|
▼
序 言
序 言
crime@21century.com
人類不斷追求便利和經濟成長,我們已在非常短的時間之內,進展到過分依賴網路系統的危險境界:不到二十年之內,大多數國家極大部分的所謂「重大國家基礎建設」(critical national infrastructure, CNI)已在愈來愈複雜的電腦系統控制之下。
電腦主導我們大部分的生活,它規範了我們的通訊、我們的汽車、我們與企業及國家的互動、我們的工作、我們的休閒、我們的一切。我近年來旁聽許多網路犯罪的法庭偵審,有一次聽到英國的檢察總署(Crown Prosecution Service)要求在某個駭客出獄之後對其課以所謂的「防制犯罪令」(Prevention of Crime Order)。依據這道禁令,除了每星期一個小時在警官監督之下,他不得使用網際網路。被告的辯護律師在聽證會上表示:「等到我的當事人服完刑期,天底下恐怕已經沒有哪一件人類的活動,不透過網際網路來處理。」他追問:「那我的當事人如何在那種情境下過正常生活呢?」
的確如此。有些人出門短短幾個小時忘了帶手機,通常就會產生強烈的煩躁或失落感,至於更依賴手機的使用者,情況恐怕就更糟了。有趣的是,三天以上不讓人們使用手機,這種不安感經常會變為解脫感,因為他又回到不久之前的世界,當時我們沒有手機、也不需要手機,不也照常過日子?今天,絕大多數人卻覺得沒有了這些迷你隨身電腦,便很難活下去。
或許最接近電腦的狀況,就是汽車。汽車於一九四○年代起成為歐美家庭標準配備,可是只有少數駕駛人真正了解引擎蓋底下的機械原理。即使如此,仍有少數人不論是什麼原因造成汽車拋錨,都還懂得修車;更多人可以搞搞化油器,勉強回家;絕大多數人只曉得在輪胎爆胎後更換輪胎。
今天,如果只是爆胎,你大概還可以抵達目的地。但是,汽車拋錨的原因愈來愈多是出自於控制箱——通常位於引擎後頭的一個黑色塑膠箱——內的電腦故障所致。如果是控制箱出問題,即使你是個經驗豐富的坦克車機械師,你也無法讓汽車啟動。如果你夠幸運,電腦工程師可以幫你修好。但絕大多數的狀況下,你必須更換整組控制箱。
電腦系統比起內燃機引擎更複雜、更脆弱,只有非常少數的一撮人懂得如何搞定它。
我們現在面臨一種狀況:只有極少數人(他們自稱「怪咖」、 「技客」、「駭客」、「密碼客」、「安全官僚」等等)對於愈來愈密切、廣泛主導我們日常生活的技術有深切的了解,而我們絕大多數人的了解程度幾近於零。我在研究調查我前一本有關全球組織犯罪的著作《黑道無國界》(McMafia: Crime Without Frontiers)期間,首次了解到這裡頭的重大意義。我前往巴西調查網路犯罪,因為這個有趣的國家雖有許多正面特質,卻是網路世界犯罪的淵藪,只不過當時並沒有太多人明白這一點。
我在巴西遇見網路大盜,他們設計了非常成功的釣魚騙術(phishing scam)。釣魚騙術仍是網路犯罪的最大支柱,分為兩種,第一種是受害人打開一封垃圾電子郵件,它的附件可能藏著病毒,世界某個角落的一部電腦可藉由它監視受害人電腦的一切活動,包括輸入你的銀行通關密碼。第二種花招是設計一封似乎來自銀行或其他機關的電子郵件,要求確認連線及密碼的詳細內容。如果收信人上了當,則垃圾郵件發信人(spammer)可以利用它們進出你的一部分或全部網路帳戶。巴西駭客一步一步展示給我看,他們如何從巴西、西班牙、葡萄牙、英國和美國的銀行帳戶竊取數千萬美元。
