道美國憲法中參議院各州同票,是著名的「康涅狄格妥協」。因為眾議院已經是按人口選出代表,如果連參議院也一樣,那麼大州就可徹底壓倒小州,小州會寧願拉倒不建立聯邦。所以參議院只能讓各州票數一致,讓小州有制衡大州的可能。
「一九九四年二月,史蒂芬.辛諾夫斯基(Steven Sinofsky)飛往康乃爾大學幫微軟徵才。……沒有學生拿著紙本的課程表選課,大家都直接從網站上挑選。」
反而中文大學到一九九九年還在用紙本選科表格,後來才改用網上選科。
#3251 「光是這些大企業精心布置的「牆內花園」(Walled Garden)網路,就已經讓當時的消費者不亦樂乎,大部分人根本不在乎能不能自由探索其他的網域。當時線上服務市場一飛衝天,一九九四年的總營收近一三○億美元。所以比爾.蓋茲當然以為,網路世界的未來並不是自由連通的網際網路,而是各大企業打造的封閉線上服務。他要求公司建立微軟網路服務(Microsoft Network Online)來跟其他業者競爭,並且拒絕使用TCP/IP,而是採取自己的通訊協定。這讓顧客不能透過微軟連接上其他網路」
有如荷蘭東印度公司在印尼搞的壟斷。
#3327 「梅麗莎病毒利用使用者之間的信任來傳染,因為寄件者是你認識的人,你收到郵件之後就會打開,一打開就成為新宿主,並將病毒傳播給另外五十個人。」
所謂社交工程。
#3359 「另一個更恐怖的叫「我愛你」(ILOVEYOU)」
當時很出名,以致方某雖然對它了解有限但寫了篇故事。
「當時的Outlook會隱藏副檔名,只顯示主檔名,檔案全名明明是「LOVE-LETTER-FOR-YOU.TXT.vbs」,使用者卻只會看到「LOVE-LETTER-FOR-YOU.TXT」,以為是純文字檔」
其實現在也差不了多遠,因為Windows的檔案總管也會自動隱藏副檔名(似乎是為了避免使用者錯誤地改變了副檔名,令檔案無法正確開啟)。於是叫學生把檔案儲存成某格式時,往往多番警告後仍會有學生直接用「重新命名」在檔名後面加副檔名。而經歷過Windows不同版本的我們就會知道,現在的Windows根本不容許你直接改副檔名,甚至那個檔名也不見得就是電腦裡辨認它的名稱。
#3408 「麻煩的是,軟體公司從來沒有把軟體賣給我們,只有授權(license)給我們用。你記得在安裝程式之前必須同意的法律文件叫什麼名字嗎?「終端使用者授權協議」(End User Licensing Agreement),這項協議中列出了授權的範圍與條件,條件之一就是我們承諾不因資安漏洞起訴軟體公司。……美國法律預設所有契約的知情同意都有實際意義,所有市場都是自由競爭市場。但在軟體業,這兩項都違反現實。」
其實又何止軟件業,只是政客維護有大錢捐獻給他們的大公司而已。
#3512 「各家廠商撰寫的驅動程式,跟微軟自己的程式碼,都必須獲得Windows的同等信任。但驅動程式經常寫得漏洞百出,把Windows的核心搞到當機,引發所謂的「核心錯誤」(kernel panic)。更衰的是,驅動程式明明是別家廠商寫的,人們遇到著名的「藍色畫面」卻都會來罵微軟。」
所以蘋果乾脆玩封閉,讓軟件不經過審查不能上市。
#3683 註36「一九九三年中期,核心網路骨幹最大的流量用於 FTP,佔其42.9%;用於網頁瀏覽的反而只有0.5%。」
也不出奇,反正當時網上也沒很多東西看。
#4124 Chapter 6 史努比狗狗洗衣服「他的絕招是「裝聾作啞攻擊」(mumble attacks)。他從美國線上的朋友「egod」身上學到這種操弄客服人員的方法:你打客服電話說忘記自己的帳戶密碼,客服提出安全性問題,或者要你輸入PIN碼時,你就裝成聽不清楚,隨口咕噥一些答案。客服人員即使覺得奇怪,也只能再次重複問題,來回幾圈之後,大部分人就會直接讓你通關。」
