零日電影筆記


世界大戰「3.0」必須認識的紀錄片

【電影】


這是一部紀錄片,整理報導新型的惡意程式──STUXnet。它曾經由美國與以色列釋出,目的在於摧毀伊朗核能發展的關鍵實驗室,它完成任務,但同時,它也擴散到世界各地。紀錄片預告》

紀錄片由Alex Gibney策劃,整理報導一則網路攻擊事件,敘事脈絡掌握人、事、時、地、物,盡其所能揭露事件真相。受訪的資訊安全專家,來自賽門鐵克、卡巴斯基實驗室,我們以個人角度聽聞過的「防毒軟體」公司,資深工程師解釋STUXnet這個惡意程式是什麼東西,以及可以造成什麼結果。進一步發現,恐怕不是網上盜刷人家信用卡的「小case」,STUXnet,技術高超並且精準打擊,仰賴國家資源才有辦法研發,跨國合作才能執行,這些麵包屑線索引出另一個方向,它是政治的秘密行動。
事情不再只是資訊安全的領域,進入國際政治的範圍,近代伊朗的核能發展,國際列強怎麼看待,準確的說,美國和以色列怎麼看待。紀錄片中的受訪者,也從資安領域,延伸至國防、外交、情報、軍法,以及新聞界…等重量級人士,最為關鍵人物乃是銜命執行惡意程式研發計畫的參與者,在美國網路司令部(United States Cyber Command, USCyberCom)上班的一名員工現身說法,說明了整件事情的原貌,它是一種新型態的戰爭,與你我的生活息息相關。


【雨木隨筆】


世界變了,每個人都在說世界變了,'Zero Days'的內容給予像我這樣的普通百姓一種動機,驅使我想要告訴你,世界怎麼樣的變了,而且,「知道一下」比較好。在此之前,容我先概略介紹一段歷史。

上世紀40年代,伊朗仍由沙王統治,穆罕默德禮薩巴勒維(محمد رضا شاه پهلوی)所謂的伊朗末代沙王開始他的統領時代。巴勒維受過西方高等教育,英文、法文都說得流利,推動伊朗的現代化,尤其發展核能,在當時獲得西方列強的支持,不過,1979年伊斯蘭革命,推翻將近40年的沙王政權,也改變了政體──伊朗開始有政府,像學步的孩子,頭兩步總是搖搖晃晃,西方列強支持伊朗發展核能,態度轉為保守,提供設備但不移轉技術,其中美國的態度更是堅定,連非攻擊性的核能技術(例如核能發電),派人遊說國際各方核能供應者,「面對伊朗,請將雙手交叉回胸前」,這樣的態度持續至上世紀90年代。美國不知道的是,巴基斯坦在這段期間把許多核能技術轉移給伊朗。以至於進入21世紀,伊朗已經有能力製造核子武器。

核子武器的恐怖程度,歷史上已經存在血淋淋的例子,如果問我該如何描述,我會說,人與人吵架的時候,有的人咆哮,似乎沒什麼大不了的,但是,如果有一種咆哮,一旦大叫,所有人都會耳聾,而且後代也會變成聽障,無意間路過的人也一樣,那就不是開玩笑了,核子武器就有這種威力,以及後果。於是,世界列強特別關切伊朗的核子武器到底發展到什麼程度,而美國一如往常的覺得應該要做一些事情,但是,小布希(George Walker Bush)時任美國總統,他對伊拉克採取的軍事行動,落得灰頭土臉,他的閣員也表示,伊朗已有能力製造核武,縱使名正言順,實在沒有辦法對中東地區的其他國家,公開宣戰。

同一期間,以色列的想法不一樣,「住在巷口的鄰居天天在磨刀,尖銳的聲音幾乎就在耳邊,這叫人怎麼過日子?」著急的盟友這樣表態,美國該怎麼辦?發展至此,也許你想到了?

秘密行動可以有效達到政治意圖,而且可以淡化落人口實的干涉色彩,甚至不留痕跡。有沒有一種秘密行動?它可以破壞伊朗的核能研發設備,幸運的話,甚至誤導實驗室內部反省是否本身操作不當,使得從頭到腳看起來一點也不像外來的破壞,一點都不著痕跡。仰賴科技,人類已經有能力做到這樣的事情,它就是網路。

