罪犯永遠是接納新科技最快、最全面的群體之一。當執法單位受困於繁瑣的修法步驟、無形的道德與權利義務枷鎖;一般民眾受限於令人敬而遠之的價格、或沒有快速取得的管道之時,毫無顧忌的罪犯憑著獨特的嗅覺,迅速的採納有力於犯罪的新科技,在海噱一番後遁逃,馬上轉進下一波科技潮流。更令人不寒而慄的是,現今科技的走向竟是在助長高科技犯罪,而各大企業也在油箱邊玩火,有意無意的使這股犯罪浪潮愈湧愈高。對此沒有警覺的一般民眾,毫無還手餘地,猶如<<駭客任務>>一般,表面上過著輕鬆愜意的日子,實質上背後卻有虛擬鬼魂正操弄我們所認知的現實。Marc Goodman在<<Futures Crime>>一書中,逐步地剖析在現代與近未來的世界中,惡意如何地在一般群眾茫然無知間蔓延,以及該如何防範保護自身的安全。以下將分為四個章節,逐步探討本書內容。
個人隱私
很多人都天真的覺得,自己的隱私毫無價值。”我又不是明星,幹嘛偷拍我?”、”我無權無勢,收集我的日常能有什麼用?”這樣的想法,屢見不鮮,但事實上不保護自己的隱私,無異於讓自身安全暴露在惡意威脅之中。澳洲一位18歲女性,熱愛自然與動物,時常在Facebook上發表自己照護小動物的照片與動態。這樣一個看似無害的舉動,卻引來無盡的惡意。一位跟縱狂,在發現這位女性的喜好後,佯裝為動物醫院的員工與其攀談,並保證能介紹動物醫院的工作職位。不疑有他的女孩坐上了跟蹤狂的車,一周後被發現遭姦殺陳屍在沙漠中。這不過是眾多現在逐漸興起的網路犯罪的其中一環,而一切的開端便是Facebook和Google這些看似無害、提供”免費服務”的網站。
Facebook與Google等網站並不是真正的免費,是使用者需要認知到的第一點。這兩家公司之所以能市值上千億,背後必然有更繁雜的商業經營模式:你自以為是消費者,但事實上你才是他們的商品。Facebook能幫忙紀錄去過的地方、喜歡什麼、交友圈有誰;但相對的,他們也能將這些紀錄轉為己用,而且這都是經過你在申請帳號時,面對那一長串的使用者條款不耐煩的按下同意的那瞬間所成立的合約。Facebook能夠將這些資料轉售給廣告商、政府機關、甚至是私人分析師。Google業務範圍相較Facebook更為驚人,從搜尋網站、Youtube、Gmail、Google Drive、Google Map、Android系統,可以說滲透到日常生活的每一個角落。不要懷疑,Google有權查閱你的每一封信和每一個雲端檔案,並將你的搜尋結果和看過的影片清單賣給任何付得起錢的人。Google透過複雜的演算法,可以將一個人的生活圈與生活習性摸的一清二楚。使用這些服務越頻繁,就越容易在網路世界留下足印,讓有心人士能夠輕鬆地跟上這些蹤跡。對提供服務的公司而言,服務使用者才是真正的商品,而Facebook和Google正藉著這種模式,矛盾的在提供免費服務的同時賺進大筆銀子。另一種會大量收集個人資料的群體為Data Broker。相較於Facebook、Google等公司仍以發展各式服務為本體,Data Broker的公司宗旨便是收集與分析個人資料。Data Broker透過問卷、釣魚網站、向服務網站收購等各種方法,收集大量個資,以演算法分析後分門別類歸納大量的個資,並出售給需要的公司。例如啤酒公司,要推出面對年輕人的清爽啤酒,便可以指定購買20歲前後、喜愛派對的男性的資料,集中目標投放廣告以達到最高效率。隨著可攜式設備如健身手環的普及,甚至連個人健康資訊都是可販售的商品。
要澄清的一點是,若僅僅是收集與買賣個資,並用於廣告或商業用途,並不一定對於社會與個人來說會有害。舉電視廣告為例,現在的電視廣告普遍只能購買時段,而不能挑選投放的對象。但隨Netflix、Hulu等網路服務興起,配合使用者的個人資訊,廣告投放將可以達到個人化的最高境界,廣告更短、更符合消費者個人喜好,公司也能更有效率的運用廣告經費。但問題在於並不是所有要求個資的意圖都是善意或純商業的目標。如前述的跟蹤狂,帶有惡意的接近毫不知情的使用者一般,當一個人的起居作息、偏好厭惡、家庭背景都能輕易地用錢買到,無異於詐欺的天堂。即使無法輕易的購買,技術高超的駭客仍然能夠透過入侵資料庫,擷取上億筆的資料。美國零售商巨擘Target便由於客戶信用卡個資遭竊取,造成駭客能運用竊得的超過一億筆資料,大量的散播釣魚式詐騙以及假造信用卡等犯罪。而當網路開始延伸到電腦以外的空間,將帶來更駭人的後果。
