閱讀好書之三：零時差攻擊

  《零時差攻擊》THIS IS HOW THEY TELL ME THE WORLD ENDS  The Cyberweapons Arms Race by Nicole Perlroth 李斯毅、張靖之譯。麥田出版。2021年10月。

 

    我用電腦已有二十年了，但只做兩件事，一是打字，二是收發信件。從不上網，不在網上找資料，更不會沒事上去逛逛玩玩。可見是一個被時代抛得遠遠，卻又不知力爭上游的落伍份子。所以，知道有這麼一本講網路的書，不妨找來讀讀，藉以補課。但是能讀得懂嗎？讀得下去嗎？那就要開卷方知。

    我讀到五十頁左右，讀不出味道，暫時放下，看看有沒有好看的書。沒有，只有再拿起來讀，讀着讀着，越讀越覺得有趣，就讀完了。我讀完了却不敢說讀懂了，只能說似懂非懂。似乎懂了，才能讀下去，真懂了嗎？大概沒有，那就是非懂。

    為什麼再拿起來，就讀得下去，而且覺得趣味盎然。那是因為這個領域內的大人物紛紛出場，這些人物，最小的只有十三歲，却在「駭客」圈子嶄露頭角，真是太神奇了。

    作者是紐約時報記者，得以採訪或聽聞他們的傑出表現，寫成文字，言簡意賅，簡單幾筆，就把這些天縱英才的駭客特色與神采表露無遺。至於他們是功是過，那就請讀者給個評價。我只是抄些片段，都是我讀來印象深刻的場景。

    當然要從「零時差」說起。我看一開始就講清楚的，是導讀的吳其勳，他是台灣資安大會主席。他說，「零時間漏洞，就是軟體開發者寫好程式，程式碼會存在一些錯誤，這是尋常的情況，也不影響程式的運作。但是黑帽駭客，或犯罪組織，發現有機可乘，利用價值很高，可藉以入侵大多數人使用的電腦，可以控制電腦，或長期潛伏監聽使用者的一舉一動等，於是進行攻擊或勒索。所以，發現之後必須進行修補。」本書作者說：「就最基本的層次來說，零時差是軟體或硬體中尚未被修補的瑕疵。之所以這樣命名，是因為它們好比流行性疾病的零號患者。零時差是駭客軍火庫裡最重要的武器。發現一個零時差就好比發現存取世界資料的秘密密碼。美國和以色列的間諜正是利用微軟視窗與西門子工業軟體中的一系列七個零時差進行攻擊，摧毀了伊朗的核武計劃。中國間諜利用微軟的一個零時差竊取了矽谷一些被謹慎保護的原始碼。」（頁37）

    本書的故事從一家叫iDefense公司說起。這家公司的老闆用了10美元，取得這家公司，最後以四千萬賣出。一個名叫馬修．墨菲的十三歲男孩，是一名網路高手，他靠在美國線上和防毒軟體找到的錯誤，就從這家公司領到高達四位數的支票。這家公司最頂尖的兩位高手，一位是阿根廷駭客，另一位是紐西蘭駭客，他原是一個牧羊人，但是提供的內容精密複雜，是這家公司從未見過的。當然，他也就從紐西蘭來到了美國。（頁63）

    美國國家安全局有五位高手，人稱「馬里蘭五人邦」，離開了國安局，成立一間自己的公司。作者訪問他們，希望有機會瞥見美國版的詹姆士．龐德軍需官實驗室。那個實驗室名稱一點沒有電影氛圍：網路漏洞研究實驗室。作者寫道：我知道他們基本守則之一，就是「謹慎」，他們的網站上貼着一個問題：「你為什麼不曾聽過我們？」再自問自答：「因為我們不打廣告。我們對所有業務都保持最嚴謹的機密性。」這間公司在打造數位武器方面佔有一席之地的唯一暗示，就是其取自中國古代哲學孫子的座右銘：「知己知彼，百戰百勝。」（頁187）

    作者又寫到一位奇人。作者剛開始探索零時差交易時，德索特爾斯這個名字無所不在，而且不是惡名，他似乎是這個無良產業裡的道德之人。作者既想了解這門生意的細節，又想知道這個有德之士如何在這個暗黑的世界存活，他比其他人更明瞭聲譽的重要性。他告訴本書作者，絕大多數賣家都在美國、歐洲和羅馬尼亞，他有一個駭客在羅馬尼亞，什麼軟體都能解破，而且口風很緊。他對作者說，他之前曾花了五萬美金向一名俄羅斯駭客買了一個零時差。當那人再來找他時，他覺得不大對勁，沒通過他所謂的「嗅探測試」。作者問他，是不是他讀過如何教人審問，或有關行為科學、心理操縱等書籍？他說：「我有一種不可思議的天分，在我很小的時候，只要和我聊天兩分鐘，就能感到對方是什麼樣的人，我可以從他們說話時的動作和細微的臉部表情得知。」（頁219）

