首先介紹一個名詞:駭客激進主義(Hacktivism)。駭客激進主義是一種駭客攻擊行為,藉由破壞某個組織的伺服器,或是竊取某些機密資料,進而激起社會性或政治性的效果,而展開這類駭客行為的人物便稱為激進駭客(Hacktivist)。
2011年就是駭客激進主義活躍的一年。舉例來說,LulzSec與匿名者(Anonymous)等激進駭客組織,接連對Paypal與萬事達卡(MasterCard)發動駭客攻擊,報復他們拒絕將金錢匯至維基解密(WikiLeaks)的帳戶。
▲維基解密曾經撼動世界政局的均衡。
激進駭客也針對美國的FBI(聯邦調查局)與英國的SOCA(重大組織犯罪調查局)發動挑釁的駭客攻擊。不過這兩個組織可不會乖乖就範,他們隨即展開布局,準備逮住膽敢攻擊他們的激進駭客。
FBI鎖定LulzSec的創始人,海托.蒙西葛(Hector Monsegur,暱稱為Sabu),以威脅利誘的手段迫使蒙西葛就範,讓蒙西葛以污點證人的身分替FBI工作,負責揪出躲在網路後面的激進駭客。
一段時間後,蒙西葛發現一位匿名者駭客的所在地,其連線位置是在英國西密德蘭郡的一棟宅邸。英國警方便派出警察前往該地,於凌晨1點發動攻堅,逮捕了屋主詹姆士.傑佛瑞(James Jeffery),當場發現他正在利用筆電進行駭客行為。
▲詹姆士.傑佛瑞,被逮捕的匿名者駭客。
「警察把我家的大門拆了下來,有夠離譜。」傑佛瑞說,「當時我正在床上欣賞《蓋酷家庭*》,同時利用沒有裝硬碟的筆電進行駭客活動。我注意到樓下傳來噪音與碰撞聲,直覺以為有小偷闖進來,便從床上跳起來衝下樓查看,卻發現是一票警察拿著泰瑟槍*對準我。我根本沒想到會是警察找上門,所以沒有拉掉筆電的插頭,這些警察就將我連同筆電一起帶回去了。」
*蓋酷家庭(Family Guy),福斯製作的動畫,充滿無厘頭風格。
*泰瑟槍(Taser),一種利用電擊癱瘓目標的武器,威力強大。
幾天後,這位患有亞斯伯格症的激進駭客就被關進旺茲沃思監獄。當局回絕了傑佛瑞的保釋要求,以免他洩漏情報或進行其他駭客行為。傑佛瑞被指控駭入英國孕期諮詢服務處(British Pregnancy Advisory Service,BPAS)的網站導致其癱瘓,以及竊取病患個資,被處以32個月的徒刑。雖然傑佛瑞沒有利用這些個資進行不法勾當,卻承認他的行動對許多無辜的人造成不必要的困擾。
▲英國孕期諮詢服務處的圖案。
「我反對墮胎,所以才會駭入他們的伺服器。」傑佛瑞表示,「現在我知道自己的行為是個錯誤。我替許多人造成困擾,如果我將那些資料公諸於世就更糟糕了,我應該為此接受懲罰。當時我感到很鬱悶,心情陷入低潮,又喝了不少的酒,行動有些莽撞。我很慶幸能夠在闖下大禍前被阻止,不然我可能得吃更多的牢飯。」
「老實說,我沒想到會遭受這麼重的處罰。」傑佛瑞補上這麼一句。
傑佛瑞並非唯一對自己的行為感到懺悔的激進駭客。他們理解到,自己的目標雖然是大型機構,然而若將手上的個資公諸於世,卻經常會波及無辜。
▲駭客激進主義令政府當局相當頭痛。
「我感到很後悔,不僅針對我的行為,還包含對無辜民眾造成的傷害。」LulzSec的前任成員,萊恩.克萊瑞(Ryan Cleary)在皇家宮廷劇院(Royal Court Theatre)所舉辦的資安活動中表示,「民眾認為他們的個資握在資安防護不周的公司手上。當公司出現安全性漏洞,而遭受駭客攻擊時,民眾受到的傷害將會比公司還要大。我對這些民眾感到抱歉,還得對他們的帳號被濫用負起責任。」
事實上,當駭客成功達陣時,個人野心會凌駕於願景之上。「當你搞出一個名堂,像是導致美國網站癱瘓之類的,內心會感到無比的滿足,腎上腺素會大量分泌,到達需要急救的程度。」傑佛瑞表示,「此時你會認為自己支配了一切,因為只要你能駭入目標,就覺得任何事情都可以辦到。」