高科技犯罪
眼見為憑已不再是現代人的信條。螢幕所顯示的,才是真理。當螢幕顯示一切正常,一切就是正常的,沒有太多人會去質疑電腦所送出的畫面、因為現代科技是這麼的可靠。但事實上,透過螢幕所顯示的”現實”,是非常容易被扭曲變造的。在此要提的並不是網路放大效應等社會性因素,而是要講述罪犯如何透過網路操控螢幕,扭曲事實以散播惡意。舉例來說,有一種游走在法律邊緣的投資模式,稱為高頻交易(High Frequency Trading,HFT)。HFT的原理,是以超高速電腦,利用不同交易所或市場間由於距離差距所產生的資訊落差,以超高頻率買賣股票藉以獲利的方式。沒有這種技術的一般投資者,只能看著電腦螢幕,在顯示出自己目標股價的那一刻下單,但電腦螢幕的顯示並非即時,而是每秒刷新60次。於是高頻交易者能利用每次螢幕刷新前、或是遠在大陸另一端的交易所尚未收到股價變動的訊號前的空檔,快速地買進尚未變動之較低的股價、再轉賣給一般投資者。這樣的交易會在千分之一秒以內完成,而一般投資者將不會感受到任何的異狀。但一旦負責執行快速交易的程式出現誤判,會對市場造成的衝擊將難以估計,最大的受害者將是沒有相關技術的一般投資人。
HFT說到底是為了營利開發出的系統,但技術高明並帶有邪念的罪犯,由於網路的普及,將可以盡情地揮灑這種技術在無知的一般大眾身上。電腦螢幕與手機螢幕,是現今社會最普遍的媒介,只要能入侵這兩種媒體,便能輕易地操控絕大多數人的生活。釣魚郵件巧妙的引導使用者開啟駭客精心打造的假銀行網頁、以信用卡遭盜刷等理由誘導使用者在可以假亂真的網頁中輸入自己的信用卡號與安全問題。偽裝成政府通知的網頁,讓無知的民眾為了消除不存在的逃稅紀錄,轉帳大筆鈔票進人頭帳戶。駭客不需要出門,在千里之外透過操縱螢幕,便能操縱一個人的行為。而在人手一支智慧型手機的現在,詐騙的範疇與方法將快速的成長,隨時隨地侵襲警覺性不夠的群眾。透過手機的GPS訊號與相機,惡意團體能如影隨形的跟著使用者到每一個角落、監視被入侵者的一舉一動,甚至是竄改GPS訊號,誘導使用者走進陷阱中。
更嚴重的是,現在能連上網路的,已經不只是電腦與手機。家中的監視器、冷氣、冰箱、音響、甚至是浴缸,都已經開始連接上網路,組成所謂的物聯網(Internet of Thongs, IoT)。這將帶來前所未見的便利生活:想像你下班回家,手機透過GPS訊號辨識出你正在回家的路上,於是自動聯絡家中的家電,開啟冷氣配合氣象報告調整到合適的溫度;根據早上查詢的食譜,冰箱將冷凍魚的區塊溫度調高開始解凍;浴缸開始放出熱水,當監視器在家中車庫看見主人的車子停進車庫,自動啟動音響放起你喜歡的音樂。這一切都是全自動完成,於是一回到家,便可以在舒適的氣溫與音樂環繞下泡個熱水澡,走出浴室開始準備間一片酥脆的魚排。這就是物聯網所能帶來的便利。但同樣的,這些便利,都可能反過來被罪犯利用。入侵監視器便能輕鬆了解家中有沒有人。音響可以用來收音竊聽。浴缸可以持續放水,配合冰箱漏電造成火災。而最大的問題,在於物聯網裝置的安全性,往往並不是消費者與製造商重視的環節。大部分的智慧電器運行的,是過時的Android系統,難以更新的系統設計,使其暴露在被入侵的危險漏洞之中。而這些裝置又都彼此連接,於是只要有一個環節被攻陷、便無一倖免,從電腦手機到馬桶窗戶,全數都在掌握之中,罪犯伺機而動,只待時機成熟便可全面接管被害者的生活。
