【我的雲端壞人】從你的信用卡密碼到核彈發射器，未來駭客將無孔不入

文／林伯雍

數位時代，什麼都很方便，但想必大家都有電腦中毒、電子儀器壞掉的「黑箱幽閉症」的經驗吧？但讓我們稍微蔓延一下我們的想像力，想像，你身旁周遭一切事物都數位化，從電子銀行、電子錢包、到所有資料都雲端化時，此時，你的資料受損，你的感受如何？電腦中毒，運氣好的，還可以維修。但假設，你的電腦系統不是中毒，而是遭到「有政治目的」的人士全面破壞且無法回復、從個人乃至公司所有電子化資料包括銀行存款、股票交易所等通通遭到入侵時，你的背會不會涼涼的？

今天，我們就是要來談談，在現今電腦科學全面掌握各個領域後，所即將創造的新興風險：網路攻擊 (Cyber Attack) 與網路恐怖分子 (Cyber Terrorist)。而這個新興的社會風險，是與現在每個重度依賴電腦的人們息息相關。究竟，數位時代中，有沒有一群人專門透過網路攻擊來達成其政治目的？還是這只存在於科幻電影之中？而這樣的人與網路攻擊又會為全人類帶來什麼樣的政治風險？

• 一個被誤植的創造性名詞：網路恐怖分子

在開始說明什麼是真正的網路恐怖分子前，我們先來談談當前社會對於這個名詞的誤解。扣掉好萊塢電影〈終極警探 4〉中與史上最強警官約翰麥克連對戰的網路恐怖分子外，網路恐怖分子是一個還沒有真實案例的一個「創造性名詞」。

這說起來有點奇怪，那為什麼我們怎麼都多少聽過這個名詞？探究這個沒有真實案例卻有名稱的名詞起源，其實可以歸咎於媒體大幅報導「駭客主義」(Hacktivism)、「網路犯罪」(Cyber Crime) 時的名詞混淆與誤植。

何謂駭客主義？駭客主義是駭客文化的集大成。駭客 (Hacker) 一詞首先出現於 50 年代美國麻省理工學院的一個實驗室。當時，駭客意指大家彼此測試對方的電路設計，誰能找到對方的設計漏洞，就可以取笑他人。我們熟知的蘋果創辦人，有科技頑童之稱的沃玆尼克 (Steve Wozniak) 與賈柏斯 (Steve Jobs) 都是之後第一代的駭客，他們曾經成功的侵入電話系統，撥打免費的電話。當時的駭客，僅此而已。¹

隨著時間發展，駭客文化越趨成熟，從第一代駭客發展而出的胡鬧、惡搞，也就是所謂的 Lulz 文化，成為駭客文化的根本。當然，高超的電腦技巧也是必備的。然而，建築在 Lulz 與高超電腦技巧之上，真正作為一整套文化，是於 1996 年「駭客主義」作為一個名詞被一個知名的駭客團體，Omega，所提出後而建立。駭客主義形塑出駭客基本的訴求是：免費的資訊流通、科技應該提昇全人類。你要是把駭客主義這四個字遮起來，你會以為這是哪一家科技大廠，Google 或者微軟的「企業任務」。然而，這實則是駭客主義的基本精神，正面且陽光。

但是，當某些駭客發現他們可以透過這些科技漏洞謀取不法私利時，駭客開始出現光明與陰暗的兩種駭客。通常處於陰暗面的駭客，會被稱之為「黑帽駭客」，反之，正面的駭客則被稱為「白帽駭客」。而黑帽駭客也就會導到另一個主題，「網路犯罪」的問題。

網路犯罪，亦即透過高超的網路與電腦技巧，透過技術漏洞來獲取不法的利益。根據 Forbes 報導，到了 2019 年，全球網路犯罪所導致損失的金額估計將達到 2 兆美元。²隨著網路犯罪越來越頻繁，以及駭客興盛之下駭客們私自成立的秘密結社越來越多，這兩種群體的交集合，在加上一些政治目的背景，使得一種新團體開始出現於人類文明社會之中。報導新聞的媒體，不得不去發展新的名詞來稱呼這些新的現象，於是「網路恐怖分子」便開始用來稱呼這些運用網路攻擊、網路犯罪來推行其政治訴求的非法團體。最著名的例子，就是知名的駭客團體「匿名者」(The Anonymous)。

