零時差攻擊（讀墨電子書）

暗網、黑市、祕密預算⋯⋯ 原該保護人民的國家，正是致命武器的製造者？ 《書單》：年度最重要的一本書！ 從駭客、學者、異議分子、影子經紀人到各國政府高層與外國傭兵 史上首度完整揭發即將引發第三次世界大戰的終極軍火真面目 ★亞馬遜4.6星、Goodreads4.4星高分評價 ★揭開史諾登《永久檔案》沒說完的駭人真相 ★即將由《白宮風雲》製作人改編電視劇 ★《紐約時報》《泰晤士報》《經濟學人雜誌》《出版者週刊》《柯克斯書評》等國際重量媒體驚人好評 ★史蒂文·貝洛文，哥倫比亞大學計算機科學教授、艾歷克斯·斯塔莫斯，史丹佛互聯網天文台主任，前 Facebook 和雅虎安全負責人等網路、資安重量人士有口皆碑 ★收錄資安專家吳其勳（iThome總編輯、台灣資安大會主席）、叢培侃（奧義智慧科技共同創辦人、台灣駭客協會理事）精彩導讀 何榮幸（《報導者》創辦人兼執行長）、吳宗成（臺灣科技大學資訊管理系特聘教授）、沈榮欽（加拿大約克大學副教授）、谷祖惠（臺灣資安大會創辦人）、洪偉淦（趨勢科技台灣暨香港區總經理）、翁浩正／Allen Own（戴夫寇爾 DEVCORE 執行長）、陳浩維（台灣駭客協會理事）、劉致昕（報導者副總編輯）、蔡依橙（陪你看國際新聞創辦人）、顏擇雅（暢銷書《最低的水果摘完之後》作者）──鄭重推薦（按姓氏筆畫排序） 「美國政府正在花大錢跟駭客購買企業、政府組織使用的軟體、硬體中的零時差漏洞，他們會將之變成用於攻擊或監視對手的武器。──這就是《紐約時報》網絡安全記者妮可柏勒斯甫出版新作《零時差攻擊》所探討的道德、政治和經濟困境。」──《華盛頓郵報》 ▍本書特色 1. 全面觸及中國與美國在面對資訊戰爭時不同的應對之道 2. 仔細交代資訊戰爭發展的始末，觸及整個「數位軍火產業鏈」從駭客、中介人、企業與國家一系列由下而上的運作模式。 3. 作者走訪世界各地駭客與軍火商所在處，地理上跨幅從美國、阿根廷、俄羅斯、烏克蘭、台灣、中國、北韓、以色列、伊朗，再遍至歐洲諸國──顯示幾乎沒有國家能在這場零時差戰爭中倖免。 ▍內容簡介 網路安全記者深入「零時差漏洞」交易現場的第一手報導 駭客、巨富、強權，與比核武更致命的終極武器！ 當所有的民生基礎設施都壟罩在戰爭的陰影之下， 這是一場沒有大後方的戰爭，每一個人都無處可逃。 「知識即權力」在資訊時代得到印證， 面對這場祕密失控的軍備競賽，我們該何去何從？ 《紐約時報》資深網路安全記者以緊湊淺白的筆法，解釋駭客與政府高層交易的內幕，希望讓更多人了解這枚正在導向第三次世界大戰的致命炸彈。當高度機密的國安問題與個人隱私產生衝突、俄國政府能跨國操弄烏克蘭選舉、中國政府能任意出入他國國防資料庫、美國失去了壟斷網路軍火的霸主地位──作者試圖探究：隨時隨地可能一觸即發的「零時差攻擊」真的將帶來世界末日嗎？面對如此無所不能的危險武器，有可能透過法律來規範已然失控的交易嗎？ 本書出版後令重量媒體、美國學者、專家、企業資安顧問讚不絕口。《紐約書評》盛讚：「本書作者穿越全球網路武器貿易的地下世界，寫就一部生動而充滿挑釁意味的數位攻擊史！」 ▍關於「零時差漏洞」不可不知的五件事 1. 如何從「軟體漏洞」轉變為「地表最強武器」？ 零時差漏洞即「軟體漏洞」，起初不少駭客樂於義務為谷歌、微軟、甲骨文等大企業從數萬行程式碼中找出漏洞並修補，但當「漏洞」價格節節高升，終於變成由國家掌握的軍火。 2. 在美國，每39秒就發生一次駭客事件。要癱瘓整個國家，只需要1秒。 一個小小漏洞就能針對民生系統發動大規模攻擊。例如俄羅斯曾駭入烏克蘭輸電系統，造成長達六個小時的全國大停電。 3. 當今最「物美價廉」的超級軍火？ 比起傳統轟炸機，零時差漏洞的價格便宜數千倍，於是戰力不敵強國的國家開始購入這種實惠的網路軍火，因為即使是最初階的網路攻擊，也可以對敵方造成嚴重傷害。 