我又到巴西里亞拜會網路警察,他們破獲這個犯罪集團的四名成員(不過仍有至少兩倍以上的成員,警方一直沒追查到);我又訪問了美國電腦安全公司ISS的祕密作業部門X Force的主管。大約一個星期左右,我就發覺傳統的組織犯罪雖然多彩多姿,但所承擔的風險其實遠比網路犯罪的歹徒來得多。
老式的組織犯罪團體,依賴二十世紀的技術和手段,若要駿業宏發,需要克服兩道艱鉅障礙。警方是他們做生意最大的風險。執法機關的效率因地、因時而異,組織犯罪團體必須針對各種狀況來應變調整,從對付執法單位的許多方法中找出一個可行的方法。他們可以和警方鬥智、鬥力;他們可以設法收買、腐化警方;他們也可以收買有權管轄警察的政客。
他們的第二個問題是競爭對手所構成的威脅,其他歹徒也在同一海域伺機獵捕對象。當然,他們還是可以和對手鬥智、鬥力;也可以提議結盟;或乾脆同意被對方兼併。
然而,不論是承擔風險或是失敗,有時甚至可能喪命,黑道團體都可以置之不理。得以生存、能夠發財的關鍵是要有能力與黑道同業及警方溝通,意即要能對黑、白兩道傳遞出正確的訊息。
我在巴西很快就發覺到,二十一世紀的犯罪風貌完全不同。
最重要的是,非常難以在網路上找到誰在做壞事。各國管理網際網路的法令非常懸殊。這一點之所以重要是因為,一般而言,網路歹徒是從甲國的「網際網路協議」(Internet Protocol,IP)侵入位於乙國的個人或公司,然後在丙國被查覺(或兌取利得)。例如,哥倫比亞警察或許能夠查到指揮攻擊哥倫比亞某銀行的IP位址位於哈薩克。可是,接下來他發現,在哈薩克並不認為這個行為是犯罪,因此他在哈薩克首都的同業沒有理由展開偵查。
許多網路歹徒有智慧研究及利用這種差異。瑞典有個最成功的「信用卡大盜」(carder,以下簡稱卡盜)告訴我:「我絕不碰美國的信用卡或金融卡。因為只要我活在地球上,都在美國法律管轄追訴之下。因此,我只碰歐洲和加拿大的信用卡,我對此是既快樂又安全——他們絕不會抓到我。」
將美國和歐洲、加拿大區分開來,事關重大,這些國家是網路犯罪受害人居住最密集的地區。後者有相當強大的法律保護網路上個人的自由和權利。美國歷屆政府賦與執法機關的權力大過多數歐洲政府所授與的權力,允許警察以打擊恐怖主義及掃黑的名義,更方便取得民間公司的資料。
這裡頭的影響非常深遠,目前還無法探測全貌。對於犯罪、監視、隱私權、民間及國家機關蒐集資料、言論自由(如維基解密〔WikiLeaks〕的例子)、出入網站的方便性(所謂網路中立之辯)、社群網路做為政治工具、國家安全利益之關切,這些通通都在網路世界經常地相互碰撞。
譬如,你或許會說,谷歌(Google)的多平台、多功能鋪天蓋地、無所不在,違反美國反托拉斯法(anti- trust legislation)的原則,它積累了那麼多的個人資料不僅給予歹徒機會,也威脅到人民自由。可是,谷歌可能會反駁說,它的特點及成功的精髓就在於它的多平台、多功能鋪天蓋地、無所不在;而且它們促進了美國的商業及安全利益。美國政府如果有心,可以採取法律程序在幾小時之內取得谷歌的資料,而且由於谷歌從全世界各地蒐集資料,這使華府居於極大的戰略優勢。其他政府應該覺得很幸運,美國可不像中國、俄羅斯或中東國家,不需要駭入谷歌去研究其中機密,只需要申請法院批准即可。你會因為堅持反托拉斯法,就放棄這個方便的事嗎?