這是前線員工問題(太隨便)還是公司問題(太怕客戶不滿投訴)﹖
#4208 「買得起Sidekick的人,會在手機上鑲嵌人造寶石,或者貼上球隊貼紙,儼然把它當成彰顯身分地位的高科技飾品。」
古代iPhone。
#4261 「二○二○年三月,新冠疫情在全美肆虐,司法部長比爾.巴爾(Bill Barr)宣布釋放那些對社區威脅風險最小的囚犯,但拉夸並不符合資格。自從他十五歲那年寄了封信給佛羅里達高中,聲稱自己在那裡放了炸彈開始,他就被列為暴力分子」
這值得用來提醒學生,話不能亂說。
#4279 「他唯一提到的,是他的緩刑條款在現實社會中極為嚴苛。前兩次出獄時,緩刑條款禁止他使用任何類型的電腦,但同時也禁止了他從事很多正當行為。例如他不能成為櫃檯人員,因為收銀機是電腦;他不能持有手機;也不能去當地圖書館查資料。在這種規定下,拉夸只好當了兩年的洗碗工。但要他這種年紀的年輕人完全不碰數位產品,幾乎是斷絕所有生路,而且生性害羞的拉夸,更需要透過網路社群來滿足社交需求。所以沒過多久他就用電腦連絡朋友,之後的發展可想而知。」
但他也向法官證明了自己一碰電腦就出事。
#4576 Chapter 7 誤導的秘訣「以前,社會科學界的主流理論都建立在「理性選擇論」(rational choice)上,這派思想認為人類的行為是以理性為依據。」
尤其經濟學家,不少至今亦然。
#4631 「當人們被問到「這東西有多普遍?」時,通常都是在回答「這東西有多難忘?」因為回答第二個問題比較簡單。根據這種「可得性捷思」(the Availability Heuristic),一個東西越常見,就越容易留在記憶中,也就越容易被我們認為是普遍的現象。」
偏見亦然。
#4631-4641 「二○一五年十一月的《華爾街日報》就以〈資訊熱戰前線〉(Cyberwar's Hottest Front)為標題,在頭條報導了俄羅斯癱瘓烏克蘭電網的事。由於「烏克蘭網路攻擊」的惡名遠播,希拉蕊陣營的人都認為,駭客攻擊發生在烏克蘭的可能性也非常高。雖然烏克蘭並非這些網路攻擊的來源,而是目標」
而他們又自尊心重到不乾脆說明駭客是來自俄羅斯﹖
#4777 「現在,每一個微處理器都是採用「推測執行」(speculative execution),能夠不斷猜測下一個指令,如此一來,只要猜測正確,就能快速計算出結果。有了推測執行,就能在實際需要前準備許多運算結果」
這似乎跟我們平時打字時提供的快速填寫不同﹖
#4955 註41「「根據我的定義,如果一個數的十進制可以被機器寫下來,那麼這個數就可以計算。」Alan Turing」
方某不才,這一點為何重要﹖有人質疑這一點﹖
#5071-5085 Chapter 8 擊殺鏈「釣魚訊息卻沒有發揮效果。因為希拉蕊的競選團隊採用兩步驟驗證(two-factor authentication),並且會在三十天後刪除郵件,也有訓練工作人員辨識釣魚攻擊。競選總幹事羅比.慕克(Robby Mook)更在每間辦公室的廁所都貼上「請勿將密碼告訴別人」的標語。雖然希拉蕊本人因為資安問題引發眾怒,導致川粉每次碰到質疑就喊「啊你看希拉蕊的信箱啊!」(But her emails!),不過,她的競選團隊倒是意外重視資訊衛生」
意料之外。不過最後出事的也不是她的團隊,而是民主黨。
#5085 「為了找到更直接的突破口,他的同僚伊萬.耶爾馬科夫(Ivan Yermakov)當天又掃描了民主黨的網路。這名三十歲的娃娃臉駭客來自俄羅斯南部的烏拉山,他常偽裝成加拿大女性,以「凱特.S.彌頓」和「凱倫.W.彌倫」等假名在網路上鬼混。只是他的英文破到唬弄不了任何人。」
山田老師。