▲萊恩.克萊瑞,LulzSec的前任成員。
傑佛瑞被駭客行為的快感沖昏了頭,使得他繼續挑戰更大的目標。「當時我對自己受到矚目樂在其中,驅使我去闖出更大的名堂,獲得更多的矚目。我依舊懷著政治意圖與動機,然而挑戰政府機關之類的大型目標,仍然令我感到雀躍不已。」
雖然傑佛瑞似乎走偏了方向,可是他仍然表示,為了將事實傳達給世人,他並不後悔採取駭客行為。網路與技能成為這些年輕人的絕佳舞台,給予他們挑戰政府當局的機會,相信自己的行動能夠激發民眾對相關議題的重視,不被主流媒體給掩蓋。
「我認為,駭客激進主義是一種向公眾發聲的舉動。匿名者就是由志同道合的駭客所組成的合作團體,在大部分的場合,駭客行為是唯一能迫使政府放下身段,傾聽人民聲音的舉動,讓公眾知道事情的真相。愛德華.史諾登*、朱利安.阿桑奇*、切爾希.曼寧*,他們是真正的英雄,冒著生命與自由的危險披露真相。無論從道德還是倫理的層面來看,他們都做出了正確的事。這是公共權益,如果政府不願透漏真相,就得承受真相。」傑佛瑞表示。
*愛德華.史諾登(Edward Snowden),前美國CIA職員,涉嫌洩漏國家機密而被美國與英國通緝,目前流亡俄羅斯。
*朱利安.阿桑奇(Julian Assange),澳洲記者,維基解密的董事與發言人。
*切爾希.曼寧(Chelsea Manning),美國陸軍軍人,涉嫌洩密給維基解密而被逮捕。
▲史諾登揭發真相後不得不流亡俄國。
或許聽起來難以置信,然而LulzSec與匿名者的駭客行動,卻真的替整個世界帶來某些正面衝擊。像是剛剛在皇家宮廷劇院提到過的駭客活動,除了克萊瑞之外,還有3位就逮的LulzSec成員參與,讓他們看起來活像現代版的羅賓漢。
LulzSec的知名事蹟可以回朔到2011年2月,當時國際正逢社會騷亂的連鎖反應,國際政府試圖箝制社會媒體,而LulzSec就在此時成功扮演攪局者。
「突尼西亞與辛巴威等國家試圖染指網際網路,監控臉書之類社群網站的活動狀況,並從中取得特定人士的個資。」傑克.戴維斯(Jack Davis,暱稱為Topiary)指出,「我們開始撰寫程式來對抗政府的程式,讓該國國民能夠無障礙使用網路。我們還設立了聊天室,他們就能夠利用這個平台分享影片與想法。」
LulzSec對自己的行動感到很自豪,他們提供給反對者絕佳的協同支援,而且沒有犯法:他們只是寫寫程式,連駭客行為也沒有。
▲LulzSec的代表圖示。
對激進駭客而言,網路基礎的攻擊是一種合理的反抗,如同現實的示威活動。「如果發動DDoS攻擊的電腦來自於用戶的自願舉動,而非殭屍電腦,那我就看不出網路攻擊與現實的靜坐抗議有什麼不同。」穆沙法.艾巴森(Mustafa Al-Bassam)說,這位年輕駭客在16歲時,就因為參與LulzSec的駭客活動而被逮捕。
政府並不認同激進駭客的觀點,對他們展開嚴厲掃蕩,藉由殺雞儆猴來警告想成為激進駭客的人。當駭客對政府機關或大型法人機構展開攻擊時,可是一點也不好玩。
▲匿名者在推特上公開他們對PayPal的行動結果。
「激進駭客造成的傷害是可以預期的,影響範圍廣闊且意圖不軌。」英國皇家檢察署的安德魯.哈迪克(Andrew Hadik)在審判LulzSec的4位成員時表示,「由於他們的駭客行為,使得成千上萬無辜民眾的個資曝光,公司行號更受到金融與商譽的打擊。他們的行為結果不能用『只是覺得好玩』的理由搪塞,他們犯下的是嚴重的刑事罪行。」
部分安全機構則認為,政府處罰這些駭客過於嚴厲。他們很納悶,為什麼政府對這些年輕的鬧事者揮下正義之鎚,卻對嚴重危害世界、擾亂金融卡交易、散布蠕蟲的電子犯罪組織視若無睹?
