書名：勒索軟體狩獵團：一群無名駭客如何拯救數位時代的資安危機？

作者簡介

芮妮．杜德利（ Renee Dudley）
ProPublica科技記者，曾任職於南卡羅萊納州查爾斯頓郵報、紐約彭博社與路透社。二○一一年獲選為南卡羅萊納州新聞協會年度記者，曾獲頒美國專業新聞記者協會普莉亞姆獎，並被提名入圍普立茲獎決選。二○一九年，杜德利發表一系列追蹤勒索軟體的報導，榮獲二○一九年SABEW技術報導獎，與二○二○年TRACE調查報導獎。

丹尼爾．戈爾登（Daniel Golden）
作家、ProPublica資深編輯與記者，曾任職於《波士頓環球報》、《華爾街日報》與紐約彭博社，獲頒普立茲獎、喬治．波克新聞獎、全國頭條新聞評論獎、卓越新聞報導獎、紐約新聞俱樂部金鍵盤獎，以及教育記者協會大獎等大獎。戈爾登長期投入高等教育調查報導，著有《入學的代價：美國統治階級如何買通菁英大學，以及誰被排除在外》（The Price of Admission）與《間諜學校：中央情報局、聯邦調查局與外國情報如何秘密利用美國大學》（Spy Schools）等暢銷書。

譯者簡介

劉家安
國立東華大學英美語文學研究所畢業，主修電影與空間研究。曾任職於科技產業，後轉入觀光產業，擔任旅宿業管理職，現為專職譯者。合譯有《民主的擂台：人類政體的千年發展，如何決定我們的當下與未來》。

商品特色/最佳賣點

數位化時代，勒索軟體犯罪的番展對金融、民生、資訊乃至國安造成巨大威脅。然而，我們鮮少知道對付勒索軟體惡意侵害的方法，以及誰投入對抗勒索集團的長期戰役。本書結合英雄、犯罪與諜報片元素，勾勒一場發生在真實世界的駭客戰爭，描繪這群看似邊緣特異的駭客以小搏大，與反派鬥智鬥勇的故事。全書讀來驚險刺激，並寄寓對資安風暴的深層遠憂，適合每一位關注自身個資安全的讀者。

書籍目錄

導讀推薦序 吳其勳
序言 難道你是個野蠻人不成
發明勒索軟體的人
來自諾默爾的超級英雄
獵人聚首
有趣的戰爭
執著的代價
阻止「既視感」蔓延
掌控大局的路克
進退失據的聯邦調查局
政府特務與他的海豚
「整治」巴爾的摩
勒索經濟興起
勞倫斯提出休戰協議
通往明日的管線
致謝
文獻索引