又,大概由這裡開始,文中的註26其實在後面的註釋應為註27(#5551),但不知道是原文裡漏了哪個註。結果後面所有註釋號都錯了位,大概去到註118/199 (內文#5428/5439、註釋#5915)。
#5228 「史諾登的檔案詳細披露了美國國安局設計的超級全球監控系統,而且計畫中每個專案的代號都超級詭異,比如,美國國安局和英國政府通信總部之間的情報共享計畫「肌肉」(MUSCULAR)、蒐集外國情報的資料挖掘計畫「無界線民」(BOUNDLESS INFORMANT),還有將外國情報加上索引的資料庫「終極機密總譜」(XKEYSCORE)。」
其實有多怪﹖軍事和情報活動的代號通常都是故弄玄虛啦,而且這些名字也不見得很無厘頭。
#5261 「從民主黨的角度來看,這並不是什麼重大危害。系統被俄羅斯人入侵,雖然會讓他們的選戰策略暴露,但俄羅斯人也不會到處聲張。」
結果他們給侵送了個順水人情。
「當反情報部門在追查入侵民主黨網路的俄羅斯駭客時,司法部門也同時在調查希拉蕊的私人信箱伺服器。霍金斯正是隸屬於司法部門,而非反情報部門的探員。塔摩內不太願意配合霍金斯,或許也是因為他懷疑霍金斯正在蒐集刑事證據。畢竟,聯邦調查局的檢察官不能對嫌疑人說謊,但是探員可以。」
奇怪在為何不是由反情報部門的人出面講﹖
#5287 「古西法於二○一四年落網,在羅馬尼亞被判七年徒刑。檢察官曾說「他只是個想成名的可憐羅馬尼亞人」……不過,古西法卻反對這個描述,他認為自己才不是只想成名十五分鐘的魯蛇,而是像路西法一樣高舉著光明之劍,抵禦統治世界的黑暗陰謀。「十九、二十世紀的有錢人、貴族、銀行家和資本家建立了一個叫做光明會的組織,在黑暗中統治著這個世界。」」
又是這種陰謀論瘋人。
#5295 「古西法 2.0的文章都宣稱,這些文件是由一名和俄羅斯無關的獨行俠所提供」
此地無銀三百兩,俄國駭客未曾偷。
#5450 「在希拉蕊陣營好不容易跟上《走進好萊塢》的醜聞之前,川普的參謀就已經開始採取行動,準備一舉化解這兩個威脅。羅傑.史東指示另一名川普的爪牙傑羅姆.柯西(Jerome Corsi),要他告訴維基解密的阿桑奇「立即釋出波德斯塔的信件」。」
即是阿桑奇根本是偏幫一邊。
#6087 Chapter 9 創世神大戰「剛進入羅格斯大學的帕拉斯,一知道資工的選修課優先開放給高年級學生,就氣得決定攻擊選課網站,讓所有人都修不到課……這次事件後,羅格斯大學發現自家系統面對攻擊竟如此脆弱,便決定強化資安,一口氣投資了三百萬美元升級系統,並調漲了2.3%的學費,將費用轉嫁回學生身上。」
終極魚蛋論。
#6110 「帕拉斯又對學校發動了另一次攻擊。這次攻擊持續了四天,使校園生活陷入停頓。五萬名學生、教職員工無法在校園裡上網,無法登入查看課程、校園公告或電子信箱。學生們一肚子火,卻不知道是誰做的,又是為什麼要這樣惡搞學校網路,只有帕拉斯一個人得意洋洋。他的一個朋友後來回憶道:「他一直在吹噓自己會讓學校的資安人員被開除,還說學費調漲也是他的功勞。」」
其實他那一刻就應該報警。
#6121 「儘管帕拉斯得意洋洋地炫耀自己如何癱瘓一間知名州立大學,但他最終的目的,其實是逼學校放棄和Incapsula合作,轉向他本人創立的分散式阻斷服務攻擊防護公司ProTraf Solutions購買服務。」
應該說他太聰明還是太蠢﹖如果純粹為了洩忿而攻擊校方,只要他不自爆,人家未必查到是他做的。但只要跟現實利益有關,警方要順藤摸瓜抓到你就容易得多。(警探查案,通常就是先看誰有利益衝突,「男人犯罪通常就是為錢為女人」之類。)
#6140 「在社會學家查爾斯.提利(Charles Tilly)看來,這種事情並不奇怪,而且一天到晚都在發生。提利主張歐洲國家的形成,就是從統治者對臣民收取保護費開始的。社會契約等哲學觀點認為,人民是為了獲得國家保護而交出個人的自由;但提利則主張,國家是利用敲詐勒索來獲取權威。」