4. 8年內市值瘋漲超過600倍，「零時差」是大好市場？ 最初價格為七十五美元的零時差漏洞，在短短八年內漲到五萬美元。於是，資訊天才、影子仲介商、間諜組織都紛紛投入這個下至獨立駭客上至各國政府的軍火產業鏈。 5. 愈進步方便的地區，反而愈不堪一擊？ 當一隻手機就能處理所有工作業務、控制民生設備，意味著只需要利用「零時差漏洞」就操控任何一個人的重要機密。因此網路愈普及、線上作業愈常見的先進數位國家如美國，在零時差漏洞的威脅之下，反而愈是脆弱不堪。 ▍人類必須銘記於心的三次重大網路安全事件 ／闖入選舉系統的俄羅斯駭客／ 俄羅斯駭客曾竊取競選電子郵件、搜尋選民資料，並滲透至烏克蘭的選舉單位刪除相關資料，還在該國的選舉結果報告系統中植入惡意軟體，差一點就引導其宣稱極右派的候選人勝出……選舉安全專家將這項陰謀稱為史上操縱國家選舉最無恥的舉動。而二○一六年的美國總統大選，更徹底證明了民主黨被玩弄於俄羅斯的股掌之間。當美國人因網軍的挑釁而分化，歐巴馬政府深刻意識到俄羅斯政府此舉背後的威脅之意，美國的國家安全已經陷入了空前的危機之中…… ／史無前例的全國大斷電／ 二○一五年十二月二十三日，俄羅斯默默地侵入烏克蘭的發電廠，駭入控制烏克蘭輸電網路的電腦，將斷路器一個接一個關掉，直到成千上萬的烏克蘭人無電可用為止。除此之外，他們還關閉緊急電話線。更狠的是，他們切斷了烏克蘭配送中心的備用電源，迫使作業人員只能在黑暗中摸索…… ／改變世界的「震網」事件／ 被稱為震網的電腦蠕蟲於二○一○年被零星發現，當時它已經透過數量前所未聞的零時差在全球流竄。這種電腦蠕蟲可以不被察覺地從受感染的USB隨身碟散播到電腦上，至於其他的零時差則讓這種蠕蟲緩緩爬過網路，來到更高層的數位行政管理系統，以便它尋找最終目的地：伊朗的納坦茲核電廠（Natanz nuclear plant）。震網將透過遠端遙控的方式，無聲無息地讓伊朗核電廠的離心機失去控制。而等到伊朗的核能科學家發現電腦蠕蟲毀掉他們的離心機時，震網早已經摧毀德黑蘭五分之一的鈾離心機──這將讓伊朗發展核子武器的野心倒退好幾年。 ▍你知道嗎？最容易面臨危機的基礎設施是供水系統 妮可‧柏勒斯認為，是時候回過頭來審視，哪些地方是網路時代中敵人有機可乘的地方，又應該做好那些防禦措施。我們需要對「關鍵基礎設施進行數位化」做出更明智的考量。因為，敵人有可能透過遠端操作，讓水中的化學含量超標。事實上，不只是美國，台灣的自來水供應系統也曾遭駭客入侵。而且遠比想像中容易。 她擔心人們會在大爆炸中醒來。 在訪談中，妮可‧柏勒斯提到，我們並沒有真正意識到「自來水供應數位化」的危險性。「我們總是在相關議題上提到發電廠、核電廠，或是鐵路、空中交通管制，因為我們很難想像駭客竟然還可以入侵飲用水供應系統。 但這才是更可怕的無聲殺手。」 二〇二〇年，在新冠肺炎流行之際，以色列政府首次發布居家防疫的政策。同時，他們發現伊朗駭客已經入侵了他們的自來水處理設施（但什麼都還沒做）。以色列報以襲擊伊朗港口。耐人尋味的是，以色列政府沒有侵入伊朗人的飲用水供應系統──因為這麼做的代價太危險、太致命。如果雙方真的有人在對方供水系統上動手腳，在疫情期間，醫院人數暴增……這將是一場噩夢。然而這已經是警訊，提醒我們：現在是時候真正重新評估這些系統的安全性了。 ▍末日是如何降臨的？ ──「零時差漏洞」與其他重大網路攻擊事件大事紀 一九六〇年代：以軍事為目的的網路科技前身問世。 一九六七年：駭客威利斯‧威爾（Willis H. Ware）寫就「威爾報告」明確指出現代電腦系統中有諸多漏洞，可能導致機密資訊外洩或遭間諜活動利用，並未引起關注。 一九八七年：第一起大規模電腦病毒「莫里斯蠕蟲」造成上千萬美元損失。 