而這群人名為白帽駭客,也被稱作道德駭客,組織透過僱用他們去試探和入侵其他的電腦系統以確認系統的安全性,並提出改善方法以提高系統的安全程度。他們的行動往往是經過客戶的授權或同意,具有合法性,也能助於整個資安社群,透過他們所收集的資料而獲益。像EC-Council公司就提供了涵蓋道德駭客各個領域的認證、課程和在線培訓。當然,除了白帽駭客,藍帽駭客也會在特定條件下受雇於民間或外部的計算機安全諮詢公司,負責系統(像是Windows)啟動之前的錯誤測試,尋找漏洞並將其關閉。
消費者-是主動接收訊息的旁觀者,亦是深受其害的當局者!
小到使用手機或收到信件所按下的一個按鈕,大到國家機關資料被駭導致的個資外洩,我們看似是選擇使用哪些網路科技產品的消費者,並且選擇進入特定網站的所有權人。實際上,手機早已被植入晶片,可以對我們進行衛星定位,不論前往何處,它都無處不在。因此,我們享受科技帶來的便利,同時也被科技消費,但操縱著科技的又恰好是人類,形成一個閉鎖式循環。缺乏網路安全意識,可以說是造成一部分資訊安全漏洞的關鍵點,當我們還是選擇不假思索地點開陌生信件或選擇極為簡單的符號進行個人身分認證時,不需要後門進入,就已暗藏危機。
但有一種特殊情況就是傳遞假訊息,進行選情干擾,屬於有備而來的網路釣魚,攻擊者往往利用詐騙信引誘收信人交出個人資訊,在專業術語上稱作「擊殺鏈」。而使用者在不知不覺中,每日所得到的推薦新聞資訊或是特定數據調查報告,都是被選擇過的訊息,與混淆視聽不同的是,它是難以預防且規模成熟的新型網路武器。當戰具(武器)的效益或在戰爭中的影響力遠超過個人體能或技術之極致時,它往往也會改變戰爭型態的與層次,網路的不對稱作戰就在這種情況下出現。
網路為何無法達到真正的安全?
網路世界的生態系,就如同自然的生態系,會面臨失衡。而若想加強資訊安全的保護,如果回到剛發明電腦時期,如何保存硬體就是一個大問題,更遑論軟體的防護。而科技之所以不斷地往前,正是因為網路與電腦在設計之初就不是為了要預防他人,反而是讓人更容易使用,達到資源共享,才讓它能不斷地被更新與挖掘更多潛能。像是量子電腦的出現,就改變了以0跟1組成的固有限制,加速了電腦程式運算的速度,應用於安全的加密系統之中。與其希望永遠沒有網路安全的疑慮,不如了解這些行為背後的真正目的與利益糾葛,從人性出發去破解這些行為背後隱含的意義。
網路世界的未來展望
現在到處充斥的駭客組織,不管是出於自身利益的考量也好,理念相符的合作也好,他們的發展到了21世紀,已有足夠的份量去影響網路的生態系。不論是對於總統大選的控制,還是企業生存的發展,又或是國際政治的推動,駭客們就像是操盤手背後的幕僚,能進行提前埋伏、發動攻擊、事後反擊的行動。而從各個國家與駭客組織之間的互動可知,他們會基於利益而合,也會出於國家安全而不時的反目,並尋找保護國家機密文件的安全方法。我認為未來在法律與道德方面是可以進行加強的部分,但資訊安全與網路所涉及的領域廣泛,證據的蒐集和國家之間的交涉也至關重要。許多時候不能單以道德來思考駭客的行為動機,否則因駭客而遭受損失的用戶們,還是有可能繼續面臨求償無門的狀況。
不過,每年定期舉辦的駭客交流大會,保留了一條技術交流的管道,其中駭客文化精神所強調的創新和自我探索,如何把握好網路空間與真實世界的交涉,仍是值得深思的問題。至於技術上面,若由Chaos所延伸的混沌加密學能在未來應用於網路安全,駭客一旦無法取得有效的資料,便會因無誘因而式微。但就現階段而言,網路世界就像個武林江湖,各憑本事闖蕩,不大可能在短時間內有人會被淘汰,反之,也不會有人輕易出局。
而最後,反思臺灣現在的網路安全政策發展,採取數位發展部建議,跟進零信任架構計畫。但正如我文中所提,它終歸只是治標不治本的防禦,只怕樹欲靜而風不止。其實現有的臺灣民間資安公司是有技術可以做到進一步的資安維護,如何搭建公私機關間的溝通橋梁,進行有效的技術提升,將是正處資訊戰時代的我們,勢必需要面對與克服的難題,理解整個網路生態系,才能掌握資安防範的先機!
*新竹人,現就讀清華大學人文社會學院。清華大學自主學習小組成員、清華大學人文社會學院學士班學生。主要研究美中關係、兩岸關係、國家安全與科技發展議題。