在此之前,我們多半疑惑,透過網路攻擊,難道沒有限制?家裡的電風扇無法連網,它怎麼可能遭人透過網路破壞?在以前,這的確是不可能的事情,現如今,我們的觀念該改變了。

回到小布希的白宮戰情室,「總統先生,我們有一個辦法值得嘗試,但也有很高的風險。」意圖破壞的設備被隔離,整座目標實驗室也斷絕外部連結,然而,東西都是電腦控制的,總然網路被切斷,但是人與人的關係無法斬斷,像是mission impossible的電影情節一樣,經由間諜滲透至內部,插上小小USB隨身碟、記憶卡…等等任何我們熟悉的小東西。其中已經「訓練有素」的惡意程式就會自動自發的開始做事,不用按enter,也不用下載上傳任何東西,只要內部一接觸,就等著好消息傳來。當然,如此神兵利器沒辦法上網找一找就有,滿額還包郵免運,不是這樣的!它需要昂貴的國家資源支持,也需要總統層級同意。前美國總統小布希就在那麼一念之間做出決定,紀錄片提到的惡意程式STUXnet開始研發,美國網路司令部得到授權執行攻擊。

賽門鐵克的資深工程師,每天在電腦前處理上百件的網路惡意攻擊,他怎麼可能知道白宮戰情室曾經有過什麼樣的決策。這個惡意程式偷開電子信箱,那個惡意程式盜刷信用卡,資深工程師就是上他的班,處理這些他很「眼熟」的網路事件。但是,他發現STUXnet,他嚇壞了。總部位在莫斯科的卡巴斯基實驗室,資安工程師也發現了,他在紀錄片裡說到:「我們最不希望看見的,居然發生了。」

他們沒見過任何一個惡意程式如此精工,STUXnet語法乾淨明確,毫無bug,自行衍生擴散,沒有國家資源是不可能寫出來的程式。它所採取的攻擊就是零時差(Zero-Day),如果被設定為關閉發電廠,只要讓它「碰到」發電廠,它自己就去做了,無法防護,無法「更新補丁」。由工程師的世界轉到我的世界,我會說STUXnet像是一個致命情人一旦接觸,他的能力使你喪失所有東西,他的魔力使你以為自己不小心。

伊朗核能實驗室的技術人員,看見離心機轉速異常,就像家裡的電風扇怎麼不轉了,怎麼自己又開始發瘋似的狂轉,於是,關鍵設備全毀,還被檢討為不當操作而被開除。果真與計畫一樣,不著痕跡。歷史悠久的波斯人,此一時吃了一記悶棍,彼一時釐清真相,更多年輕新血加入網路技術研發,反擊美國,也是爾後我們閱讀的新聞,Bank of America、Wells Fargo受到惡意程式攻擊,也等於對當年的一記悶棍以一則訊息回應:「你們能做到的事情,我們也可以。」

有鑑於整個事件,美國人開始嘗試公開討論這項秘密行動,所謂的網路武器,它的後果,不亞於數十年前的核子武器。我們生活中各項基礎建設屬於工業控制,管線、機台、廠房,建造時包含防水、抗震的考量,但是並沒有防護網路攻擊的概念。這個發展沿革如同走路可以到得了的地方,不見得會想到搭車,當地方不再只是走路到得了,就會想到搭車。如果基礎建設遭到網路武器攻擊,戰爭不再是我們以為的槍炮彈藥,炸毀某個目標物,而是癱瘓控制系統,全面斷水、斷電,只消24小時,想像我們的生活會變成什麼樣子?網路武器,應該在當代廣泛討論,能否妥善處理也許言之過早,但是,普遍讓人們認識它,清楚它,便會在人類社會裡產生知識力量,起正面作用,也是這部紀錄片格外重要的意義。


延伸


一段延伸思考,給透過任何因緣際會閱讀到本文的讀者。認識網路武器不限於紀錄片中的專業人士、政府高層,我們的身分也許只是普通百姓,依然擁有知的權力,以至於掌握權益。而且,我們還可以從中延伸思考,舉凡人做得到的,其後果也是料得到的。如果有幾樣東西放在面前,都已經是我們有能力做到的,請設想後果,設想是否一定要做到某種劇烈程度才算是滿意。世事總存在狠與殘之間的釐米,如果必須暴力,該不該做到致殘?如果必須圖利,該不該做到無良?如果必須示好,是否考量尊重?我的例子明顯沒有衛道色彩,延伸思考也已經昭然若揭,很多專業事務的核心價值,終究是道德判斷,有如狂狷人生,進取與有所不為,它往往是我們深陷泥沼之時,容易被忽略,卻最容易感到後悔的忽略。要不要把事情做到那樣程度,值得我們多加琢磨。


原文發表於【雨木觀後感】,歡迎。

如果喜歡我們的文章,請即分享到︰