「政府似乎認為,如果不趁這些人年輕的時候阻止他們,他們長大後就會變得更糟糕。不過我卻認為,就算放任不管,他們長大後也會變成和你我相同的普通人。」F-Secure的分析師,尚恩.蘇利文(Sean Sullivan)指出,「那些駭客的部分行為只能算是微罪,而政府的判決卻像是重罪。換句話說,我們正在制裁那些不該受到如此對待的人。」
▲尚恩.蘇利文,F-Secure的分析師。
蘇利文拿前英國駭客集團「TeaMpoisoN」的成員,朱奈.合森(Junaid Hussain,暱稱為Trick)的案件為例。2012年,合森被指控洩漏前首相布萊爾的個資,以及打給反恐熱線宣稱裝了炸彈,被處以6個月的徒刑。合森獲釋後,於假釋期間跑到中東的敘利亞,參與當地的暴力政治活動。
「合森是出身英國的年輕人,卻誤入歧途而留下汙點,使得他將來無法在英國立足,最後索性跑到敘利亞去。合森看起來是個有智慧的傢伙,很遺憾地,我們指控他是激進的犯罪分子,使得他將來無法過一般人的正常生活。」蘇利文說。
4位LulzSec的成員受到Sabu(蒙西葛)的背叛,面臨牢獄之災,不過他們在法庭上並沒有責難蒙西葛的行為,至少表面上是如此。Sabu參與了LulzSec的組織成立,卻在2011年夏季遭到拘捕。後來Sabu與FBI合作了10個月,這期間他一直維持網路身分,蒐集其他駭客的活動資料,英國警方才得以逮到包含傑佛瑞在內的駭客。
▲海托.蒙西葛(Sabu)與FBI合作,將許多駭客關入大牢。
這無疑是一種非法正義:傑佛瑞在Sabu的臥底期間被逮捕,所以當他詢問警察是怎麼逮到他時,警察不得不找其他理由搪塞。「警察說他們根據IP位置找到我,但是我只會在一般活動時使用自己的IP位置,進行駭客活動時則使用Tor、改變代理伺服器的應用程式、VPN,以及俄國的匿名代理伺服器。照理來說,警察不可能這麼快就根據IP位置找到我。只有2個人知道我從事駭客行動,其中1人就是Sabu。」
LulzSec的成員表示,他們事後回想起來,注意到Sabu跟FBI合作時,線上的性格有些許改變。Sabu積極地探詢組織的活動細節,詢問其他成員的狀況,這些或許可歸咎於FBI的幕後操盤所致。在現實生活中,傑佛瑞這類的駭客身邊並沒有知心朋友,Sabu卻是他們少數的朋友。當他們知道是Sabu背叛了他們時,心中的苦澀與失望可想而知。
▲密碼是防堵駭客攻擊的第一道防線。
「剛開始我感到十分震驚。當我知道Sabu是臥底的線民時,我感到難以置信,甚至還跟他聊了一會兒。」傑佛瑞說,「在我身陷囹圄時,心中對Sabu的行為感到十分憤怒,我以為我跟他是哥兒們。他很了解我,我也對他所知甚詳,但是他的所作所為無疑是一種背叛。」
朋友的背叛、牢獄之災、犯罪紀錄對人生的影響,判決有罪的駭客對這一切無法抱持希望。即使傑佛瑞正努力洗刷黑帽駭客*的汙名,他仍然相信激進駭客的行為正當性。「坐牢並不是個大問題,我不怕坐牢或法律制裁。但是我想念我的女朋友,繼子與雙親,我不能讓他們再承受這一切。所以我決定,今後要徹底遠離匿名者組織。」
*黑帽駭客(Black Hat),懷著惡意入侵他人伺服器的駭客。
▲匿名者在網路領域有很大的影響力。
然而傑佛瑞提出警告,雖然LulzSec等駭客組織受到打擊,卻有許多人願意遞補這些空出來的位置。其他駭客組織此時也日益茁壯,懷著抱負的睿智年輕人將會躲在鍵盤後面,追求正義與名聲。
「我們需要更多人挺身揭發真相。如同我的口頭禪『人多就是力量』,一旦擁有夠強的力量,就能做出改變。」傑佛瑞最後再補上一句話,「只要你上網,就不可能獲得徹底的安全。」
▲只要你上網,就不可能獲得徹底的安全。
後記:駭客後的駭客人生
駭客擁有強悍的電腦技能,許多人以為駭客是電腦人才,是資安公司與網路公司爭相網羅的對象,然而事實卻完全不是這麼一回事。犯罪紀錄將會烙印在駭客的履歷上,幾乎沒有任何組織願意錄用資歷不良的駭客。無論駭客闖出多偉大的名堂,懷著多崇高的願景,只要帶著犯罪紀錄,就等於與常態就職徹底絕緣。
「以前我們有收到接受來自亞洲,電腦病毒作者的履歷表。當然啦,這些履歷表直接被掃進垃圾桶。」F-Secure的蘇利文指出,「他們或許以為能夠選擇站在黑暗面或光明面,然而我們對此可是壁壘分明。這些曾經參與DDoS攻擊,或是開發蠕蟲軟體的人,完全不在我們的任職考慮名單裡面。」
▲DDoS攻擊屬於犯罪行為,不能拿來開玩笑。
本文提到的傑佛瑞就是血淋淋的例子。曾經有少數人試圖與他接觸,然而他至今仍然找不到全職的工作。
「我曾經投遞過一大堆履歷表,卻全部被打槍,主因就在於我有犯罪紀錄。」傑佛瑞說,「犯罪紀錄對求職並沒有幫助。」
迫於無奈,傑佛瑞只得承接一些網路相關的專案,偶爾替Google或Facebook測試他們的軟體弱點,賺取微薄的獎金。
「身為一位白帽駭客*,不能害怕被客戶拒於門外。」傑佛瑞說。
*白帽駭客(White Hat),又叫道德駭客。泛指在客戶的許可下,對網站或軟體進行安全性測試的駭客。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!