網際網路是一個大泡沫理論——你才解決了一個影響到它的問題,另一個似乎更頑強的問題,又在某個地方冒出來。
令所有的執法機關最頭痛的問題就是匿名。就目前而言,任何人都可能具備相當的知識,有十足把握來隱藏一部電腦的所在位置。
隱藏電腦的所在位置有兩種主要方法,第一種是網路門牆,叫做「虛擬私人網路」(Virtual Private Network,VPN),一組電腦可以共用一個IP位址。通常一個IP位址只和一部電腦有關,但是有了虛擬私人網路,散處全世界各地的好幾部電腦可以顯得似乎位於同一個地方,例如波札納(Botswana)。
不滿意只運用虛擬私人網路保護的人,也可以運用所謂的「代理伺服器」(proxy server)建立第二種網路門牆。位於塞席爾(Seychelles)的一部電腦可以運用位於中國或瓜地馬拉(Guatemala)的代理伺服器。代理伺服器不會暴露原始的IP是由塞席爾來發訊,而且這部電腦有可能是位於格林蘭(Greenland)的虛擬私人網路。
要建立這一道門牆需要高深的電腦技能,因此這套技術往往是涉及網路犯罪的兩種人馬——實際的駭客和實際的歹徒所使用。但是這些玩新型態嚴重組織犯罪的高端作手,只是涉及電腦犯罪者當中的一小撮人。
由於執法機關的資源有限,那些單槍匹馬只偷些小錢玩玩的小咖,形同小賊,不值得追究。即使這些小咖不去費神建立虛擬私人網路、代理伺服器和各種形形色色的匿蹤裝置,僅只把通訊加密也足以使警方難以窺其機密。
保證能把你的書寫(甚至語言和影象)通訊「加密」(encryption)的軟體,在網路上免費就能唾手可得,最著名的一個網站PGP,就是「頂讚私密」(Pretty Good Privacy)的縮寫代號。
加密是一種有力的工具,在網路安全上扮演重要角色。它利用數位產生的鑰匙(Key)把文字混成一團,它的排列組合方式有如天文數字之多,唯有掌握通關密碼才能破解它們。到目前為止,加密文件還相當安全,不過全世界最強大的數位間諜機關——美國的「國家安全局」(National Security Agency, NSA)一直在研究破解之道。全世界早已盛傳網路犯罪,美國的國家安全局和加拿大、英國、澳洲、紐西蘭等國的情報機關夥伴,利用一套歐威爾式(Orwellian)的「梯隊」(Echelon)系統,已有能力破解這些公開的加密系統。據說,「梯隊」系統可以監視全世界任何地方的電話、電子郵件和衛星通訊。
數位加密的政治影響極其之大,美國政府在一九九○年代開始把加密軟體歸類為「軍火」(munition);而在俄羅斯,如果警察和特務機關KGB(即「國家安全委員會」)在你的電腦裡發現加密文件,即使這份文件只是你採購家用品的清單,你也可能吃上好幾年牢飯。由於政府和企業蒐集公民及客戶的許多私人資訊,加密是個人能夠保有私密的唯一防衛工具。對於涉及網路犯罪的歹徒而言,這也是價值不凡的工具。
傳統的歹徒必須設計一套方法互相溝通,以辨識敵我、警察或對手,網路歹徒也面臨永恆的挑戰,必須搞清楚在網路上交談的對象是不是同道。本書有相當篇幅談他們如何設計辨識方式,以及全世界警方如何企圖對抗駭客識破警探以及所謂的網路「機密線民」(Confidential Informant, CI)。
一九九○年代期間,防止不速之客窺伺犯罪活動最簡單的方法,即是成立專門討論網路犯罪的網站,建立嚴格的檢查和會員制度。即使有這些保防措施,美國的祕密勤務局(US Secret Service)等執法機關,和俄國KGB的後繼者FSB(聯邦安全局)等情報機關,早已滲透進網站,耐心地化裝為歹徒,蒐集資料或者說服線民替他們工作。
有些情治人員的表現不凡,以致不知情的其他執法機關把他們當做真正的歹徒,費盡心力追查這些臥底幹員。
由於這些努力,警方和情治機關在過去十年建立龐大的犯罪駭客資料庫,掌握他們的代號、他們的實際或假設位置、他們的活動型態,以及他們最頻繁的通訊對象。最低階層的網路歹徒其資料也被充分掌捏。可是儘管有這麼多資訊,還是非常難以起訴網路犯罪。
網路的特性,尤其是它的互聯性,為執法機關帶來極大的麻煩:沒有人有百分之百的把握,清楚他們是和誰在網路上交談。你是在和一般的犯罪駭客交談嗎?你正在和某位背後有極大靠山的人交手嗎?你是和歹徒交談、還是和搗蛋鬼交談?或甚至是和一位評估歹徒駭客技術的軍方研究人員交談?你在監視你的交談對象,還是他反過來在監視你?他是為自己賺錢?還是替「基地組織」(al-Qaeda)效勞?