作為一個去中心化的全球性駭客團體，匿名者可謂是過去十年來，全世界響噹噹的駭客組織。遭到該組織網路攻擊的對象遍及全球，包括阿拉伯之春的突尼西亞政府、中國政府、Sony、Paypal、ISIS、山達基教等。他慣用的手法包括運用「電腦殭屍」(Botnet) 來發動「阻斷式服務攻擊」(Distributed Denial of Service, DDoS) 來擊倒對方的網站。然而，為什麼社會科學家卻不認為匿名者是第一個網路恐怖分子，而稱這是一種誤植與濫用？這就會引導到下一個問題，網路恐怖分子的嚴格定義。

• 網路恐怖分子的嚴格定義

社會科學家普遍接受的「網路恐怖分子」定義是喬治城大學學者鄧寧³所提出。鄧寧教授認為：

網路恐怖主義是透過攻擊網路、電腦、儲存裝置，來威脅政府或人們來達成他的政治目的。更進一步說，這些攻擊要對被攻擊的人或財產構成暴力行為，至少產生足夠的傷害來產生恐懼。

另一種有名但卻不太被接受的定義，則是任何網路活動只要與資助恐怖主義相關，都可稱之為網路恐怖主義。

從鄧寧教授對網路恐怖分子的定義中我們可以拆解出四個要件：透過網路途徑、造成傷害、形成恐懼、達到政治目的。在這嚴格定義下，目前仍然沒有任何一個團體與組織，可以被稱之為「網路恐怖組織」以及「網路恐怖分子」。主因是，包括匿名者等駭客團體，他們的攻擊還無法造成人類社會「足夠的物質或經濟傷害來形成恐懼，並依此達到其政治目的」。在這脈絡下，這些具備政治目的的駭客團體更接近「網路激進份子」或「網路犯罪者」，而非恐怖分子。總的來說，網路恐怖份子之所以還沒有出現，其實是「能力」的問題。

圖：網路恐怖分子模擬圖／資料來源：staticflickr

• 潛在的網路恐怖分子與其風險樣貌

那我們討論這麼多，結果只是網路恐怖分子原來不存在，大家可以回家了？答案當然不是。研究網路恐怖主義的權威，鄧寧教授曾指出，隨著人類科技不斷進步，我們每一天都越來越靠近「網路恐怖主義」。在 2010 年，人類歷史上出現了一個重大的轉折，使得網路恐怖主義成真的日子越來越靠近。那就是「震網」(Stuxnet) 的誕生。⁴

你可能沒聽過震網，但你很可能聽過伊朗的核子試驗計畫在 2010 年無預警的中斷。當時新聞媒體報導，控制伊朗核子反應爐的電腦無預警受到攻擊，而導致伊朗必須被迫終止其濃縮鈾提煉過程。這攻擊的始作俑者就是震網。震網不是一個人，而是人類歷史上第一個武器級的電腦病毒的名稱。它被開發出來用來攻擊特定廠商的工業用電腦，在伊朗案例中，便是西門子的工業用電腦。

如果你常看好萊塢電影的警匪片，便知道匪徒都會先預錄監視器畫面然後播給監看人員，再大搖大擺的把銀行金庫洗劫一空。震網的攻擊行為就像電影情節，很酷吧？震網被完善的設計成可以潛伏在電腦程式之中，釋放出假的正常訊號，讓電腦螢幕前的監控數字人員以為電腦一切運作正常，實則震網正在神不知鬼不覺的破壞整個電腦系統。

震網的複雜編碼與數學公式基本上是幾乎不可能由少數人所獨立設計出來，經過專家鑑定，震網被認為是某個強國大量投入資源、耗時數年下所開發出的武器級網路武器。在 2012 年，紐約時報披露，震網其實就是美國與以色列兩國開發出的網路武器，並且是由美國總統歐巴馬親自下令加速研發的武器。⁵

震網的出現，帶來什麼政策上的意涵？第一，網路武器的破壞性比預期中還要強大。第二，即便如核子武器開發廠房這樣高度防備的單位，也很容易被網路武器所穿透。震網的出現，使得網路作為一個攻擊手段成為可能，它的高傷害性，也使得威懾與恐懼得以相應出現。換言之，如果有心人士開發出類似震網 2.0 的武器並有效投入使用來推進其政治目的，那攻擊者的確可以稱之為第一個網路恐怖分子。