推薦序/導讀/自序

序言 難道你是個野蠻人不成？

倫敦市中心的一處富裕社區裡，許多來自巴基斯坦、印度以及東歐等地的貧困移民家庭試圖在夾縫中求生存，他們將孩子的希望寄託在一間小小的公立學校上。該校有大約一百五十名五到十歲的學生，校舍是超過一世紀前蓋好的維多利亞式建築，有著磚砌的牆面、高聳的拱型玻璃窗，還有一個緊鄰教堂的小小遊樂場。他們的家長很多都是靠著社會補助津貼過活，英國人會稱之為「失業救濟金」。對他們的孩子來說，學校供應的免費營養午餐和小點心，常常就是每天唯一能夠溫飽的機會。即使是在二○二○年新冠疫情期間，他們住的露臺公寓和公共住宅都被疫情襲擊，學校也沒有因此關閉，教師們戴著口罩上課，刻意將座位錯開，讓教室盡量保持社交距離。
雖然校舍老舊，預算也很緊繃，該校仍努力提供孩子們扎實的教育，幫助他們適應英國的生活及文化。為了追蹤孩子們的學習進度，老師們會在他們學習如何握筆、畫圖或是寫下自己名字時拍照建檔。接著，這些照片會被上傳到一台功能強大的伺服器，這台伺服器負責處理各種數據，維持校內其他裝置運作。因為老師們每週都會幫自己課堂上的每位孩子至少拍兩次照片，而且這套系統行之有年，這台存有成千上萬張的照片的伺服器，成了無可取代的數據金庫 。
二○二○年十一月三日星期一，大約晚上九點時，馬修收到一封電子郵件，學校來信告訴他網站失靈了。他試著登入，但是登不進去。起初他還以為是自己忘記密碼了。試了幾次之後，他發現他是被鎖在系統外進不去。「這不太對勁………」他對身邊的女友小蕭喃喃自語，兩人坐在廚房桌邊對此一籌莫展。
凌晨兩點，絕望的他決定聯繫伺服器託管公司的客服。他們弄了一台新的伺服器給他，他藉此連上了學校的資料庫。終於，馬修在檔案列表中找出原本的檔案。但是他仍然無法打開檔案。這些檔案的副檔名都被改成了「.encrypt」。此刻他終於驚覺，學校被勒索軟體找上了。勒索軟體是世上最普遍且快速成長中的網路犯罪之一，是駭客技術和密碼學結合後誕生的邪惡產物，入侵電腦後會將檔案上鎖，若沒有對應的密碼就再也打不開這些檔案。駭客們會拿著密碼來要求高額的贖金。
駭客避開了馬修的防禦系統，透過教師們用來進行內容管理的網路介面，進到學校系統。當時有一個安全性更新，但是專門管理資訊科技的馬修，為了手頭上各式各樣的客戶忙得焦頭爛額，有時候會忘記幫寶貴的軟體更新——就像這次一樣。
「我沒有聽從我自己給過別人的忠告。我覺得很挫折，也很尷尬，」他說，「感覺像是某人朝我肚子狠狠揍了一拳。」
大多數的人都低估了勒索軟體攻擊的頻率和帶來的衝擊，因為很多受害者羞於公諸於世或通報相關單位。但是實際上，近年來勒索軟體已經長出數百種變體，它們有著千奇百怪的名字，像是「壞兔子」（Bad Rabbit） 和「洛克戈加」（LockerGoga），它們癱瘓了數百萬台電腦，不論公司、政府機關、非營利組織以及個人的電腦都難以倖免。這些犯罪型駭客利用社會對電腦近乎全面的依賴，藉此要求數千、數百萬甚至數千萬美元的贖金。
在新冠肺炎疫情期間，一波網路勒索癱瘓了醫療院所和其他重要服務設施，讓企業和學校關閉，人們因此與親戚、朋友和同事更加疏遠。馬修認為這兩種病毒的運作機制如出一轍。
「說來諷刺，電腦病毒和真正的病毒同步肆虐，」馬修說，「兩者都極具傳染性且毒性堅強。」
當馬修在斷垣殘壁般的資料庫中篩選倖存檔案時，他發現了一個筆記檔。檔名寫著「遺駭終身 」（Hack for Life），其中部分內容如下：
您所有的檔案已鎖死！您的檔案結構和數據皆已更改，無法還原，您將無法繼續使用、無法開啟、無法查找這些檔案。基本上您已永遠失去這些檔案，但是，我們能夠幫您復原。只要收到贖金，我們就會將所有檔案解碼恢復原樣。我們沒有必要騙您，不會收到錢就跑，因為我們不是野蠻人，我們是重視名譽的生意人。您還有兩天可以做出決定。兩天後，贖金將會加倍。再過一周，贖金將會變成三倍……因此，我們建議您在幾小時內盡快付款。
