Keren Elazari 談駭客:網路的免疫系統

Keren Elazari: Hackers: the Internet's immune system

網路安全專家Keren Elazari說,駭客的美好之處在於他們迫使我們進化和進步。是的,有些駭客是壞人,但許多駭客正致力於對抗政府腐敗及擁護我們的權利。藉由揭露漏洞,他們使網路更加穩固與健康,發揮他們的力量、創造更美好的世界。

講者介紹

Keren Elazari

Keren Elazari將駭客分類成不同型態,從網路叛客到強大的駭客行動派、獨行俠及數位羅賓漢,他們是數位世界的無名英雄。

身為GigaOM分析師及以色列駭客成員,Keren Elazari累積了商界、學術界與資安界的經歷,研究新技術及新出現的安全威脅。青少年時期,在科幻小說的啟發與永不滿足的好奇心推動下,Elazari花了多年時間探索網路空間的黑暗角落。 如今,她提出對駭客地下世界的嶄新認知。資訊是數位社會的新貨幣,能掌控它的人將成強大角色-無論他們選擇成為英雄或惡棍。如她所言,「駭客已成為能影響全球數百萬人的強大力量-如果我們學會如何駕馭它。」

譯者介紹

翻譯人員洪曉慧

繁體編輯朱學恒、洪曉慧

簡體編輯朱學恒、洪曉慧

檔案後製處理洪曉慧、謝旻均


Keren Elazari 談駭客:網路的免疫系統

  • 四年前,一名資安研究員,或依照大多數人的說法-一名駭客,找到一個使自動提款機向他吐錢的方法,他的名字叫Barnaby Jack,這個技巧後來被稱為「jackpotting」(中大獎)以向他致敬。

    我今天來到這裡的原因是,我認為我們確實需要駭客。Barnaby Jack可輕易成為職業罪犯或詹姆斯.龐德型惡棍,藉由他的知識,但他選擇向世人展示他的研究成果。他認為有時必須模擬威脅,藉此激發解決方案,我抱持同樣的想法,這就是我今天來這裡的原因。

    駭客擁有的力量經常令我們恐懼或著迷。他們令我們感到恐懼,但他們所作的選擇可產生影響所有人的驚人結果,因此我今天來到這裡原因在於,我認為我們需要駭客。事實上,他們也許是這個資訊時代的免疫系統。有時他們令我們不安,但他們也找出隱藏在這個世界裡的威脅,迫使我們修正這些問題。

    我知道我可能會因為這場演講而遭受駭客攻擊,因此我替大家省點工夫,用真正的TED方式。這是最令我尷尬的照片,但你或許很難在照片中找到我,因為我是那個看起來像男生、站在旁邊的人。當時的我是個超級書呆子,甚至連《龍與地下城》遊戲裡的男孩也不願讓我加入隊伍。這就是昔日的我,但我想成為像這樣的人:安潔莉娜.裘莉。她在1995年的電影《網路駭客》中飾演Acid Burn,她既美麗又會溜冰,但駭客的身分使她擁有力量,我想像她那樣,因此我開始將很多時間花在駭客聊天室與網路論壇上。我記得某天深夜,我找到一段PHP程式碼。我不是很清楚它的作用,但我將它複製轉貼,就這樣進入了一個密碼保護的網站。就這麼簡單,芝麻開門。這是個簡單的把戲,我當時只是個「腳本小子」(不具真正駭客技巧的新手),但對我來說,那個把戲讓我感覺就像發現了存在於指尖的無限潛力,這就是駭客感受到的力量衝擊。像我這樣的宅女,發現他們有機會獲得某種超能力,僅藉由本身智慧蘊含的技巧和毅力,所幸不需要放射性蜘蛛。

    展開英文



  • 但隨著巨大力量而來的是重大責任。大家或許期待,如果我們擁有這種力量,我們只用在好的方面。但如果你能閱讀前任戀人的郵件,或替銀行存款添幾個零呢?你會怎麼做?事實上,許多駭客無法抗拒這些誘惑,因此以某種程度來說,他們得擔負一些責任,對於每年因詐騙、惡意軟體或身份盜用造成的數十億美元損失。這確實是嚴重的問題。但還有另一種駭客,他們只想入侵某些東西,正是這種駭客能找到我們世界中的脆弱環節,迫使我們進行修正。