    美國幾位資訊安全工程師，組成了一個「零計劃」，明確的目標：要讓重大的程式錯誤完全消失。我們看看他們找來那些人：紐西蘭的橄欖球運動員，專精Abode Flash和微軟的零時差；一位英國研究員，他是世界上最高明的程式錯誤獵人之一。一個天才駭客，曾入侵索尼公司，且開發出第一個iphone的越獄程式；另一個英國人，連續阻斷數十種蘋果iOS系統漏洞。

    他們召募的第一批人中，有一名韓國二十一歲的駭客李政勳，化名洛基哈特。那年在溫哥華的大賽中，短短幾分鐘，就摧毀了Chrome、Safari等最新的視窗軟體。接下來幾年，零計劃找出了一千六百個重大的程式錯誤，他們消滅了整批程式錯誤，讓間諜難以竊取資料。（頁296）

    一年一度的國際大學校際程式設計競賽（ICPC）是歷史最悠久，最頂尖的程式設計競賽，每年都有來自一百多個國家的大學生組隊參加。二十年前，總決賽的前十名，幾乎都是由柏克萊、哈佛、麻省理工學院等美國隊包辦，現在，前十強通常是俄羅斯隊、波蘭隊、中國隊、南韓隊和台灣隊。二○一九年，一支伊朗的隊伍，打敗了哈佛、史丹佛和普林斯頓，普林斯頓甚至連二十強都未能進入。 讀到這裡方知台灣在方面頗有實力，只是從未聽聞。

    作者這時提到一位十五年前就認識的阿根廷高手西薩，那時他還是綁着馬尾的青少年，傳送零時差漏洞給iDefense，一年賺進五萬美元。西薩從阿根廷飛到美國，走在國會山莊，拿出筆電，這裡一滑，那裡一點，馬路上就紅燈變綠燈，綠燈變紅燈。他如果有心，大可讓國會大廈陷入癱瘓，但他純粹只是證明有辦法做到而已。他在布宜諾斯艾利斯就沒辦法，因為那裡的交通號志沒連接網路。（頁315）

     作者見到了阿根廷駭客界教父之一的阿勒塞，問了一個蠢問題：「他們只會賣漏洞利用程式給好的國家嗎？」阿勒塞用同樣的話反問作者：「好的西方政府？」阿根廷總統費南德玆，與美國關係不好，她在一次電視演說中說：「如果我有什麼不測，不要往中東看，要往北邊看。」阿勒塞又說：「妮可，你要放下這種觀點才行。在阿根廷，誰是好人？誰是壞人？據我所知，把別人的國家炸得面目全非的，不是中國，也不是伊朗。」（頁325）二○一二年，美國人認為中國正在竊取美國的智慧財產，伊朗剛開始加入網路戰局，對美國的網路威脅，主要來自俄羅斯，因為伊朗的程式破壞性很強，卻很簡陋；中國的攻擊雖然明目張膽，但不複雜。（頁347）

    二○一九年，Notpetya攻擊五個月後，微軟的總裁布拉德．史密斯在聯合國總部發言，述及上個世紀中，十幾個國家協議訂立戰爭的基本規範，禁止以醫院與醫療人員為攻擊目標。此後十幾年，又有一六九個國家共同簽署了《日內瓦第四公約》同意在戰時為受傷的或俘虜的軍人、醫護人員和平民提供基本保護，這個約定迄今依然有效。（頁408）讀到這裡，想到加薩的今日慘況，真是讓人痛心，我們要問孰令致之？罪魁禍首，應該不言而喻。

    作者說：史密斯雖然沒有說出名字，但炮口對準了國安局，還有美國所創造的網路武器市場；「政府投入愈來愈多資源，網路武器愈來愈厲害，國家級網攻也不斷增加，如果不訂立新的規範，我們根本不可能有安全的環境，安穩的生活。」（頁409）我好像有點讀懂了。

    最後是接近二十頁的「後記」。讀起來，與開始讀時的感覺很接近，讀不出味道，大概是因為沒有故事吧，可見還是沒有讀懂。那就抄錄全書最後一段文字，作為結語。

    「只要俄羅斯、中國和伊朗仍然把見不得人的勾當外包給網路犯罪分子和承包商，美國大概永遠不會簽署日內瓦公約，也不可能簽署任何使美國戰略作戰計劃處於不利地位的協議。然而，我們還是要畫定紅線，我們相信大家都能認同有些目標必須是網路攻擊的禁區，或許可以從醫院、選舉基礎設施、飛機、核設施等開始。

    這些就是我們這個時代的關鍵任務，許多人會說，這太難了，是不可能的任務。但我們過往曾經召集科學界、政府、產業界和民間最優秀的頭腦，一起克服攸關存亡的嚴峻挑戰，再這麼做一次又何妨？」

    接着談到了疫情大流行，最後一句是：

    「寫到這，我又想起紐西蘭駭客麥克曼納斯，還有他那件T恤上印的字：總有人要做點事。」（頁474）

    看來烏雲還是很厚，明天的陽光不易露臉，也難企盼。看看今天的世界，不容樂觀。

 

                        本書校對呂佳真女士推薦    2024年5月1日