當晚，馬修輾轉難眠。第二天，他將事情稟報給他的上司，對方授權要他去談判。付贖金給犯人就相當於獎勵他們，給他們攻擊其他學校的誘因，但是校方似乎也別無選擇。與此同時，馬修和他的老闆們決定對此隱而不宣。他們甚至不打算報案，以免有損學校的聲譽。對於打不開照片以及教材檔案老師和家長們，他們給出了萬用的說法：系統當機。
至於贖金，勒索筆記上還沒有詳細列出。為此馬修寫了封信寄到犯罪集團指定的Gmail信箱：「要多少錢才能解鎖我的電腦？」
「你得付一萬歐元，」回信上寫著，「今天付，一萬。明天付，一萬五。再兩天就兩萬。」
馬修知道學校付不出那麼多錢，所以他開始假裝駭客沒有造成太大損害，試圖藉此殺價。「我給不出一萬歐元，抱歉，這太誇張了。我們只是一間沒多少資源的窮學校。大部分的數據都有備份，我只是少了一些近期的照片而已。我最多只能給出五百塊。可以的話和我說。」
他的策略似乎奏效了，駭客調降了要求金額。「我能接受的最後價碼就是三千歐元。明天我就會刪掉這個信箱，你最好趕快決定。」
士氣大振的馬修則試圖繼續殺價，「我分析了一下，我只少了大概十張照片吧，這恐怕不值三千歐元。我的最後提案是七百五十歐元。」
「一千歐元，最後提案。如果你不接受，這段對話就到此結束。」
馬修感到如釋重負，一千歐元校方還湊得出來。他似乎成功地避免了一場災禍。駭客們要求他以比特幣付款，馬修自己也有投資比特幣，所以他知道怎麼用。他將一千歐元轉為比特幣，以線上交換的方式轉進犯人指定的數位錢包裡面。這個錢包屬於位於伊朗的駭客，雖然馬修對此一無所知。
「好，轉過去了，」馬修寫道，「請告訴我怎麼復原我的檔案。」
結果，他被背叛了。「抱歉，無法接受一千歐元，你得付一萬歐元，你還欠我們九千歐元。款項付清後我們就會給你解密用的檔案。」
馬修上當了。犯罪集團只是假裝妥協，藉此從他手上騙到了一筆訂金，卻沒有給他解密用的鑰匙。馬修太慌亂了，他忘了歷史悠久的談判守則：「別讓對方看出你亂了手腳。」他絕望地再次懇求對方，「你說好最後提案就是一千歐元，我們都同意這個條件，」他寫道，「我沒別的可以給你了。不要這樣對我……你還有沒有點良知？提議是你提的，你不能等到我都付完錢了又改變心意。這樣不對。拜託，你能不能有點良心？你內心就沒有一點良知嗎？你難道是個野蠻人不成？」
攻擊方對此不動於衷。「你付的只是小錢，我一開始信上就說了一萬歐元，我和你無話可說，你如果還想要解碼，就再給我九千歐元。」
於是馬修在論壇上貼文求助，「我今天碰到這款勒索軟體，我已經付了贖金，但是犯人不幫我。」論壇上建議他將勒索筆記和被加密的檔案傳到另一個稱為「辨識勒索軟體」的網站做進一步分析，並且聯絡該站的創辦人——「狩魔３３５」。若全天下有誰能破解勒索軟體，那就會是狩魔３３５了。
「嗨，我的學校用來追蹤學習進度的伺服器被駭客攻擊並加密了，」馬修傳了訊息給狩魔３３５，「請問您能幫我個忙嗎？我完全不知道該怎麼辦了。」
距離倫敦六個時區以外，住在伊利諾中區平原地帶的麥克．葛拉斯彼收到了這個訊息，他就是狩魔３３５，此刻他在家中二樓簡單的小辦公室裡工作，雖然不起眼，但這就是對抗勒索軟體的最前線了。他和他的妻子摩根養有八隻貓、兩隻狗，還有一隻兔子，所以他們就將辦公室稱為「貓房」。他的工作空間就只有一張放了筆電的書桌，上方層架掛了一個螢幕，除此之外唯一的家具就只有一張長沙發。空蕩蕩的米黃色牆上，還貼了一張《獅子王》的海報，牆角則有一些兔子咬過的痕跡。唯一一扇窗戶朝向馬路，放眼望去是布盧明頓的郊區景致。