    這是去年發生的事。另一位名叫Kyle Lovett的資安研究員發現一個大漏洞,存在於某些無線路由器的設計中,就像你家或辦公室可能擁有的那種。他發現任何人都能藉由網路遠距連接這些設備,從連接這些路由器的硬碟中下載資料,不需要密碼。當然,他將這個發現舉報給有關公司,但他們漠視他的舉報,也許他們認為通用存取是一項特色,而非漏洞。直到兩個月前,一群駭客藉此入侵他人檔案,但他們並未竊取任何資料,他們留下一則訊息:你的路由器和文件可被世上任何人存取,這是你應該採用的修正方法,我們希望這有所幫助。藉由這種方式入侵他人檔案,是的,他們觸犯了法律,但他們也迫使那家公司修正他們的產品。

    將漏洞公諸於眾在駭客社群中是一種稱為全面披露的做法,它具有爭議性,但它確實讓我思考駭客如何對我們每天使用的科技產生演化性影響,這就是Khalil產生的影響。Khalil是來自約旦河西岸的巴勒斯坦駭客,他在facebook上發現一個嚴重的隱私漏洞,他試著透過該公司的漏洞懸賞計劃進行舉報。通常公司都擁有完善的制度,對發現程式碼漏洞的駭客提供獎賞。不幸的是,因為一些溝通問題,他的舉報並未獲得認同。因為對溝通過程感到沮喪,他決定將自己的發現張貼在Mark Zuckerberg的訊息牆上,這引起了他們的注意。他們修正了那個漏洞,但因為他並未依照適當程序進行舉報,他並未獲得通常提供給這類發現的獎金。幸運的是,一群駭客十分關注Khalil的遭遇。事實上,他們募集了超過13,000美元獎勵他的發現。這在科技界引起重要討論,關於如何藉由獎勵使駭客做正確的事。但我認為其中蘊含更深刻的意義。即使駭客創辦的公司,例如facebook,當涉及駭客問題時,仍存在複雜的考量。因此對於更保守的公司將需要時間和適應力,以接受駭客文化及隨之而來的創造性混亂狀態。但我認為這些努力是值得的。因為相反地,盲目打擊所有駭客相當於抵抗你無法控制的力量,並付出扼殺創新及管制知識的代價,這將導致嚴重後果。

    展開英文



  • 更重要的是,如果我們打擊那些願意為了網路自由等理想、置個人自由於風險中的駭客,尤其是在當今這個時代,政府與公司為了掌控網路而戰。令我驚訝的是,某個來自網路空間陰暗角落的人能成為反對的聲音,甚至網路最後一道防線。也許某人,就像匿名者國際駭客行動領導組織。如今這個國際駭客組織已不需多做介紹,但六年前他們不過是網路上的次文化,致力於分享搞笑貓咪的無聊照片及網路惡搞活動。他們的轉型是在2008年初,當時山達基教會試圖從某些網站上移除遭洩露的影片,匿名者就此成立,由一群看似隨機聚集的網民組成。事實證明,網路不喜歡你試圖從上面刪除東西,它會以網路攻擊作為回應,以及精心設計的惡作劇和一系列有組織的抗議,在全球範圍內進行,從我的故鄉特拉維夫到澳洲阿德雷得。這證明了匿名者和這個想法能從鍵盤到街頭,將大眾團結起來,它為未來許多行動奠定了基礎,對抗網內及網外世界的不公正。從那時起,他們為了許多目標而努力。他們揭發貪污與暴力,他們對教宗及政客發動網路攻擊,我認為他們的影響遠大於使網路癱瘓的阻斷服務攻擊或洩露敏感資料。我認為,如同羅賓漢,他們所做的是重新分配,但他們的目標並非你的錢,並非你的資料,而是你的關注。他們將人們的目光聚焦於他們關注的議題,強迫我們注意,作用就像全球放大鏡,針對那些我們不曾注意、但也許應該注意的問題。他們有許多稱謂,從罪犯到恐怖分子,我無法為他們非法的方式辯護,但他們為之奮鬥的理念對所有人來說都相當重要。事實上,除了進行入侵,駭客能做的事還有很多,他們能使人們團結起來。

