奇幻熊在網路釣魚為何網際網路如此脆弱駭客如何利用人性竊取機密以及我們如何更安全

＜內容簡介＞

【耶魯大學最受歡迎的網路安全課】
身處當代，我們該備齊哪些科技知識和人文思考，以迎戰資安風暴？
◆ 《出版人週刊》2023年最期待科學書 TOP 10
◆ Amazon編輯選書
◆ 獨立書店FOLYES、Porchlight Book Company當月選書
◆ 臺灣專業人士推薦：
富邦媒體科技總經理 谷元宏
iThome總編輯．臺灣資安大會主席 吳其勳
趨勢科技核心技術部資深協理暨VicOne威脅研究副總裁 張裕敏
國立陽明交通大學科技法律學院院長 陳鋕雄
奧義智慧科技共同創辦人．台灣駭客協會理事．SEMI Taiwan 資安委員會委員 叢培侃

從社交平臺個資外洩，
到俄羅斯駭客干預美國總統大選，
我們每天使用網際網路，
卻對相關知識一無所知。
國際研究報告指出，臺灣為全球受境外假訊息攻擊最嚴重的國家之一，然而，網路安全一躍成為政治核心議題，並非臺灣獨有。
當網路成為近在咫尺的戰場，科技成為民主的敵人，耶魯教授史考特・夏皮羅指出，網路安全已是全民必修課。
夏皮羅教授首開先例，於耶魯大學法學院開設網路安全課，並在短短數年就成為最受學生歡迎的課程。成為知名法學專家之前，他曾是趕上 1970 年代個人電腦普及化的重度電腦宅——而使他決心重拾電腦專業的，除了近幾年越演越烈的全球網路安全危機，還有眾多在畢業後，於政府機關和科技業任職的學生——有些人成為政治工作者，雖身懷法律專業，卻因不夠了解網路，無力制定並執行能應對資安危機的有效政策；有些人進入科技業，卻常常聽不懂來自矽谷的客戶在說什麼。而社群網站對個資的輕忽態度，也暴露科技業雖站在網路發展的前沿，卻缺乏倫理面向的考量。
他在本書首次分享課程的精華內容，循序分析網路危機的三大重點：
為什麼網路遠比我們以為的更危險？
駭客發動攻擊的模式和動機為何？
個人、企業和國家該如何應對資安攻擊？
本書以深入淺出的生動文字帶領讀者重回五大駭客事件現場，見證被濫用的最新科技技術，並透過資訊、歷史、法律、市場、社會學、心理學等多重面向，揭示安全漏洞為何產生。唯有從駭客角度理解何謂關鍵資訊，才能掌握資安防範先機。


★專家推薦：

◆「透過作者的生花妙筆，解釋史上五個代表性案例涉及的技術及入侵方法。即使對電腦軟體一無所知的讀者，也可輕易掌握資安法制的跨領域重要觀念。在網路科技日趨重要的當代，本書是想了解數位治理讀者的必讀佳作。」──陳鋕雄
◆「作者透過生動活潑的方式，描述複雜的技術名詞，讓一般讀者可以輕鬆的了解網路上發生了什麼，攻擊如何產生，並探討這些事件更高層次的抽象行為準則，這些都可能是影響人類行為的根本原因。在結語作者更從政治、法律及犯罪學的角度，提出了與技術互補的解決方案，為現今的資安問題提出了不同的見解，值得一讀。」──叢培侃
◆「正確理解問題，才能找到真正的解法。面對日益嚴重的資安威脅，只知道駭客故事不足以保護自己，本書作者以其資訊與法律雙專業，精選五個經典駭客攻擊事件，闡述為何網路充滿資安漏洞、駭客如何利用這些漏洞，以及攻擊者的動機，從而讓讀者理解資安本源，擁有自信應對資安威脅。本書既有高度可讀性，又富教育性，是一本市面上很獨特的資安好書，值得推薦給所有人。」──吳其勳
◆「生活在一個隨時聯網的時代，對網路的暗黑面怎能一無所知。作者以實際案例，讓我們認識駭客的世界與運作。」──谷元宏
◆「親身參與過書中所述五個資安事件的研究調查，對於作者將電腦系統、駭客技術、歷史、法律、哲學與心理學相互融合，不論是講述莫里斯蠕蟲歷史故事，探討保加利亞病毒園區與防毒大戰，或是解析名媛芭黎絲．希爾頓手機裸照風波、 分析奇幻熊網軍與希拉蕊電郵門事件，還是逃避考試的大學生引發的物聯網殭屍網路，作者盡可能從各個角度探討事件的本質與來龍去脈，讓非資安領域的讀者也能從其中理解資安事件，令人讚嘆。」──張裕敏


★媒體推薦：

◆ 這本書探討了網路安全漏洞及其對保護資訊安全的影響。夏皮羅風趣幽默，即使是非專業人士也能在他的文字中引起對程式編碼的興趣。──《紐約時報》
◆ 夏皮羅巧妙地融合了兩種「編碼」──軟體和法律。是一本讓非專業讀者也能理解的資訊安全書。──《經濟學人》
◆ 提供了減少網路犯罪、減少網路間諜活動和減輕網路戰爭風險的冷靜建議，關於現在的資安危機，我們需要超越對技術的痴迷，而是關注那些塑造我們生活的背景、以及讓我們容易受攻擊的背後準則。──《華爾街日報》
◆ 夏皮羅活潑的散文描述了駭客複雜的編碼策略，和他們利用漏洞創造出的壯舉，即使對不了解 Python 和 JavaScript 的讀者來說，也很容易理解和著迷。整體而言，這是本對網路空間無政府狀態的迷人觀察。 ──《 出版人周刊》