麥克看起來高高瘦瘦的，戴著眼鏡，臉上留著參差不齊的山羊鬍，看上去和年輕時的比爾．蓋茲有幾分神似。他還束了一頭紅褐色的長馬尾，這是因為他不想在疫情期間冒著染疫的風險出去理髮。他在站上閱覽並回答滿坑滿谷的訊息時，他也只是穿著日常的簡便上衣和牛仔褲，貓咪們就蜷在他的腿上或是試著爬到他的手上。當貓咪們覺得無聊了，牠們就會爬回貓跳台或是去找東西吃。
如同倫敦學校的貧困學生家庭一樣，麥克對於各種逆境並不陌生。當時年僅二十九歲的他，已經克服了校園霸凌、窮困以及癌症的重重考驗。在他成長的過程中，他的家境貧困，甚至有時還得寄住親戚朋友家。麥克也讀不起大學。十六歲時，他就開始在一間稱為「呼叫宅宅」的連鎖電腦維修公司上班，這一待就超過十年，過程中他自己學會了怎麼破解勒索軟體。後來他和高中時的戀人摩根．布蘭琪結婚，兩人婚後經濟狀況仍不太理想。他們時常要面對斷水斷電、信用卡失效、汽車被扣押的困境。他們還差點連家都沒了。
但是這些都阻礙不了麥克。只要他有空閒的時間，他就在做公共服務，盡其所能地解開被勒索軟體加密的檔案。他以幾乎完全匿名的方式在做這件事，不求回報、不求名聲，他就默默進到了全世界最強的勒索軟體破解專家的行列。全世界至少有超過一百萬名受害者曾下載過他寫出來的解碼工具。他不收分文地幫助了這些人，讓他們省下了數億的贖金。我們所知道的上千種勒索軟體當中，他就破解了超過一百種。
世界級的菁英人士通常身邊都會帶些小跟班：經紀人、發言人以及追隨者之類的。麥克沒有。就連棲在他腿上的貓都很少讓他分心。網路就是他的避風港，也是他的知識家園，他醒著的時間大部分都待在網路上。他在網路上獲得的地位，會讓他在伊利諾的親戚朋友都大吃一驚。
就連在線上和受害者的對話都是一次性的公事公辦，他不會參與他們的生活，也對他們的個人困境不感興趣。就像是《怪醫豪斯》裡面，休．羅利扮演的那位天才診斷專家怪醫豪斯一樣，那些被救的人反而會惹惱他。有時候，他似乎會像《花生》漫畫裡面，查理．布朗的好友奈勒斯一樣，多愁善感地想說：「我愛人類，我只是受不了與人共處。」
足智多謀又孜孜不倦的麥克，在勒索軟體狩獵團當中是產量最豐富的成員，這個團隊是個透過邀請制組成的菁英組織，成員由十幾個科技奇才組成，致力於破解勒索軟體。對於負擔不起贖金的受害者，或是那些出於原則拒絕向網路罪犯妥協的人來說，這群低調地分布在世界各地的極客義工經常就是他們的最後生機。狩獵團已經破解了超過三百種主流的勒索軟體品系和變體，估計拯救了四百萬名受害者，相當於省下了數十億的贖金。
勒索軟體狩獵團的大多數成員都和麥克一樣，顛覆了常人對於成就的刻板印象。他們成就了不可能的成功故事，主要靠著自學的方式成為技術精湛的專家。有些人經歷過貧窮或虐待的背景，這給了他們對抗惡霸的動力。因為他們對抗的是可能會對他們進行報復的犯罪集團，有些人始終以化名或網路身分保護自己。團隊成員大多數根本從沒見過面。很少有人知道該組織中最隱密的成員的真實姓名，只知道在推特帳號「@malwrhunterteam」背後是個匈牙利人。
他們分居在世界上至少超過七個不同的國家當中——美國、英國、德國、西班牙、義大利、匈牙利以及荷蘭——但是，以某種現實層面來看，他們共同活在網路上。他們會透過「嗶嗶電腦」網站作為訊息平台彼此交流，同時也會和其他人保持聯繫，其中包含了網路安全專家、諮詢公司、科技狂迷、受害者，甚至還包含了攻擊者。馬修也就是在此發布了他的求救訊息。嗶嗶電腦實際上就是由團隊的創辦人之一所經營的網站，它同時有著非軍事區的成分，也像是街角的小酒吧，勒索軟體大戰中的善惡世界在此交會。