未來學家布魯諾‧季沙尼(Bruno Guissani)說:「這好像是七度空間的棋賽,你根本不知道你的對手是誰。」
* * *
抵達加州山景市(Mountain View)谷歌總部當然和首次目睹印度泰姬瑪哈陵(Taj Mahal)的感受不一樣,但是我把車子停在查爾斯敦道,這家代表後工業時代最大奇蹟的公司的彩色招牌之前,仍有一股敬畏之感。 谷歌融入我們意識的速度是史無前例的,宛如施打或高或低的麻醉劑。堪可與谷歌比擬的就是數位家庭中的巨獸,例如臉書(Facebook)、微軟(Microsoft)和亞馬遜(Amazon)。但即使這三家公司也未必能誇口自己的貢獻能媲美谷歌,谷歌能夠協助、主導和監視我們的生活,以它深邃的伺服器送出無窮大的我們所要的資訊字元,同時吞進並儲存數十億人個別和集體的資料檔案。這些資料當然揭露了比我們自己所知更多的個人訊息。我們不免不寒而慄,如果這些資訊落到不該當的人手中會是什麼樣的下場?會不會其實早已……
谷歌的「校園」裡到處可見和它企業標誌相同的愉快粉筆色彩。他們經常使用輕柔的曲線來標示散布於園區的大型物件。雕塑品設計成可坐、可觀賞、可把玩,因此園區有如巨型幼稚園。難道是我多心嗎?怎麼我看到的每個人,從清潔工到高階經理人都面帶恍神般的笑容?我不免強化對谷歌本質的偏執解讀,認為他們全都拚命表現自己並非邪魔歪道。我不能評量這究竟是美夢或是夢魘。
見到谷歌的「信任及安全經理」雷可瑞(Corey Louie)時,我立刻鬆了一口氣。一般的保安人員不論是替誰工作,神情總是一本正經、神祕兮兮,他卻是笑容可掬。雷可瑞是個塊頭不高的亞裔美國人,三十來歲。他並沒在矽谷練就網路功夫,而是出身更需精淬鍛鍊的美國祕密勤務局。他在我登門拜訪之前兩年半,即二○○六年底被谷歌延攬。雷可瑞離開執法機關公職時,是秘勤局電子犯罪組組長。他對網路遭受攻擊(所謂侵入或闖入)、信用卡詐欺、無所不在的「分散式阻絕服務」攻擊(Distributed Denial of Service, DDoS,能夠癱瘓網站或網路)以及進入二十一世紀之後就如下水道老鼠到處蔓延的惡意軟體,無不精通。他對最為司空見慣的網路犯罪「卡盜」(carding),了解也十分透徹。所謂卡盜即是買、賣偷竊或駭來的信用卡資料的行為,數十萬份資料在全球各地交易,然後用來盜刷購物或在自動櫃員機提款。
谷歌對於雷可瑞這樣具有戰略價值的資產怎能不動心?當然動心。雷可瑞又怎麼能抗拒得了跳槽到谷歌這樣具有戰略價值的公司?何況華府夏季濕熱、冬季寒冷,每年櫻花只有一星期的綻放花期,又怎能比得上美國太平洋沿岸溫暖和煦的氣候;在華府必須正經八百穿西裝、打領帶,在西岸卻可隨興穿著便服上下班;谷歌不但薪水高,工作又有成就感,豈是政府公職可比得上的。
從舊金山沿一○一號高速公路開車南下,谷歌不是唯一的網路巨人——昇陽(Sun Microsystems)、雅虎(Yahoo!)和麥卡菲(McAfee)都出現在你眼前。你拜訪愈多家公司討論網路安全,你愈會碰上來自聯邦調查局、祕密勤務局、中央情報局、聯邦緝毒局(Drug Enforcement Administration, DEA)和聯邦郵政總局檢查處(US Postal Inspection Service)的退職幹員。許多網路玩家和探員紛紛拋下華府,搬到矽谷享受人生,就好像演員無法抵擋好萊塢殷殷召喚的誘惑一般。