其實這才不奇怪呢。一般收保護費的混混是黑社會,但壯大了就變成國家而已。(當然西方學者說他們的國家本身是惡霸沒所謂,你說你的偉大祖國也是惡霸就犯國安法了。)
好國家和壞國家的分別,只是前者收了保護費真的有提供保護,而後者就收了保護費也沒有保護(又或者,你給其他惡霸收保護費好過讓他收)。
#6152 「升上小學三年級時,有個老師建議讓帕拉斯去檢查,是否有注意力不足過動症(ADHD)。……帕拉斯的母親維嘉雅,對老師的提議感到不安。她認為確診過動症,就意味著兒子注定無法成大器,但她想要相信自己的長子是「最聰明、最機智、最有才華的孩子」。最後,由於兒童注意力不足過動症的診斷,需要透過家長和老師的問卷來評斷,而維嘉雅選擇刻意隱瞞實情,導致帕拉斯遭到誤診,在成長過程中沒有獲得療法、藥物或其他需要的協助。」
誤解害人,影響一生。所以你說SEN知識普及有多重要呢。
#6209 「帕拉斯對自己糟糕的學業表現非常羞愧,根本不敢告訴父母,自己在大一下學期結束時,就已經快要被二一了。」
這個其實是台灣學界的慣用語,其他地方的人不上網查不會知道是甚麼。如果出版社是面向全世界繁體中文讀者的話,應該要有所說明。
「現代國家讓我們稱頌的種種特徵,比如法治、公正的司法、對財產權的保障、高效率的官僚體系,都是為了贏得戰爭而誕生的。他用一句話總結這個論點:「國家造成戰爭,而戰爭造就國家。」」
另一本書《槍炮、船艦與筆墨》就是討論戰爭如何催生憲法,而憲法又如何支持戰爭。方某未有時間看這本,另一本《民權與憲法》就討論日本制憲和民族主義的建構。
#6303 「有家驅逐服務供應商更向劍橋大學的研究人員坦承:「我們有試著將服務銷售給比較合法的使用者,但大家都很清楚,到底是誰在買這些東西。」」
問題是控制僵屍網絡不是本來就犯法的嗎﹖雖然很難證明,但始終是入侵他人電腦呀。
#6353 「帕拉斯以安娜前輩的身分,在Hack Forums上發文宣戰:「通知一下,昨晚開始,我就得到了殲滅Qbots的力量。看好你們的殭屍。」」
但Qbots本身不是他有份創造的嗎﹖
#6368 「探員們沒有定期上Hack Forums等線上論壇,不知道自己調查的目標正在消亡,也還沒有意識到「未來」即將取而代之。」
警都一樣。
#7021 Chapter 10 烤麵包機大進擊 「「未來」能利用物聯網裝置常見的安全漏洞,是因為生產商將裝置的預設帳號和密碼放在網路上,導致任何連上網的人都能夠使用這些裝置。」
但其實這類大量生產的相同設備,只要所有裝置採用同一預設密碼,就算生產商自己不把說明書連預設密碼放上網,其他人也會。所以唯一解決方法只有規定生產商讓每件裝置都有不同的預設密碼,或者強制使用者首次使用即更改密碼(正如後來加州的做法)。
#7172 「「未來」的未來」
這當然是個梗,但按理原文如果用英文寫的話「The future of Mirai」就不像梗了,除非原作者寫的是「The "mirai" of Mirai」(用括號的方式剛好與漢文相反,因為英文future被置換成日文mirai)。
#7609 終章 不是所有問題都有解「要思考解方無敵論的侷限,看看飢荒就可以了。幾百年來,人類一直以為飢荒是因為糧食不夠;而糧食會不夠,則是因為乾旱、洪水、颱風、瘟疫之類的天災,以及戰爭、種族滅絕、勞動力短缺之類的人禍。但諾貝爾經濟學獎得主阿馬蒂亞.沈恩(Amartya Sen)用數據推翻了這種老生常談,他在《貧困與饑荒》(Poverty and Famine,1981)這本書中指出,缺糧不是飢荒的主因。很多飢荒都是在糧食足夠的情況下發生的,孟加拉在一九四三年發生大飢荒的時候,糧食總量比一九四一年多了13%,但依然有近三百萬人餓死。衣索比亞在一九七三年發生飢荒時,糧食儲備和前幾年完全一樣。」
