iWeekly
我们生活在信息社会,却并不真正了解信息如何存储、使用和保护。耶鲁大学法哲学教授斯科特·夏皮罗(Scott J. Shapiro)希望用新书揭露数字时代的秘密。在《时髦熊的网络钓鱼》(Fancy Bear Goes Phishing)中,夏皮罗讲述了多个黑客相关的故事,他提出,网络犯罪与其说同程序缺陷相关,不如说与我们的心理和社会的错误连接相关;技术因素只是黑客问题的“下码”因素,更本质的“上码”因素在于人类社会本身的法律、规范和认知偏见。
“黑客”(hacker)一词最早诞生于20世纪60年代,指的是在麻省理工学院的全球首个人工智能实验室里,聚集在“人工智能之父”马文·明斯基(Marvin Minsky)周围的那群天赋异禀、特立独行却又爱好恶作剧的编码天才。他们喜欢通过集体协作来创造性地突破计算机系统的限制,从而获得智力上的成就。在那个计算机技术刚刚萌芽的年代,黑客文化便以这样的亚文化形式聚拢着许多青年才俊。直到20世纪90年代,当越来越多破坏计算机安全的恶意黑客频频出现在大众媒体报道之中,它才终于成为网络犯罪的同义词。经年累月,人们对黑客的刻板印象——心怀怨气、愤世嫉俗的年轻人坐在父母家中,通过网线制造出大麻烦——似乎在很多时候都相当站得住脚。就如席卷全球的2016年恶意软件“Mirai僵尸网络”(Mirai botnet)发布者帕拉斯·贾(Paras Jha)在后来仍心高气傲地说:“我不认为那些受害者是真实的人,因为我所做的一切都是在网上的虚拟世界里进行的。”
但来自可能只是一名青少年的轻轻一击,却足以造成举国之大的破坏性威力,确实只有黑客行为能够做到。据估计,以黑客为主的网络犯罪每年造成的损失在6000亿美元至6万亿美元之间。“你可能对黑客不感兴趣,但黑客对你感兴趣。”耶鲁大学法哲学教授斯科特·夏皮罗改编了苏联革命家列夫·托洛茨基的名言(“你说你对政治不感兴趣,但政治对你感兴趣”),在新书《时髦熊的网络钓鱼》中这样宣告。他继续引用IBM首任女性首席执行官罗睿兰(Ginni Rometty)的话写道,如果数据是“这个世界新的自然资源”,那么网络犯罪“就是对全世界每个职业、每个行业、每个公司的最大威胁”。不过,他似乎并不因此而惊慌失措。尽管承认黑客行为的破坏性,但夏皮罗认为,“关于黑客的许多说法,要么是错误的,要么具有误导性,或者夸大其词”。通过对几个著名的黑客案例的分析,夏皮罗提出,技术因素只是黑客行为中的“下码”(downcode)因素,而恰恰是包括文化、法律、规范、人类思维等在内的“上码”(upcode),构建了下码。换言之,黑客攻击在根本上并非技术问题,而是人的问题。
从莫里斯蠕虫到俄罗斯时髦熊
夏皮罗的讲述从1988年康奈尔大学研究生罗伯特·莫里斯(Robert T. Morris)的故事开始。当时,23岁的莫里斯正在攻读博士学位,他注意到Unix操作系统的缺陷让他能够编写一个在不同计算机间传播的程序。莫里斯的初衷没有恶意,他想要看看这个计算机实验能够感染多少台电脑——这将成为他论文的绝佳主题。但他犯了一个致命的错误:把程序的再感染率设定得太高了。结果,这个首先被投放在麻省理工学院人工智能实验室VAX 11/750计算机上的蠕虫病毒,短短几个小时内就蔓延感染了全美多个通过互联网连接的计算机网络:从麻省理工到康奈尔和斯坦福,从兰德公司(美国最重要的综合性战略研究机构)到劳伦斯·利弗莫尔国家实验室和洛斯·阿拉莫斯国家实验室,总计超过6000台计算机因感染而出现不同程度的瘫痪。莫里斯的计算机实验成了一场不折不扣的全国性危机,新生的互联网几近崩溃。更糟糕的是,莫里斯的父亲正好是美国国家安全局国家计算机安全中心的首席科学家,这令整起事件看起来更难免有瓜田李下之嫌。尽管有证人言之凿凿莫里斯“身体里没有欺诈或不诚实的骨头”,但他最终仍然被联邦法院认定犯有计算机诈骗罪,成为依据美国1986年的《计算机欺诈及滥用法案》(CFAA)被定罪的第一人。好在法官给他判刑时足够“仁慈”,没有对他处以15至20年监禁,而是3年缓刑和400小时社区服务,以及罚款1万美元。