人才從政府機關出走投效民間企業,對政府造成極大不利。財政部花大筆資金培訓網路調查員,他們稍有幾年經驗就跳槽求去。不過,投資不見得完全虛耗,因為公民部門因而產生強大的聯結關係。在白宮眼裡,谷歌其實不能算是純粹的民間企業;它是國家的戰略資產。來自華府的訊息很清晰——攻擊谷歌,等於攻擊美國。在這樣的脈絡下,像雷可瑞這樣的人拿起電話向祕勤局的老同事提醒,好像有人在攻擊gmail哦,公部門與民間確保網路安全的合作十分順遂。
我和雷可瑞談話即將結束前,他告訴我他有位警界朋友,花了不少時間與駭客交朋友。此人十分成功,竟然被委付管理一個大型犯罪網站的工作。雷可瑞說:「他或許樂意和你談談。他主持的網站叫做『黑暗市場』(DarkMarket)。」這是我第一次聽說這個網站,以及主持它的聯邦調查局探員基斯‧穆拉斯基(Keith J. Mularski)的大名。從此,我踏上了一條奇異的旅程。
我開始盡可能會見、採訪散布在十多個國家的「黑暗市場」史上的許多要角:小偷、警察、雙面間諜、律師、駭客、犯罪駭客(cracker,即criminal hacker)和更平凡的歹徒。我也研究和「黑市」有關,以及涉入其活動的人士的許多法院文件。前任和現任網路歹徒和警官提供給我其他文件和資訊。我一直未能取得這個網站的完整檔案,但設法蒐集到極大部分的檔案。穆拉斯基擁有「黑暗市場」幾近完整的檔案,他是我所見到唯一能看到全部文件的人。
除了這些隱晦難懂的檔案之外,有些文件雖有幫助卻不正確;尤其是檢方在許多庭審中所提出的材料。依我的評斷,不正確並不是疏忽或辯護的結果,也不是蓄意的。它反映的是網路犯罪偵審的證物帶有非常高的技術性質,經常讓人搞不清楚。法官和檢察官首度碰上網路犯罪,已經十分努力試圖了解此一特殊文化。
因此,本書故事的核心涉及了當事人及其行為。當然,本書的說法大體上是根據他們個人對十來年前事件的記憶。回憶一定有許多缺失,而且所有的當事人也各有自己的打算,可能誇大他們在「黑暗市場」活動中的某些角色,並且隱藏其他部分。網際網路上的通訊本來就有重覆性,而且網路文化也不只局限在說謊和散布消息。
受訪者說謊、潤飾或幻想,或者受訪者真心說實話,因此我的評估只有一部分成功。我所採訪的每個人都有滿肚子的情報,即使某些人並不具有必要的道德之舵去走網路犯罪之路。但是我愈是深入「黑暗市場」的詭異世界,就發覺有關這個網站歷史核心的相同故事之不同版本說法,是互相矛盾、無從釐清的。我們無法完全確立相關各造之間的真正互動,以及他們真正共事的對象。
網際網路產生無限量的資料和訊息,其中大部分沒有價值,也有大部分仍有待解讀,更有少部分的錯誤十分危險。我們愈來愈依賴網路系統,以及網路的互聯性,使得駭客、情治人員等高度專業團體在犯罪、工業間諜和網路犯罪之間流動,意味著記載及試圖了解類似「黑暗市場」的現象之歷史,是愈來愈重要的知識和社會活動,即使在虛擬世界和實質世界中存在的證據只是局部的片斷並且帶有偏見。
|