二〇〇九年：多次協助谷歌等私人企業系統修補漏洞的白帽駭客查理‧米勒（Charlie Miller）因谷歌背地中傷，公開表示「不會再提供免費的程式錯誤」給供應商，加速零時差漏洞地下交易網成形。 二〇〇九年：中國駭客集團發起「極光行動」攻破谷歌嚴密的安全系統，間接迫使谷歌退出中國。 二〇一〇年：美國與以色列攻擊伊朗核能設備而引發震驚世界的「震網事件」，國際間的數位戰爭已成大勢。 二〇一四年：北韓駭客入侵索尼影業，公布員工信箱、薪資，引起世界關注。 二〇一五年：國際駭客傭兵深入美國高層，美國第一夫人蜜雪兒的電子郵件資料外洩。 二〇一五年：俄羅斯駭入烏克蘭輸電系統，在寒冬中造成六個小時斷電。 二〇一六年：俄羅斯以網路攻擊干預美國大選，同年美國國安局軍械庫遭入侵。 二〇一七年：Notpetya勒索軟體攻擊全世界，造成美國全國總計逾百億美元損失。 二○一七年：北韓駭客發動規模史無前例的「想哭病毒」攻擊，災情橫跨英國、俄羅斯、德國、法國、印度多家航空公司、中國、西班牙、日本、台灣、韓國、中國、美國……全都被挾持勒索贖金。 二○二○年：舊金山國際機場旅客和員工使用的網路入口遭到俄羅斯駭客挾持，使用者的 Windows登錄密碼全面遭竊，印證了網路時代處處是戰場的預言。 作者簡介 妮可·柏勒斯Nicole Perlroth 《紐約時報》網路安全線10年資深記者 美國財經編輯與記者協會頒發的最佳科技報導獎得主 現任《紐約時報》資深網路安全記者，曾獲美國財經編輯與記者協會頒發最佳科技報導獎。於普林斯頓大學從事政治與近東研究，並於史丹福大學取得新聞學碩士學位。目前亦是史丹福大學商學院的客座講師。 柏勒斯曾為《富比士》雜誌撰稿，二〇一一年加入《紐約時報》負責網路安全線，已致力深耕此領域超過十年，曾深度報導俄羅斯對美國核電廠、機場和選舉的網路攻擊，朝鮮對索尼影業、銀行和醫院的網路攻擊，伊朗對石油公司、銀行和美國總統選舉期間的攻擊以及數百起中國網路攻擊事件。 本書的追蹤報導可說從史諾登事件開始。二〇一〇年起，柏勒斯開始負責追蹤俄羅斯、北韓、伊朗以及中國的網路攻擊事件。二〇一三年，《衛報》記者接獲史諾登洩密的第一手資料，為躲開英國情報機關的監視，將之送至《紐約時報》總部要求協同報導。作者與該雜誌團隊在一座密閉儲藏室中待了六個星期，鑽研外洩的國家安全局機密檔案，其後鍥而不捨持續追蹤這個足以引發世界末日的駭人武器交易市場，前後逾七年，終於完成《零時差攻擊》。 網路安全是一個以高專業門檻、充斥複雜術語聞名的領域，柏勒斯擅長以清晰、簡明的方式帶領讀者一窺這個重要而神祕的領域。美國知名媒體如公共廣播電視公司、MSNBC曾數次邀請她上節目，針對網路安全議題為民眾提供專業觀點。索尼預計翻拍她二〇一四年撰寫關於數位獨立調查員布萊恩·克雷布斯（Brian Krebs）的人物傳記文章。二〇一六年，她寫下中國駭客與美國中小企業、矽谷工程師諜對諜的精采過程，也受到影視製作人青睞。本書出版後，獲邀至專門分析國際事務的節目《Amanpour and Company》接受深度專訪。FX電視台已經搶下影視改編版權，將由《白宮風雲》電視製作人湯馬斯·史蘭擔綱製作，柏勒斯亦將親身參與製作。 譯者簡介 李斯毅 （翻譯前言至第十六章） 臺灣大學新聞研究所碩士，美國波士頓大學企業管理碩士及財經法學碩士，具臺灣證券分析師（CSIA）資格。喜愛閱讀，關心弱勢，譯有《印度之旅》、《判決》、《等星星發亮的男孩》、《對不起，我不正常》等。人生路上處處有貴人相助，充滿感激。未來會繼續努力。 張靖之 （翻譯第十七章至第二十三章） 本名張紫蘭，台灣大學學士畢業，主修中文，輔修人類學，英國劍橋大學漢學碩士。曾任職於媒體、出版業，現為自由譯者。近期譯作有《氣候緊急時代來了》、《動物界的大旅行家》、《馬格蘭的街拍智慧》、《艾力克．克萊普頓自傳》、《如何避免氣候災難》等。賜教信箱：violea@gmail.com