資訊安全成為網路時代的重要課題之一。(pixabay)
我在展開資安主管的職業生涯後沒多久,就發現所有人都在騙我。
最大的謊言是打從一開始就聽到的──網路安全很難,太艱深了,對於沒有經過多年專業技術培訓的人來說,這肯定太困難了。那裡不是作家該去的地方。
光是那堆難以理解的行話,似乎就足以擋住像我這樣的門外漢進入這個領域。他們告訴我,除非我花很長的時間來鑽研這些術語行話,否則永遠都別希望能搞懂。除非我取得一張張專業又複雜的認證,除非我知道如何拆解電腦,還能重新組裝回去。又或除非我知道要怎麼用 Python 來編碼,還可以讀懂並解釋這些程式碼,並且找出問題的所在。
而且,就算我設法學會這些術語行話,接下來的學習也是漫漫長路,難以克服。
謊言、謊言、都是謊言。
不幸的是,資安人員的需求與實際可填補這些工作職缺的人才數量間存在著巨大的鴻溝。我認為,其中一項原因就是因為大家無法想像自己能夠從事這種工作。
你會用智慧型手機嗎?會製作 PowerPoint 這種投影片簡報檔嗎?行事果斷?是否曾經安排朋友度過一場電影之夜,且一切進展順利,沒有人因此出車禍?如果是的話,歡迎走上二十一世紀最熱門的一條職業道路。你知道要如何討女人歡心嗎?你逃過一場暴力婚姻嗎?是否曾經在家中舉辦過小孩的生日派對?如果答案都是肯定的話,親愛的,我要你加入我的網路資安團隊。
讀完本書的故事後,你會了解真正讓網路安全變得複雜的是人性本身的複雜。因此,如果你知道要如何與人打交道,就可以處理網路安全問題。如果你通曉如何讓人在網路上勾選之道,那麼你不僅可以識別威脅,還已經領先你的對手。
在我的職業生涯中,先後擔任過跨國公司網路安全主管、《華爾街日報》以及全國廣播公司商業頻道(Consumer News and Business Channel,簡稱CNBC)的記者和喬治城大學的教授。我遇過許多不可思議的人,從惡意攻擊的駭客到試圖阻止此類事件發生的專業資安人員,還有一批負責損害控制的政府機構高深莫測人物,但最終他們都是某個人的父親、兒子、母親、姐妹和配偶。換句話說,他們就跟你我一樣。是的,在駭客界中,從白帽(white hats)轉為黑帽(black hats)的頻率比你想像的要高,而他們之所以改變陣營的理由,就跟我們其他人一樣,受到相同的慾望所驅使,即使有時候,感覺起來好像資安界的每個人都對事實真相過敏,避之唯恐不及。
身為一名專業人士,我聽聞過關於這個我後來熱愛的領域的許多謊言。在成為資安記者後,我聽到的又更多。像是:
「讓我向你介紹駭客社群……」
這句謊言通常還會伴隨眨眼和點頭示意,來自那些自以爲認識地球上每個駭客的人。事實的真相是,根本沒有所謂的駭客「社群」。
當然,那些在大型年度會議上引起滿堂轟動的人可能會不同意。但是,在每個國家、每個政府、每個領域,每個團體都有相對應的駭客社群。其中有些非常保守,有些則非常自由,但大多數的都介於兩者之間。有些人白天穿西裝打領帶,從事像律師一樣的工作,另一些人看起來就像尋常百姓,在追求他們自己特有的計畫時,才發揮他們強大的人際交往能力。
有些駭客其實是好人,只是受夠了低薪和無聊的工作,因此成為罪犯。有些則原來是罪犯,最後卻改邪歸正。許多進入這一行的人,有可能是依循前者的模式,再不然就是走上後者的路子。
有些人,包括即將在這本書中遇到的許多人,都是技巧高超的駭客,他們根本沒有時間或意願與任何社群建立聯繫。
身為一名記者,讓我感到驚訝的是,有很多駭客願意對我開誠布公,提供我進入這個社群的特別路徑。我不禁注意到,「駭客社群」源頭的成員通常就只是一般人。我的意思是,在這個領域有很多不同類型的人,但我可以向你保證,他們當中有很多人就和你我一樣。
還有另一句謊話:「他是資安領域的佼佼者。」
他恐怕不是。在這個領域,名聲和才華通常並不相稱。我遇到的真正天才都不有名,而且大多數沒有在社群網站上留有資料。他們往往不會對他們專業知識之外的領域做出任何評論。
那些經常擔任會議主持人,能夠應邀接受我採訪的人,通常都沒有隱姓埋名人士的這份洞察力。知名駭客通常願意分享公開出來的,其背後都有明顯的重大意圖,我早就學會在老遠就將其識破。即使沒有留下什麼紀錄的對話,不論是政府高級官員,還是其他知名網路安全公司的大人物,他們透露的內部資訊其實鮮少有什麼新意涵。
在這個世界上(以及在本書中)為我釋疑解惑,點亮明燈的人,是那些從來沒有響亮頭銜的真正從業者。你絕對沒有聽過他們,而且可能永遠不會,況且基於保護他們隱私的緣故,我都將名字改了。