但更令人不寒而慄的未來,是連人體都接上網路成為物聯網一部分的那一刻。許多最新的心律調整器已有Wi-Fi與藍芽連線的功能,方便醫生隨時監管與調整發出訊號的強度與頻率。2013年著名駭客Barnaby Jack 宣稱,他能夠遙控心律調整器放出800V的高電壓,瞬間燒焦一個人的心臟。許多義肢也已內建微電腦用以控制關節的活動。若義肢被入侵,隨時可能在危險需要逃離時動彈不得。Jack也示範過入侵胰島素點滴機,如何大量釋放胰島素以致人於死地。未來理所當然會有更多的人造器官、更多連上網路的人體部位,暴露病患於危險之中。物聯網的規模勢必不停擴張,從日常生活、基礎建設、轉而融入人體。而過去單打獨鬥的罪犯,在面對日益龐雜的下手目標時,也開始彼此合作、互通有無。
犯罪企業化
犯罪正逐漸成為一個企業化的群體。有執行長、技術長、行銷企劃、跑腿小弟,一條鞭式的指揮體系,並且不同犯罪企業間也有互相溝通的管道與行規,隨著生意的擴張增大規模。烏克蘭曾有一家名為Innovative Marketing的公司,總部在基輔的大樓中,有完整的IT部門、外包客服、管理規範。這家公司主要的營利模式,是免費的電腦病毒偵測軟體。當軟體偵測到病毒時,會在使用者的螢幕中央出現巨大的警告標語,提醒使用者需要花費35美金升級到專業版軟體,方能消除此威脅使用者資訊安全的電腦病毒。在付費前,警告標語都不會消除,以提醒使用者資安的重要性。這套軟體獲得了95%的使用者滿意度。但事實上,這套軟體並沒有在偵測任何電腦病毒,而僅僅是透過警告標語”綁架”使用者的電腦桌面。這樣的運作模式,在被FBI聯合烏克蘭官方查緝之前,3年營收超過了5億美金。像Innovative Marketing這樣的公司,正在全球各地不停成立,各自透過巧妙的手段獲取無本利潤,並透過嚴密的組織管理防止遭到官方取締、並擴大規模走向全球化。這便是現今犯罪的面貌,威脅性最大的犯罪已不再是拿著刀在街角等待柔弱被害人的搶匪,而是坐在電腦螢幕前,透過現代化管理共同瞄準更龐大的被害群體的犯罪企業。
個體擴大為群體組織的同時,罪犯團體彼此溝通的管道也在不停進化中。過去只能以書信或電話、冒著被監聽與攔查風險溝通的罪犯,在網路上找到了全新的管道。透過The Onion Router(TOR)將自己的身分透過轉嫁數百個不同國家不同地區的人頭伺服器,罪犯可以將自身的IP完全隱藏,自由的在網路世界中來往。一個令人吃驚的事實是,只有16%的網路世界是可以透過Google等入口網站進入的。其餘的84%,或隱藏於學術網路、軍事網路之中;或隱藏於更深一層,被層層防火牆保護的”裡網(Dark Web)”中。裡網中有各式各樣的秘密,其中超過一半被用於惡意用途:如eBay一般的拍賣網站,只不過拍賣的是走私軍火、毒品、或兒童色情片;殺手傭兵的地下招募網站;人口或器官走私掮客;甚至是實境撥放殘酷的強姦或人獸鬥技。這些網站要求使用者必須透過TOR隱藏身分、並多半屬會員制,需要引薦人方能造訪,同時伺服器架於難以追查的化外之境,提供眾罪犯能夠安心交流、無被追查之虞的空間。交易的貨幣更是全面採用比特幣等虛擬貨幣,避免銀行或信用卡公司介入,降低被反向追蹤的風險。這些網站如影隨形的存在於一般大眾的眼皮之下,熱絡的擔負起罪犯之間的眉來眼去,讓犯罪國際化、組織化。隨著網路的普及,甚至出現所謂”快閃犯罪”一類幾乎無法追查的犯罪手法。犯案主腦不需要親自出面網羅所需人手,需要的僅僅是在電子布告欄上貼出公告,標明犯案時間與地點,自然會有感興趣的人在該出現的時間點出現。當犯案完成,每個人分到自己該拿的份,隨即消失於黑暗之中。這樣一來參與者之間毫無關聯、警方即使追查到一條線索也無法得知全貌。
犯罪的規模與變化,隨著科技浪潮而漲跌波動。當今的犯罪型態不只越來越寬廣遍及全世界,也朝向社會各層級縱向發展,可說是任何人都可以輕易地跨過那條界線,成為惡意的化身。如何駭入沒有保護的系統、如何使用與購買間諜軟體、如何設計炸彈、如何發展致命病毒,所有需求都可以敲敲鍵盤便獲得相關資源。TOR等保護讓每個人都能在網路世界帶上一層又一層的面具,從乖巧的學生搖身一變為毒販或是謀殺者。伴隨組織化與全球化的犯罪網絡,要如何在這樣的時代保護自己?