如果说莫里斯的故事听起来还有点像20世纪60年代早期黑客在探索计算机奥秘过程中意外触发的某种不受控事件,那么夏皮罗在此后讲述的案例则逐渐趋近于常规的黑客行为。1990年的保加利亚上线了世界上第一个专为计算机病毒编程者开设的论坛VXBBS,其中,化名“黑暗复仇者”(Dark Avenger)的天才黑客编写了数个影响盛极一时的病毒程序,并与他的宿敌、保加利亚反计算机病毒专家维塞林·邦切夫(Vesselin Bontchev)展开多轮线上较量——然而至今,“黑暗复仇者”面具背后的真身究竟为何人仍旧成谜。进入21世纪,一款名为ILOVEYOU的蠕虫病毒在2000年席卷全球,人们因点击了主题为“I LOVE YOU”的邮件中的附件而使计算机受到蠕虫病毒感染导致崩溃,据说全世界十分之一的计算机都没能幸免。没过几年,一个名叫卡梅伦·拉克鲁瓦(Cameron LaCroix)的青少年侵入美国名媛帕丽斯·希尔顿的手机,将她的个人信息、联系人资料和裸照等统统公之于众。2016年,包括帕拉斯·贾在内的三名青少年开发出“Mirai僵尸网络”,通过感染在Linux网络上运行的智能设备如家用摄像头或路由器等,将它们转变为远程控制的机器人并组成“僵尸网络”,从而发动多起极具破坏性的分布式拒绝服务(DDoS)攻击。最后,是同样发生在2016年的俄罗斯情报部门代号“时髦熊”(Fancy Bear)与“舒适熊”(Cozy Bear)的网络间谍单位对美国大选的干扰,它们侵入民主党全国委员会的计算机系统并公布了一批电子邮件。这是一场颇受关注,却很难说是否对大选结果产生了关键性影响的尴尬攻击:在“时髦熊”公布出来的邮件中,人们看到的不过是希拉里·克林顿在高盛集团发表的闭门演讲,以及她的竞选主席约翰·波德斯塔(John Podesta)有关意大利烩饭做法的建议。
▲聚集在“人工智能之父”马文·明斯基(左一)周围的编码天才形成了最早的黑客文化。
无论何种类型,夏皮罗关注的不仅是黑客事件中作为“下码”的技术因素,详述攻击的具体细节和复杂性,他也尝试梳理每一次事件背后所反映的“上码”问题,即与人相关的一切因素:法律规范、文化思维、认知偏见——正是偏见让许多聪明人自认为可以在糟糕的网络安全中生存下去。夏皮罗认为,尽管技术性的修复也很重要,但“网络安全在本质上并非一个依靠根本性的工程解决方案来处理的根本性技术问题”,“这是一个人的问题,需要理解的是人的行为”。他在书中细致描述了莫里斯的“蠕虫”如何利用受信任主机、电子邮件程序后门、暴力密码破解,以及数据与代码之间的模糊性,来完成在计算机之间的传播。夏皮罗指出,这些缺陷或漏洞的出现并非偶然,而是一套开发出Unix系统的文化使然——因为Unix的开发初衷就是为了让那些在大型机器上工作的科学家们能够共享资源,并使一整个“在很大程度上基于信任,且重视信息的可用性而非保密性和完整性”的社区从中受益。而ILOVEYOU蠕虫病毒则部分地依赖于用户对于名为《LOVE-LETTER-FOR-YOU》之附件诱惑力的难以抵挡,它“利用了我们 ‘爱的上码’”,夏皮罗写道,“人们希望被爱”。但他同时也提到了微软对于软件安全漏洞问题的熟视无睹。在他看来,微软实际上并非没有提前预测到漏洞,但对于这家企业文化就是“修补与祈祷”(patch and pray),且正追赶着蓬勃发展的互联网的公司而言,“先给软件添加功能,然后才确定安全性”是他们在事前的全部原则,而将成本全盘转嫁给“文件被毁、信用卡信息被盗,或者茫然面对着蓝屏死机的计算机”的消费者,则是他们在事后一以贯之的冷酷战术。“网络安全故障从来不只是技术故障。它们总是由上码层累的系统故障造成的。”夏皮罗写道。
在第一个故事的后续里,罗伯特·莫里斯服完刑期后选择回到自己的本科母校哈佛大学,重新完成了博士学位,并与好友保罗·格雷厄姆(Paul Graham)共同创办了著名科企孵化器Y Combinator。后来,他以教师身份加入麻省理工学院电气工程和计算机科学系,于2006年获得终身教职;2019年当选为美国国家工程院院士。这是一个开发出了互联网时代首个蠕虫病毒的年轻人最终成为美国顶级科研学者的“逆袭”故事,充满了戏剧张力,也验证了夏皮罗的一个结论:大多数才华横溢的年轻黑客在实施黑客行为时不过是正处于某个叛逆阶段,他们最终通常都会放弃这类网络犯罪活动。但它也似乎从另一面验证了夏皮罗的另一个更重要的结论:“我们是自主行为体,这些都是我们必须为自己做出的选择”——固然受到黑客攻击的用户和企业、机构需要承担属于自己的“不作为”的那部分责任,但黑客们同样要为自己的人生之路承担责任。