★目錄：

前言 天才計畫
第一章 網路大蟲：第一起駭客事件莫里斯蠕蟲事件
第二章 烏龜駭掉阿基里斯：法院V.S.無辜的莫里斯，早年過度樂觀的電腦世界
第三章 保加利亞毒窟：保加利亞駭客攻擊全世界，這些人是誰？
第四章 群龍之父：駭客之王「黑暗復仇者」與美國研究員莎拉．戈登的故事
第五章 贏者全拿：從芭黎絲．希爾頓的手機談網路世界的初興
第六章 史努比狗狗洗衣服：16歲的駭客怎麼成功取得希爾頓的手機資料，以及他後來怎麼了
第七章 誤導的秘訣：俄羅斯駭客組織「奇幻熊」如何影響美國大選
第八章 擊殺鏈：「奇幻熊」使用的模式，以及我們如何避免上當
第九章 創世神大戰：大學生屢次擊潰學校網路，原因只是想威脅學校
第十章 烤麵包機大進擊：兩群青少年的殭屍網路對決，以及程式碼公開後的代價
結語 不是所有問題都有解
後記


＜作者簡介＞

史考特．夏皮羅 Scott. J. Shapiro
耶魯大學法學院的法律與哲學教授，同時也是耶魯大學網路安全實驗室創辦人暨主任。哥倫比亞大學哲學學士、博士，耶魯法學院法律博士。著有《合法性》（legality）、《國際主義者》（Internationalists，與烏娜．海瑟威教授合著）。

譯者：劉維人
自由譯者，譯有《暴政》、《心智操控》、《修辭的陷阱》等社科書籍，以及《世界上最完美的物件：鳥蛋》、《集體錯覺》等自然科普。譯作賜教：warren1_liu@hotmail.com

譯者：盧靜
自由譯者，譯有《操弄》、《末日》等社會科學書，以及《遊戲設計的藝術》。喜歡研究文化間的移植和融合。譯作賜教：rutkking@gmail.com。

兩人共同翻譯《末日》、《後疫情效應》、《西方的自殺》、《欲望分子多巴胺》、《民族重建》等書。


★內文試閱：

‧作者序

寫給臺灣讀者──繁體中文版作者序
在如今的「資訊」世界，電腦就像是神話中的「萬能」武器。我們聽說駭客能夠摧毀軍用網路、引爆煉油廠、從化工廠釋放氯氣、癱瘓航空交通管制讓飛機無法升空、刪除銀行系統裡的財務資訊、中斷電網讓全國陷入黑暗，甚至一口氣殺死上千人。專家也警告我們，資訊戰爭（Cyberwar）遲早會來臨。我們無法不讓它發生，只能盡力做好準備。
目前市面上關於「資訊戰爭」的討論紛錯繁雜，但各位最想知道的，或許是網路會在臺灣和中國之間大大小小的衝突中扮演什麼角色。
要回答這個問題，我們應該先釐清一個關鍵區別，就是電腦是戰爭的一部份，還是戰爭中唯一的武器。（這篇序可以說是《奇幻熊在網路釣魚》一書的摘要，各位還會在後面看到更詳細的探討。）
什麼叫電腦是戰爭的一部分？在現代軍隊裡，舉凡火砲陣地、防空火力、無人空中載具（也就是無人機）和飛彈導引系統都是由數位網路在控制；士兵之間也用電子郵件聯絡；各國則依靠社群媒體上進行政治宣傳。在這種戰爭中，主要的武器依然是炸彈、戰車、飛機與步兵等實體手段。網路只不過是輔助。
而在純粹的資訊戰爭中，電腦就是唯一的武器，其攻擊手段包括傳播虛假訊息、發動阻斷服務攻擊、網站置換（deface），以及清空硬碟。資訊武器的功能不是輔助實體武器，因為資訊戰爭中沒有實體武器。比如在二一四到二二二年之間，普丁對烏克蘭的侵略主要是發生在網路上。一連八年，俄羅斯不斷對這個鄰國進行駭客攻擊。直到普丁判斷烏克蘭已經夠脆弱了，才在二二二年二月發動實體入侵。
純粹的資訊戰爭屬於一種低強度衝突，而資訊武器也不像桑格（David Sanger）在《資訊戰爭》（The Perfect Weapon）這本傑作的原文書名中暗示的一樣，是「完美的武器」。因為你很難利用程式漏洞來殺死敵人或占領土地。從軍事層面來看，資訊武器能做的事情很少。炸彈、坦克、飛機和步兵等實體武器才適合用來殺死敵人、取得土地。
但資訊武器和實體武器相比，確實也有一個優勢：它們可以用於刺激和騷擾敵人。只靠網路打不贏戰爭，但要把人惹火綽綽有餘。這也是為什麼政治學家詹姆斯．史考特（James Scott）或說資訊武器是「弱者的武器」。弱國可以利用資訊武器騷擾、誹謗、偷竊和搞破壞，讓實力更強的敵國不堪其擾──最重要的是，這一切都是在祕密中進行，很容易否認。
回到臺灣和中國，我認為雙方的衝突很可能會停留在網路上。由於臺灣是美國的盟友，所以從地緣戰略的角度來看，臺灣和中國其實算得上勢均力敵。而臺海衝突中的政治宣傳、置換政府網站、阻斷服務等網路攻擊，往往都是缺乏明顯戰略優勢時的典型戰術。只有當其中一方認為自己擁有真正的優勢，才會轉而採用實體手段。
倘若中國和臺灣發生更大的軍事衝突，網路無疑也會牽涉其中；不過如前所述，這時候網路的主要用途，將是實體作戰的輔助。只靠網路不太可能實現軍事支配──所幸，目前為止，雙方似乎都沒有準備好進入實體衝突。