現代生活中,人們已經離不開網路,但美國網路安全專家直言「網路並不安全」,這不是系統問題,而是人所造成的問題。史考特坦言,許多人擔心中國網路戰會升級成實體戰爭,但他卻不這麼認為,因為網路是「弱者的武器」。
美國耶魯大學法學教授史考特‧夏皮羅(Scott.J.Shapiro)即將出版一本探討網路資安的書籍《奇幻熊與網路釣魚》,該書獲得《出版人週刊》評選為2023年十大最期待科學書、亞馬遜編輯精選最佳歷史類作品,更獲《紐約時報》、《華爾街日報》、《經濟學人》等多家媒體專業書評。9月26日開放網路預購。
「我直接跟你說,翻開我的書的第一章,你就會明白網路有多不安全。」留著美國街頭常見的落腮鬍,操著美式英語口音的史考特炯炯有神地說。
史考特所說的,是講述一位博士生一時興起,想要透過自我複製的蠕蟲測試網路世界有多大,「當時網路還不甚發達,他不曉得這後果非常嚴重,甚至他讓自己也成了受害者。」
史考特指出,這位天才博士生確實達成了某種成就,他讓美國太空總署(NASA)、國家實驗室與美國十分之一的電腦都當機,國家頂尖的電腦工程師都束手無策,「他是第一個因資安問題在美國被定罪的案例,我想說的,是當人們對於資安問題過於樂觀甚至鬆懈時,就會出事。」
史考特用奇幻熊(Fancy Bear)當作書名,讓人乍看會以為本書是在探討一些溫馨有趣的事件,但其實不然。
「2015-2016年左右,俄國駭客組織『奇幻熊』駭入了美國網路,竊取了8個月以上的資料。透過這起事件,你可以發現國家層級的駭客對於一般網路犯罪沒有興趣,他們關心的是如何駭入他國資安系統獲取資訊,以便取得更多對手的訊息。」
由於當時適逢美國總統大選,彼時希拉蕊陣營甚至還向美國政府提告,怒批俄國利用駭客干預美國大選,但美國政府的回應卻姍姍來遲,理由是每個國家其實都有「國家級駭客」,彼此都在執行駭客任務,沒有什麼立場指責別人。加上普丁否定此事,在無法直言俄國總統說謊的情況下,美國政府也疲於應付。
中台衝突若僅止於網路空間 史考特:是好事
近來台海局勢緊張,兩岸網路資訊戰打得火熱,但,史考特觀察,「兩岸之間若僅停留在網路、資安、資訊等形式戰爭的話,這都不算事。」
為何台灣人擔心的中國網路滲透、資安入侵,史考特卻能一派輕鬆地認為不用太過憂慮呢?「我在《奇幻熊在網路釣魚》有為台灣留了一段文字,簡單和你說我的觀點,假設二國之間關係緊張,與雙方的軍事實力或經濟強弱無關,網路衝突必然會發生。」
史考特舉出烏俄戰爭的例子,說道:「俄國在入侵烏克蘭的時候,有花很多時間在打網路戰嗎?當然不可能沒有,但我們可以從烏俄戰爭看到一個鐵錚錚的事實,那就是一旦戰爭開打,國家就會把絕大部份的心思放在飛彈佈置、攻城掠地、摧毀目標等。」
史考特言下之意,即一個國家若有意圖要對另一個國家發動戰爭,網路說到底只是輔助工具,「我認為中國若想升級衝突,那他會直接調動軍隊攻擊台灣。在我的觀念中,網路是『弱者的武器』,一個國家若不準備動武又想影響別國的話,那網路攻擊當然是最物美價廉的做法。」
再回到烏俄戰爭的例子,史考特強調,「當俄國決定入侵烏克蘭的時候,網路攻擊就消失了,因為網路很難實現軍事佔領,三軍協同作戰才能完成軍事目標。所以,如果中台之間還維持在網路衝突的層次,我反而覺得是好事。說白了,用網路很難殺人,如果想要消滅敵人,炸彈絕對比網路更好用。」
資安倫理教育從學生做起 而非等成為工程師後再做
「資安問題不是機器的問題,是人的問題。」史考特說:「許多駭客都是電腦程式、網路系統高手,但為何他們會選擇把自己的專業拿來濫用?就是因為職業使命與專業倫理的教育不足。」
「我認為至少在大學的時候,就應該教導學習這些專業的學生,告訴他們如何預防資安問題,該以怎樣的態度去面對網路,而不是等到他們對程式編碼已瞭如指掌的時候才教導他,到那時,他的壞習慣都已經養成了,你就很難扭轉他的觀念。」
就像進入工廠時必須知道機器的操作方式,以防止職場災害發生一般,史考特斷言,在訓練資訊工程師的同時,一定要從小紮根專業倫理才行,「至少從大學就要做到,你學習電腦與資安的安全知識,才會設計出安全的程式」,否則濫用專業的結果,就是創造出各種有漏洞的惡意程式。
網路聯盟世界 或許會是資安問題的一種解方?
在書中,史考特提到了「網路聯盟」的概念,亦即各國可以像組成國際同盟一樣,組成國家間的網路聯盟,「目前已經有一些國家開始實施,例如美國、英國、加拿大、紐西蘭、澳洲等國就有攜手組建網路聯盟。」
「其實說是『聯盟』可能太正式了些,說他是『網路俱樂部』可能更為親民一些。」史考特說,各國一起成立網路俱樂部並不是為了排外,它反而是對外開放的,只是在資安系統建構、安全把關上可以由多國的專業資安人員一起努力,打造出更多元也更安全的網路世界,就是像是個有條理的網路國度。
史考特坦言,此類國際合作的方式「對台灣這樣的國家來說,是非常有益處的」,透過這樣的合作方式,不僅可以促進台灣與國際間的交流,也能促使台灣搭建一個更為安全的網路空間,特別是在中國資安滲透的情況下。
史考特‧夏皮羅小檔案
現職:耶魯大學法學院法律暨哲學教授、耶魯大學網路安全實驗室創辦人兼主任
專長:法理學、國際法、憲法、刑法與網路安全
學歷:耶魯法學院博士、哥倫比亞大學哲學博士、哥倫比亞大學哲學學士
著作:《奇幻熊在網路釣魚》、《合法性》(Legality)
▲史考特在書中用淺顯易懂的庶民文字,道出了網路安全的各種漏洞與矛盾,「我們每天使用網際網路,但對相關知識一無所知!」《奇幻熊在網路釣魚》本書將於10月2日正式出版。