中國亦然,所謂「三年困難時期」的大饑荒中,中國還有糧食出口援助亞非拉盟友。國內饑荒根本是政策造成的。
#7703 「從事「網路特有犯罪」的人,教育程度和職業地位都不錯,這點跟傳統犯罪者不同。此外,網路罪犯的性別分布非常明顯,女性犯罪者幾乎不會去當駭客,而是會去做一些「利用網路」的傳統犯罪。其中一個原因,就是大部分的駭客都是從線上遊戲社群開始的,而遊戲社群相當敵視女性。」
畢竟這是技術犯罪,如果能力太差根本幹不來。
而越是地下的東西,傳統思維的勢力就越大。
「其中一個關鍵,就是把即將誤入歧途,或者剛剛犯下小罪的年輕人導回正軌。駭客行為通常會逐漸升級,如同犯罪學家多年所言,只要犯法一次,再犯就更容易。一開始的小犯罪如果不好好處理,很可能養出未來的網路大盜。」
「小時偷針大時偷金」電腦版。
#7727 「同伴的偏差行為是最能預測再犯率的因素之一,而且對年輕罪犯更準確,因為他們彼此模仿、彼此獎勵,甚至會懲罰那些拒絕參與的人,例如與之絕交。」
不奇呀,我小時候就是被懲罰的那個。
#7843 「二○二一年四月,白宮對俄羅斯發動制裁,財政部凍結十六名在二○一六年攻擊民主黨全國委員會的俄羅斯駭客資產、禁止美國人與這十六人做生意,並限制俄羅斯出售國債的能力。這些行動在政治上都很合理,法律上卻說不通。第八章提到,美國根據國際法,承認間諜活動是合法的。現實中的每個國家都派間諜監視彼此,也都認為這是自己的合法權利。美國法律禁止俄羅斯監視美國,卻允許美國監視俄羅斯,而俄羅斯的法律則剛好相反。」
其實也沒有說不通,正如作者自言,每個國家都容許自己刺探外國情報,但阻止外國刺探本國情報。所以美國制裁俄國駭客,在美國法律當然說得通。他能說的頂多是「道義上」說不通,因為每個國家都在做自己禁止別人對自己做的事。
#7861-7870 「國安局與英國、加拿大、澳洲、紐西蘭組成「五眼聯盟」(Five Eyes group),用各種基地臺、電信分路器、電纜竊聽器來攔截衛星、電話、微波通訊。這讓整個南北美洲(由美加兩國攔截)、北大西洋與歐洲(由英國攔截),以及亞洲的主要通訊樞紐(由紐澳攔截)全都在美國國安局的掌握之下。」
九七前應該是靠香港吧,畢竟當時英國管治的香港正是遠東通訊樞紐。
#7999-8011 「炸彈可以讓爆炸範圍內寸草不生,但網路武器限制重重,不太像是實體武器,反而更像化學武器或生化武器。這兩種武器只能傷害特定生物,畢竟人類會感染炭疽病,但魚不會。」
化學武器實不然,你放完毒氣基本上所有大型動物都會死。殺蟲水也不只殺滅害蟲,蜜蜂這類益蟲一樣受影響。
#8114 「解方無敵論不僅會惡化資安,更會讓我們失去道德自主性、拋棄道德責任。如果我們把安全與隱私問題都當成技術問題,就會叫程式設計師去處理複雜的政治權衡。程式設計師當然都很了解電腦的運作機制,但他們畢竟是工程專家,不是政治專家」
某程度上即科學萬能主義。
#8114-8123 「社會中的各種規範,代表我們在道德與政治上堅守哪些底線、如何思考彼此之間的關係、如何尊重彼此的安全與隱私。這些規範大部分都過時了,而且充滿漏洞,因此需要大量更新。但更新檔的寫法並不是程式問題,而是道德問題。總之,真正能夠守護資安的,其實是我們的政治決策。」
某程度上也是政客的懶惰,逃避倫理和政治討論而把它們當成技術問題。就像Michael Sandel《錢買不到的東西》批評政客用市場化迴避道德價值討論,把所有責任推給(其實只會鞏固現有權力和利益結構的)自由市場。
#8691 後記 註2「為了證明烏龜會死,先假設烏龜是爬行動物,所有爬行動物都會死,但烏龜是不死的。如果烏龜不會死,那牠就不可能是爬行動物,但烏龜是爬行動物。矛盾成立。」
沒用的,陰謀論者會直接說烏龜不是爬行類。