團隊成員都有正職工作，通常會是資訊安全相關的工作，但是破解勒索軟體是他們的熱情所在。他們有些人專注起來的時候，就會心無旁鶩，眼中只有解決問題。他們會不眠不休地堅持不懈，連續幾小時甚至幾天都對周圍一切視而不見。包含麥克在內，團隊中至少有三個人患有注意力不足過動症，此病症通常會讓人很容易分心，但是同時也會有深度且長時間的集中症狀，稱為過度集中症狀。整個團隊都有種幫助人類對抗網路犯罪的衝動，難以抑制，就像是一群網路正義聯盟一樣。他們不在乎能不能賺錢；要是真的想要賺錢，他們或許會把才華用在開發勒索軟體上，而不是用來制止勒索軟體。
相較於日漸增長的勒索軟體帶來的威脅，美國政府的反應顯得十分遲緩，而狩獵團的存在，正好弭補了體制上的空缺。聯邦調查局對此無能為力，只能建議受害者不要支付贖金，卻沒有任何實質上的替代方案。駭客們經常在俄羅斯和伊朗等國家活動，這些國家與美國沒有引渡協議，並且默許他們對西方國家發動網路攻擊，甚至可能會利用他們來收集情資或共享利潤。至於私人企業，從保險公司到網路安全公司都沒有阻撓勒索軟體的動機；因為勒索軟體越猖狂，他們的市場就越大。
就算是狩獵團也沒辦法破解所有勒索軟體。做得夠好的勒索軟體根本無懈可擊。但是會有那些不夠好的攻擊手，他們會犯錯、會偷吃步，或是低估了他們的對手。這時，就是狩獵團出擊的時刻。
＊＊＊
二○二○年十一月底的星期二，坐在貓房裡的麥克被排山倒海的受害者求助訊息淹沒了，他幾乎沒有時間細看馬修傳來的檔案。他快速地瀏覽了一下就確信，馬修學校是被第六版的「銜尾蛇」（Ouroboros）勒索軟體給綁架了，而這款以古埃及神話中吞食自己的尾巴的龍所命名的軟體是無法破解的。
「銜尾蛇六版，自從二○一九年十月他們把缺陷修掉之後就沒辦法被破解了，」他給馬修的信中寫道。煩躁挫折的麥克並且補上一句，「辨識勒索軟體應該就有告訴你這個答案了。」
失望的馬修不禁回嘴，「我早先確認過辯識勒索軟體的結果，它給的是不同的答案。」麥克自己的網站上辨識出來的是威席索雷那品系的勒索軟體，並且歸類在條件許可下能夠被破解的類別。「這只是因為用了不同的名字，還是我真的還有機會能破解它？」
麥克見狀，重新檢查了一遍檔案名稱上和其他的特徵，他這才發現自己把「威席索雷那」誤認為「銜尾蛇」了。他這個錯誤是情有可原的。這兩個品系的勒索軟體據信都出於伊朗駭客之手，加密檔案的方式如出一轍。
麥克立刻就開始處理這件事。威席索雷那的弱點在於罪犯偷吃步，為了追蹤哪些人有付過贖金，在威席索雷那的贖金筆記上，給了每位受害者獨立一組辨識號碼。就勒索軟體而言，這是標準作法。收到贖金之後，受害者會各自收到一組獨立的密鑰來解鎖加密檔案，這也是標準作法。不同的是，威席索雷那給的辨識號碼和密鑰是互相關聯的一組號碼。這就讓麥克有機可趁。
當他對勒索軟體進行逆向工程後，他就發現該軟體是將辨識號碼送進一套稱為金鑰衍生的數學函式進行運算。這套金鑰衍生函式很可能是駭客自己寫的，所以沒辦法以公開途徑取得，但是麥克可以利用一種稱為解編譯器的編程工具來取得這套函式。接下來，他就能夠用犯人提供給受海害者的勒索筆記上，找出辨識號碼，放進函式去運算。運算完成後，麥克就能得到解鎖檔案所需的密鑰。他接著就能寫出解碼器，也就是讓受害者可以拿來恢復數據的電腦程式。
於是，他就把專屬馬修的辨識號碼放進解密工具，算出了七組可能的密鑰。他一一測試後，發現其中一組確實有效。他就把密鑰寄給馬修。
「再試一次看看，」麥克寫道，「它確實是威席索雷那，我能破解出你的密鑰。」
馬修收到訊息時已經是深夜了。「他辦到了！」他大喊，「我拿到解碼器了。」
在浴室裡的小蕭聽到也喊了回來，「這怎麼可能？他到底是何方神聖？」
馬修依照麥克的指示一步步取回了舊伺服器的存取權，成功復原了學生照片和其他檔案。「天啊，太驚人了，」他回信給麥克，「它奏效了。我再感激也不過了。你是怎麼辦到的？學校的老師和孩子們都會對你提供的協助深懷感激。」