然而，類似震網這樣的武器級網路武器，實在太過複雜與困難。一般的恐怖分子可能還是偏好簡單有效率的傳統武器，例如炸彈與機關槍，來達到其散播恐懼的目的。然而，這世界的恐怖分子如果受到特定國家資助，有資金與時間得以重新設計震網，類似震網的武器的確很有可能出現在人類的未來。特別是，震網的公開碼，現在已經能在網路上下載的到。大家可能會接著問：這世界上的恐怖分子不都是自籌財源嗎？他們哪來的錢呢？答案當然不是，最簡單的例子就是蓋達組織。根據 911 報告，蓋達組織便是受中東特定國家大量金援。

<Ted Talk 關於震網的解說影片>

一旦發生了網路恐怖攻擊，可以預期的是，首先，它高度可能是一個「複合性的災難」(Compound Disaster)，它必定會牽涉到現實世界與虛擬世界。隨著後現代社會的風險的不確定性，一旦網路恐攻發生，它的效應將會如同水波效應 (Ripple Effect) 般高速的擴散出去。

其次，網路恐攻很有可能是跨國境的恐怖攻擊。隨著全球化的互賴日深，網路作為跨國溝通、訊息交換的主要通道一旦受到攻擊，必定是多國一起遭殃。以往恐怖攻擊對於單個地點的攻擊局限性，將因為網路主機與網路連通的關係而有所改變。

• 結論

總的來說，回答本文最一開始的幾個疑問。首先，人類社會雖然現在沒有網路恐怖分子存在，但隨著震網的出現、人類社會對網路的依賴日深、網路犯罪的普及、駭客團體的存在與潛在國家可能的投資，人類距離網路恐怖主義出現的日子已經又更靠進一步。而未來的網路攻擊，將挾帶至少複合性且跨地域性的攻擊能力。至少，網路戰爭已經如火如荼的存在於國際社會之中，例如美中兩國的網路戰爭、2008 年南澳賽梯戰爭期間俄羅斯發動的網路攻擊、2014 年北韓攻擊 Sony 等，都為未來網路攻擊的風險與特性下了註腳。這也是為什麼歐美國家中，網路安全是每個政府念茲再茲的議題。

身為全球遭受最頻繁網路攻擊的國家之一，台灣新政府也矢言成立網路作戰部來確保台灣的國家網路安全。然而除了國家的信誓旦旦外，台灣的產業界做好了準備了嗎？台灣的網路安全公司知道如何跟公民社會溝通嗎？政策規劃者們，我們的網路安全是社會安全的總體考量一部分嗎？網路上的極端言論、社團，我們又該如何在監控與公民權中取得平衡，即便這是個爭議度極高的問題，但政府考量過了嗎？

要知道，恐怖攻擊的對象向來就不是政府，而是防護力最弱的公民社會。在網路安全這個層次，可不是裝裝防毒軟體、或者用電腦不儲存密碼就可以解決的小事。他涉及到後工業資訊時代中，風險的不確定性、複合性、人們與科技的整合、社會裡的幽暗面等。眼下，由下至上，從公民社會中重新建立起一套完整的網路安全概念、建立政策溝通機制、鼓勵網路安全產業，是最要緊的事情。

當然，在網路安全還未普及之前，在個人層次上，還是建議為了防止可能的網路犯罪，個人電腦用戶還是盡可能不要使用外面的電腦或網路進行電子交易，密碼請時常更換。當然，防毒軟體還是得裝一下，畢竟有裝有保佑。剩下的更高層次的種種後現代的問題，我們就一步一步的迎接吧。

P.S 如果您對您的產業未來可能在網路安全上承受的損失有興趣，可以請您動動手、玩玩這個提供估計值的網站。https://cybertab.boozallen.com/step3.php

P.S 2 更多關於震網的介紹：

1. McCormick, T. (2013). “Anthropology of an idea: hacktivism.” Foreign Policy(200): 2. [↩]
2. Morgan, Steve. (2016). “Cyber Crime Costs Projected To Reach 2 Trillion Dollars by 2019.” Retrived May 24, fromhttp://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#1cf0029a3bb0 [↩]
3. Denning, D. (2001). Activism, Hacktivist, and Cyber-terrorism. Network and Netwars. J. A. a. D. Ronfelt, Rand. [↩]
4. Denning, D. (2012). “Stuxnet: What Has Changed?” Future Internet 4: 672-687. [↩]
5. Sanger, D. (2012). “Obama Order Sped Up Wave of Cyberattacks Against Iran.” Retrieved April 15, 2016, fromhttp://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=2&_r=2&seid=auto&smid=tw-nytimespolitics&pagewanted=all. [↩]

（本文由洞見國際事務評論網授權轉載，原文標題：雲端壞人 從網路恐怖分子說起。未經允許，不得轉載。）

---