這些人之所以傑出,並不是因為他們的學歷,或是製造出什麼登上頭條的事件,而是因為他們帶了一盞明燈,可以指引他人前進。這類人的後面通常不會有公關團隊。
我最喜歡的一個謊言是:「他不知道他自己在說什麼。」
這通常是那些自以為比其他任何人都了解資安領域的人所說的。這些人會吹牛,說他們知道當駭客的感覺,並且可以做到其他人無法做的事情。
我總是對那些矮化其他資安人員專業知識的人保持警覺。這個領域的深度和廣度非比尋常,因此每個從業者都專精於這領域的某一部分,我還沒遇過通曉整個領域的人。連稍微接近的也沒有。
事件的觀點取決於觀察者的角度,他的見聞、他本身的專業知識,這些都會影響到他的觀點,而這會隨時間而改變。這就像讓居住在第五大道廣場飯店裡的人描述曼哈頓,然後再讓居住在東哈林區中途之家的人也來講講。同一主題,從不同的參考點來看,勢必會出現截然不同的影像。
然後是最後一個謊言,這是最難引起爭議的謊言,是一種「馬基維利技術奇蹟式」(Machiavellian technological wonde)的謊言,來自《龍紋身的女孩》超強女駭客莉絲.莎蘭德和美國心理驚悚電視劇《駭客軍團》(Mr. Robots)。媒體喜歡以非黑即白的二維鏡頭來呈現駭客、資安專家和情報專業人員;他們不是善良的十字軍,就是邪惡陣營,而且全都穿得一身黑。
我讀過無數篇新聞報導,將我認識的那些網路安全專才描述成靠著他們對電腦科學的敏銳度,在暗處操縱魁儡的大師。無論好壞,我見到這些人經歷過和你我相同的凡人經歷,我想要告訴你他們的故事。
過去十年,我一直在資安領域工作,並觀察這個網路世界。我的一些聯繫人是罪犯,遊走在真實與虛構之間的界線。我竭盡全力查證過他們的故事,力求正確,或者至少在我看來是合理的。
在我動筆寫書之際,這個行業大約只有九%是女性。我認識她們當中很多人,也許是因為我們是相對少數的關係。為了解決網路安全工作短缺的問題,到二○二○年將需要花費數百萬美元,我們也得更認真地招募女性進來。這聽起來像是在說我們得面對某種嚴峻的挑戰,但事實並非如此。對女性而言,這是自然的職業。
過度警覺、小心怕事,還會根據接二連三發生的事情發想可能導致的災難,提出大家意想不到的恐怖情況;這通常是阻礙女性進入職場的三種病態,也正好是許多新手媽媽的三大特徵。但是在這個領域,這些反而是巨大資產。我的職業生涯讓我明白,也許受過這些苦難的女性更適合從事這些資安工作,可善用她們的焦慮感來賺大錢。
在我進入這個領域時,沒有想到會為此寫一本書,我只是想認識更多這些在我人生中進進出出的有趣人物。寫書跟寫新聞很不一樣,因為我對在這裡寫的一些人並不會抱持客觀的態度。我在書中描寫到的人,有許多是我的朋友,但有些我則視為敵人。我將他們的故事保存下來,寫成這本書。
說到底,這本書是關於控制的。人在與技術產品互動時所做的一切,都有一個共同的主題,那就是希望以有利自身的方式來控制環境。我們做出的每個技術決定幾乎都是受到心中最想實現的願望所驅動。
每一項創新的催化劑,每一條前進的軌跡曲線,都是來自於想要控制某件事物或某個人,甚或是所有的人事物。也許是靠科技,也許是靠權位,也許是藉助才華,也許是搭配某種技巧。最後得到的獎賞就是高高在上地握住韁繩,操控這頭我們創造的龐然巨獸。在任何一秒鐘,都有成千上萬的人爭先恐後地為此努力奮鬥。
當然,你早就知道誰才是真正在控制的人。因為你對網路安全的認識比你想像得還要多。
作者簡介
凱特‧法茲尼(Kate Fazzini)
現為美國全國廣播公司商業頻道(CNBC)的網路安全記者。在此之前,曾為《華爾街日報》(The Wall Street Journal)報導網路安全新聞,亦曾在位於華盛頓特區的海岬金融集團(Promontory Financial Group)──現為IBM的一個部門──擔任網路安全業務部門負責人。更早以前,曾在摩根大通(JPMorgan Chase)擔任網路安全營運副總裁。目前在喬治城大學(Georgetown University)的應用情報計畫中任教。現居紐約市。
譯者簡介
王惟芬
臺大動物系、倫敦大學帝國理工學院科技醫療史碩士。日前在巴黎半工半讀,一邊於索邦法式文明課程修習法文,一邊翻譯寫作偶爾還兼中文家教。
曾經謀生處:中研院動物所與生物多樣性中心、葉子咖啡店、總統府、臺大海洋所與臺大醫學院。
譯著以科普、科學史、藝術史、環境科學及傳記文學為主。
Email:weifen.wang@gmail.com
※本書擷取自《禍駭:網路犯罪世界的第一手紀實》