美國2022年資訊安全名人堂(Cybersecurity Canon Hall of Fame 2022)得獎作品。個資外洩、網路詐騙、駭客勒索猖獗,受害者卻求償無門。一本書,分析資訊安全的歷史,以及網路系統如此脆弱的原因。
你常常這樣做嗎?
●定期更換各種網路密碼
●連網設備用畢之後,隨手登出、關機
●對於來路不明的電郵、網址心存懷疑,不會因為好奇而點開
●時常關心資訊安全新聞,例如:網路詐騙、駭客入侵、個資外洩事件等
網路科技急速發展,資訊安全卻有很多漏洞,導致個資外洩、詐騙頻傳,甚至遭到駭客和勒索軟體的攻擊。
事實上,資訊系統的本質其實很脆弱,並不像大家想像的「牢靠」。資安問題持續存在且難以根除的原因在於,許多開發者和企業在設計和推出系統時,往往採取「先行動,後補救」策略,導致許多系統在推出後,才發現存在嚴重的安全漏洞,不僅為後續的修補和維護帶來了巨大挑戰,更為潛在的攻擊者提供了可乘之機。
安德魯‧史都華(Andrew J. Stewart)在書中詳述資訊安全從發展初期至今的歷史,其實是連續失敗的過程,即使到了現在,嚴密的資安依然無法杜絕個資外洩、網路勒索的發生,從個人到企業的傷害,仍然持續擴大。
這本書特別從攻擊者、防禦者的角度分析過去的資安事件,也從政策層面探討人們在不同年代如何填補資安漏洞。
然而,造成資安破口的根源,不只是系統出現漏洞,往往人性的脆弱也是原因之一,例如因為好奇、貪圖方便、妄想致富而落入網路詐騙、個資外洩的陷阱。史都華認為,說不定我們可以藉由心理學和行為經濟學對人類行為得出新的見解,進而讓資訊安全問題獲得解決。
現在是過去的產物,想要面對當今的問題,就必須從了解歷史開始。這本書帶我們了解橫跨半個世紀的資安攻防戰,讓活在虛偽又真實時代的我們,重新認識資訊安全的全貌。
網際網路暨全球資訊網的創建,與一個黑暗的先兆
一九五七年十月四日發射的史普尼克號衛星,讓美國軍方緊張慌亂了起來。[203]蘇聯展現出一種美國尚且不具備的能力,而這也促使美國政府朝研究與發展投入了巨額的資金。
就在這樣的時空背景下,高等研究計畫署(ARPA)在一九五八年成立,初始的種子資金是五億美元,年度預算是二十億美元。該組織被賦予的目標是主導美國的太空計畫和所有的戰略飛彈研究。ARPA並未直接雇用任何科學家或研究人員。相較於此,他們是雇用了經理人,由經理人去指揮在學術機構與商業組織中任職的科學家與研究人員,藉此來推動各種工作。正因為這種安排,所以ARPA對一件事情非常感興趣,那就是撮合在不同學術場域服務的科學家相互合作。包括麻省理工、加州大學柏克萊分校,還有史丹福,都屬於這類他們關注的焦點。不過也有件事情因此讓ARPA非常困擾,那就是這些不同單位的學者得建立他們自己的電腦、程式語言、電腦程式,還有各種程序。這些努力的重複進行是資源的浪費,由此ARPA深信各個研究場域可以用一張電腦網路連結起來,即使連接相隔遙遠的多部電腦在當時是從來沒人進行過的嘗試。
讓ARPA的願景得以實現的那個點子,來自一個在蘭德公司工作的研究者,名叫保羅.巴蘭(Paul Baran)。巴蘭在一九四九年畢業於卓克索科技學院(Drexel Institute of Technology),取得電子工程學位。他畢業後的第一份工作,是在埃克特─莫奇利電腦公司當技師,負責測試要用在UNIVAC裡的電腦零組件。一九五九年,巴蘭投身蘭德公司,加入了他們的電腦科學部門,然後在一九六〇年代初期,他好奇起一個軍用通訊網路要怎麼打造出來,才能撐過核子攻擊。
史普尼克啟動了蘇聯與美國之間的太空競賽,而洲際彈道飛彈上的核彈頭所代表的威脅與核子武器從太空中發射的可能性,如今成了美蘇兩國都得面對的生存威脅。蘭德分析師所鍾愛的賽局理論,描述美國與蘇聯是如何被掐在一個穩定的平衡中。兩邊都無法發動核戰,因為另一邊一定會報復。這就是相互保證毀滅理論,而其字首的縮寫MAD也切中了這個理論的核心,那就是瘋狂。但這個平衡要能夠成立,有一個前提,那就是美國必須保有在受到初始攻擊之後的還手能力。如果第一波蘇聯飛彈摧毀了美國軍方指揮官沿指揮鏈發號施令的能力,那反擊就會失去執行的可能性。這就是巴蘭意欲解決的問題。他後來會形容自己挑起的工作,「是在回應人類有史以來最凶險的情境」。