    如果網路不喜歡你嘗試從上面刪除東西,只要試著關閉網路,看看會發生什麼事。2011年1月埃及就發生了這樣的事。總統胡斯尼.穆巴拉克採取一項不顧一切的行動,以制止開羅街頭日益茁壯的革命行動。他派出他的私人部隊前往埃及網路服務供應商,迫使他們在一夜之間切斷整個國家與世界的聯繫。對一個國家的政府來說這是史無前例的做法,對駭客來說,這是針對個人的挑釁。Telecomix group等駭客組織已著手行動,幫助埃及人越過審查,使用聰明的變通方法,例如摩斯電碼和業餘無線電。這成了低階電子技術盛行時期,政府無法阻止。但當網路全面癱瘓時,Telecomix使出殺手鐧。他們找到依然擁有20年前類比撥號接入設施的歐洲服務供應商,他們開通了300條這樣的線路供埃及人使用,提供埃及人速度緩慢但美好的網路連線。這個方法成功了。它運作情況相當良好,事實上甚至有人用它下載《追愛總動員》影集。但埃及的未來仍不確定時,僅僅一年後,敘利亞發生同樣情況。Telecomix已準備好這些網路連線,而匿名者或許是第一個正式譴責敘利亞軍隊行動的國際組織,藉由入侵他們的網站。

    展開英文



  • 但擁有這種力量完全取決於你的立場,因為一個人的英雄對另一個人來說或許是惡棍。敘利亞網軍是一群擁護阿薩德的駭客,他們支持他具有爭議性的政權。過去幾年中,他們拿下幾個引人注目的目標,包括美聯社的推特帳戶,在其上發佈訊息,說歐巴馬總統在針對白宮的攻擊中受傷。當然,這則訊息是捏造的,但導致當天道瓊指數下滑是無庸置疑的事實,很多人損失大量金錢。

    目前這種情形正在全球範圍內發生,從克里米亞半島到拉丁美洲,從歐洲到美國。駭客是一股影響社會、政治及軍事的力量,無論是個人或組織,無論是自願者或軍事衝突的產物,駭客無所不在。他們來自各行各業,包括不同種族、意識形態和性別,他們正塑造世界舞臺。駭客代表推動21世紀改變的卓越力量,這是因為獲取資訊的能力已成為重要的權力貨幣,這是政府希望掌控的力量,試圖藉由設立無限制監控計畫達成的目標。順帶一提,這件事也需要藉由駭客完成,因此過程中存在與駭客愛恨交織的關係,因為將駭客妖魔化的同一群人也廣泛利用駭客。

    兩年前我見到基斯.亞歷山大將軍,當時他是美國國家安全局局長及美國網路電戰部司令。當時他並未穿著四星上將制服,而是穿牛仔褲和T恤。那是在DEF CON會議上,全球最大的駭客會議。或許和我一樣,亞歷山大將軍那天在拉斯維加斯看到的並非12,000名罪犯,我認為他看見了尚未開發的潛力。事實上,他在那裡發佈了一則招聘啟事。「就在這個房間裡,」他說。「有我們國家需要的人才。」坐在後排的駭客回答,「那就停止逮捕我們。」(掌聲)

    展開英文



  • 確實,多年來駭客總是屬於錯誤的一方,但當我們瞭解事實後,誰較關注我們的網路世界?遊戲規則不再清晰,但駭客也許是唯一仍能挑戰濫權的政府及收集資料之公司的力量,在這些團體擅長的領域中反擊。對我來說,這代表希望。

    過去30年駭客做過很多事,但他們也影響過公民自由創新和網路自由,因此我認為現在時機已到。我們應仔細考量該如何看待他們,因為如果我們一直將他們視為壞人,他們如何同時成為英雄?在駭客世界打滾的這些年,讓我意識到駭客的問題及美好之處:他們無法眼睜睜地看著世上的缺陷而置之不理。他們被迫探索或試著改變它,因此他們在這個瞬息萬變的世界中找出缺陷之處。他們使我們、強迫我們修正缺陷,或追尋更美好的事物。我認為我們需要他們這麼做,因為畢竟需要自由的並非資訊,而是我們。

    十分感謝。(掌聲)

    駭入地球!
    展開英文