這是一本不好讀的必讀之書,因為他揭露了為什麼數位時代,一個國家可以不費一兵一卒,就把另一個國家癱瘓。
🔷甚麼是「零時差漏洞」?
「零時差漏洞」是指軟體中出現沒有被人所知悉的安全漏洞,開發人員不知道、也沒有人發現。這種程式碼的錯誤不影響軟體運作,但如果被有心人士拿來操作,會造成極大的後果。 擁有零時差漏洞的駭客,可以駭入特定對象的電腦/手機,竊取資料、甚至監控他的一舉一動,最可怕的是,這些有可能都不會讓被害者察覺,作者自己的比喻更貼切,零時差讓駭客「進入電玩中的上帝模式,可以善用的知識就是力量」。
🔷「零時差漏洞」的用途
我們一般人其實很難想像軟體的漏洞的用途,根據作者的說法,零時差的破壞力比戰爭還大。駭客一旦發現手機或系統漏洞,在不被察覺的情況下侵入電腦,可以竊取現存的資料,並且達到破壞系統的目的。從網際網路,邁向物聯網、元宇宙的時代,所有東西已經用網路緊密連結,「零時差漏洞」即使只有一兩個,大則可以攔截美國所有系統: 讓電力廠瞬間斷電、讓飛機撞上建築物、讓選舉因為系統遭到入侵而大亂、癱瘓供水系統...,種種影響民生、政治、經濟的攻擊,不須要發動戰爭,只需要讓駭客抓到系統漏洞而趁虛而入,這些有如世界末日的場景就會從科幻小說跳出來在現實上演。
這些「資安議題」看似老生常談,但近幾年駭客的發展已經不可同日而語。駭客為什麼要花費心思做這些事情? 這也是本書最精彩之處。紐約時報資深記者Nicole Perlroth花費七年、追蹤300位相關人士,其中包含國家官員、學者、駭客、中介商等人,揭露「零時差市場」:這不是個人的攻擊事件,是個已經行之有年、而且身價高昂的不透明市場。一開始,只是有防毒軟體廠商發現在市場上跟駭客們買零時差漏洞,可以幫助自己的軟體打敗競爭對手,賣到更高價; 漸漸的,駭客們開始意識到,零時差漏洞是炙手可熱的商品,防毒軟體搶著要提升自己產品,科技原廠如微軟、蘋果、思科搶著要修復自己的BUG,怕購買系統的客戶抗議; 最恐怖的是,各國政府情資單位搶著要,用來取得政治情資、甚至攻擊其他國家,這中間高價收購者也包含美國國安局。
🔷「零時差漏洞」的影響程度
1960年代時,美國國安局已經認知到,情報工作不能只用電話、無線電、 光纖,而是要把握住網路。爾後,美國情報機關漸漸發展出數位情資的能力,其中包涵: 要求供應商植入有漏洞的晶片在他們的供應鏈中,可能是你我的iphone; 利用間諜或內應駭入國外軟體商、武器商的系統,利用植入漏洞,所有全球網路、手機、防火牆、電腦使用者的留存資料已也能輕而易舉取得。然而,其他國家也在加入這場軍備競賽,而美國所使用的零時差漏洞數位致命武器,逐漸玩火自焚。當這些零時差武器落入美國以外的國家手中,而這些國家發展出自己的數位攻擊模式,也有可能對美國、其他國家國民造成同樣傷害,利用零時差作惡的場景可以無所不在。
書中舉了阿聯囚異議份子 ,從他開始參加反政府行動,他與太太被阿聯囚政府用零時差漏洞入侵電腦,甚至還監視他麼孩子,他不能出門、沒有隱私、因為政府掌握他的定位行蹤、一舉一動,最後被永無天日的囚禁。在墨西哥,非法監視成了常態,政府可以輕易監視任何人。在中國,駭客尋找的目標是民主運動人士、藏人、台獨、法輪功。我不斷想起我在閱讀「心智操控」一書感受到該書作者的恐懼,即使關掉FB,關掉IG,他們還是有辦法找到你在何處,想逃也逃不了。
🔷一些想法
我多麼希望本書作者只是在危言聳聽,但隨著書中作者揭露一篇篇報導揭露,這樣想法慢慢落空。駭客們內心其實也很非常心虛,這些他們開發的零時差漏洞,最後開發者賣給客戶後,很多開發者都不知情用途在哪,正是這種「不知道」才讓這些漏洞變得非常恐怖。作者的調查中,部分駭客以為他們賣給正當用途公司,這些公司卻轉手給極權國家,然後當作摧毀民主運動人士的工具。當然各軟體系統的資安一定也在不斷加強中,只是這場軍備競賽會如何演變,沒有人可以事先知曉。
我想起幾年前閱讀戰略專家解析台海局勢,提到「戰爭其實是最後選擇」,然後我漸漸懂了原因。俄羅斯在2017年對烏克蘭發動網路攻擊,造成烏克蘭政府機關、鐵路、提款機...全部當機,讓烏克蘭人冬天無電可用,俄羅斯的網路攻擊實力,其實不需要發動戰爭就可以達到很多目的。
數位時代的戰爭早已轉向不同形式,規模更大、破壞力更強,而我們還沒有意識到要積極防範。在這個新戰場,要捍衛的不是領土,而是自身的隱私。這本書提供完整的脈絡,非常值得一看與深入思考。🔷