自我保護
在數位世界,進攻遠比防守容易。防守需要確保龐大的系統沒有任何一處漏洞,數百萬行的程式碼,一個字都不能出錯;即使如此,還是會被暴力破解的可能。相對的,進攻卻只需要找到一個漏洞,僅只一個就足以癱瘓核電廠、竊取數億筆個資、獲取敵國最高機密情資。那麼,就個人而言,要如何防堵漏洞,阻止自己的資訊遭竊、保護自己的人身安全呢?
指望政府以法令與政策保護自己,是最不切實際的想法。美國最高法院法官Elena Kagan曾公開表示大多數法官並不知道如何使用e-mail溝通,而是仰賴傳統的紙本公文程序。希拉蕊在擔任國務卿的期間,被爆從未使用公務信箱處理公事。當全世界最有權威的一群人,都不懂保密的重要性、跟不上科技的潮流,要政府如何能快速更迭、與時俱進?太多的法條、太多的條例、太廣的範疇,立法修法的速度,永遠趕不上補漏洞的速度。政府能做的,是或以獎金、或以政策鼓勵民間有識之士一同來防堵。成立基金獎賞發現問題的人、建立一套快速的反應機制,行亡羊補牢之實。另一方面成立委員會預見未來發展,提早提供資料給民意代表使其能做好修法立法的準備。但公權力能做的事無法深入到每一個個體,個人的自我保護還是最重要的一環。
本書作者Marc Goodman提供了”UPDATE”六字真訣做為自我保護的基本:永遠保持最新更新(Update frequently)、密碼詳盡保護(Password)、注意下載來源(Download)、減少使用管理員帳號(Administrator)、不使用電器時徹底關機(Turnoff)、將重要檔案加密(Encrypt)。掌握這六件事,將能大幅減少遭攻擊與入侵造成的損失。遭受攻擊的人往往會怪罪於系統、怪罪於廠商,但事實上絕大多數的攻擊都源自於使用者自己為惡意軟體鋪好的路。從不明來源下載檔案、將帳號密碼儲存於沒有加密的雲端檔案、點擊不明連結,都有可能為病毒與間諜軟體開啟大門,引狼入室。因此使用二階段認證、小心確認連結或檔案來源、隨時備份、謹慎在社交網站等媒體發言,皆為現代人所必備。但最重要的,仍然是心態要保持正確。十年過後,就像十年前世界仍然沒有iPhone一樣,新科技的出現會大幅改動社會的面貌,VR、AR、機器人、3D列印、基因轉殖等全新科技,將會將我們與數位和現實世界的互動模式徹底翻轉。屆時的犯罪,將會與現今大異其趣,而不變的是惡意總是會朝向沒有警覺性的人而去。未來即是現在,<<Future Crimes>>一書所講述的並不真的是未來的犯罪,而是邪惡如何以各種各樣的面貌,透過各種最新的科技與管道現形在我們身邊。隨時吸收新知、了解一舉一動可能帶來的風險,就像走夜路回家,會自動避開昏暗的窄巷一般,面對變色龍一般的未來犯罪,要仔細的觀察虛擬世界的周遭並採取相應的措施,才有在日新月異的科技世界中全身而退的機會。
<<Future Crimes>>
by Marc Goodman, Published February 24th 2015 by Doubleday
2017.03.22 閱畢