▲罗伯特·莫里斯(中)制造了互联网史上第一个蠕虫病毒。
法哲学教授与52岁网络黑客
对于黑客故事如此面面俱到地讲述与抽丝剥茧地分析,并非记者出身的夏皮罗个人背景很难不让人遐想。实际上,他的人生故事也确实并不逊于莫里斯。从小,他那在贝尔实验室工作的数学家父亲就常常把微芯片、电阻器、二极管、LED、电路试验板等各种元件带回家,激发了他对计算机的早期兴趣。高中时,一名同学又向他演示了如何在学校的TRS-80计算机系统上编程,被迷住的夏皮罗开始在自己的Apple II上写代码,并在大学伊始果断选择了计算机专业。只是这份热情某天突然就消失了,他转去了哥伦比亚大学法学院,而后在耶鲁大学法学院获得法学博士学位。作为法哲学家的夏皮罗后来在耶鲁大学教授法理学和宪法等课程。2017年,夏皮罗与同事、耶鲁法学院全球法律挑战中心创始人乌娜·海瑟薇(Oona A. Hathaway)合著《国际主义者:一项取缔战争的激进计划如何重塑世界》一书,对几个世纪以来的战争法进行了全面的历史分析,并由此引申出关于未来战争,即网络战争的展望。很快,他和海瑟薇被邀请与耶鲁大学计算机科学学院共同教授一门特殊的课程:“网络冲突的法律与技术”。但事实证明,将法学院学生和计算机学院学生混合在一起共同学习两个截然不同的高技术领域,是一个过于具有挑战性的内容。“这是我职业生涯中教过最糟糕的课。”夏皮罗回忆,“在课程的任何时刻,都有一半的学生感到无聊,而另一半感到困惑。我从中什么也没学到,学生们也一样。”
接下来的几年里,夏皮罗努力设法解决这个问题。他重温了自己的过去,重拾C语言、x86汇编指令,也学着熟悉Unix、Linux等操作系统和互联网协议、数据库技术,时常沉浸于黑客历史,在蠕虫、病毒、DDoS攻击等恶意软件的前世今生中艰难跋涉。52岁那年,他终于第一次以黑客手段侵入一台计算机,而后,又侵入耶鲁大学法学院的官方网站,美其名曰弥补那些逝去时光——当然,“我的院长并不欣赏这一壮举”,他幽默地说。一系列努力的结果是他最终成为耶鲁大学网络安全实验室的创始主任,负责提供尖端网络安全与信息技术教学设备。此外,他在耶鲁开设“黑客与网络安全”课程,一改当年“网络冲突的法律与技术”的糟糕反响,广受学生欢迎。夏皮罗的优势很显然:“我是一个哲学家,喜欢用第一性原理来研究问题。但计算机科学只有一个世纪的历史,黑客或网络安全甚至只有几十年的历史。这是一个非常年轻的领域,其中的问题也部分地在于人们还没能从第一性原理上考虑清楚。”接受美国科技媒体Ars Technica采访时,夏皮罗这样说。
“为什么我要教理想主义的年轻人如何过一种网络犯罪的生活?我的许多学生未来都将在政府部门或律师事务所工作,客户中包括大型科技公司。我希望这些初出茅庐的律师能理解他们客户的问题。但我更大的目标是让这种技术性专长发挥应有的作用:我希望我的学生们认识到,仅靠技术并不足以解决我们面临的问题。”今年5月,《时髦熊的网络钓鱼》出版当天,夏皮罗在《纽约时报》撰文解释了自己开设黑客课程的原因。“搞清楚黑客如何运作是较为容易的部分。但弄清楚人是如何工作的,以及对此采取什么措施,是困难的部分。即便我们做对了,我们也必须记住,技术和监管都不是万灵药。”在夏皮罗看来,与其将网络安全与隐私问题交给计算机工程师,人们更应当关注的是如何处理互联网革命带来的道德与政治问题。关于人的黑客问题实际上注定了一种“技术解决主义”的死亡。
▲以黑客为主的网络犯罪每年造成的损失在6000亿美元至6万亿美元之间。
BOX
《反欺骗的艺术》
作者:Kevin Mitnick
出版社:Little, Brown and Company
凯文·米特尼克是历史上最出色的计算机黑客之一,也是全球首个遭到通缉和逮捕的黑客,出狱后一度被禁用计算机和互联网。但他最终洗心革面,成为一名广受欢迎的计算机安全专家。在这本《反欺骗的艺术》中,米特尼克邀请读者进入到黑客的复杂思维中,他描述了大量的实际欺骗场景,并将焦点集中在信息安全所涉及的人为因素方面,解释了为什么防火墙和加密协议并不足以阻止一个聪明的攻击者入侵企业的数据库系统,也无法阻止一个愤怒的员工搞垮公司的计算机系统。最终,他提出了许多防止安全漏洞的建议,并提醒人们不要忘了提防最严重的安全危险——人性。
内容来源自《周末画报》
撰文—草西
编辑—喜乐
图片—视觉中国
iWeekly周末画报独家稿件,未经许可,请勿转载