說到駭客,大多數人腦海裡閃現出的第一印象,大概是神出鬼沒、行蹤神祕、不善言語,也不愛參加聚會和戶外活動,常常一身黑色裝扮隱藏在電腦螢幕後,在鍵盤上狂爆手速破譯各種密碼,讓被攻擊者們不得安寧。
真的是這樣嗎?今年元旦,一個萬人大派對的駭客組織,就在更新大眾對駭客的認知。
來自德國的駭客組織The Chaos Computer Club (CCC,混沌電腦俱樂部),舉辦的一場跨年活動「35C3」,門票全部售光,總共吸引了16000多人參加,其中甚至包括不少小孩。
這場迄今為止最大的駭客年會,一下子把這個畫風清奇的組織帶到了公眾面前。
不僅跨年搞得像演唱會,為了慶祝自己的二十週年誕辰,CCC還在柏林的Haus des Lehrers大樓搞了一個巨大的燈光秀……
如此「肆無忌憚」,這些另類駭客為何還沒被安排在「槍斃名單」上?
為眾人抱薪:駭客帝國中的正義之師?
混沌俱樂部開始聞名於世,要從一場引發全德國對安全缺陷關注的駭客事件說起。
BildSchirmtext是德國郵政在1983年推出的線上互動式圖文系統,內容提供商制定價格,接受者按照接受的頁面付費。作為針對普通大眾的最大商業線上系統,德國電信對公眾聲稱他們的系統是非常安全的,但很快被CCC成功打臉。
CCC的駭客攻破了該系統的安全漏洞,讓它在漢堡銀行為自己支付了134,000馬克。當然,這筆錢第二天就在媒體公開退還了。
被CCC打臉的還有科技企業蘋果和三星。
2013年蘋果 iPhone 5s 和 iOS 7 支持的Touch ID 指紋身份辨識感應器,其安全系統就被廣泛討論。而CCC的駭客Starbug就成功使用日常用品,透過玻璃表面複製了一套指紋,並成功騙過了 Touch ID 系統,解鎖iPhone5S。
三星Galaxy S8的虹膜辨識系統也聲稱是「鎖定手機和隱私最安全的方式之一」,因為「虹膜上的圖案是獨一無二且幾乎不可能複製的」。很快,三星就說不出話來了。
CCC只用了一台小 DC、雷射印表機和隱形眼鏡這三樣隨手可得的東西,就輕鬆把設備解鎖了……
先別急著驚異於商業組織的安全意識如此不堪一擊,因為在CCC眼裡:政府的水準也沒高到哪裡去。
2008年3月,CCC獲取了德國內政部長Wolfgang Schäuble沃爾夫岡‧朔伊布勒的指紋,並將其公佈在了雜誌上。這也意味著,該雜誌的讀者可以輕鬆製作指紋來愚弄指紋讀取器。
據說這樣做,是為了抗議德國在電子護照等身份辨識裝置中使用生物辨識資料。
2011年,CCC發現德國警方用一種名叫Staatstrojaner的木馬程式竊聽網路電話,很快對其進行了分析和研究,並將結果公之於眾,引發媒體廣泛報導,聯邦內政部不得不出來發佈聲明。
總而言之,這種花式打臉抗議企業和政府安全漏洞的反骨事件,CCC真沒少做。
不過很顯然,這群駭客並不打算以此不當獲利。他們在攻破漏洞之後,往往會送回自己的獲益。只不過,在媒體和公眾面前大肆宣揚一番而已。
這就有點像武俠小說裡專門伸張正義的江湖俠士,大半夜跑到官吏士紳家裡偷點東西,第二天掛在公告欄上:XXX家非常不靠譜,大家自己要多加小心防範……
相信大部分普通民眾都會拍手稱快,留下被公開處刑的人一臉茫然、迎風流淚。
一群懷抱理想主義的「賊」,是怎樣運作的?
跟大部分只為搞破壞和惡作劇的「網路恐怖主義駭客」不同,CCC幾乎沒有任何攻擊性的行為,還一再強調「保護使用者資料」的駭客道德,不改動密碼,甚至儘量控制行為帶來的負面影響。比方說在2008年指紋事件之後,CCC一再警告手機使用者生物特徵辨識手段的弱點。
看起來,CCC只是想提醒那些忽視安全問題的企業和政府機構,好像「盜亦有道」才應該是他們的slogan嘛。
想必會有人好奇,即使CCC的駭客們如此大公無私,可人終歸是要吃飯的。那麼,他們的收入從哪來呢?
這就要提到CCC成員的身份,他們大部分就職於大型科技公司和行政機構。比如執行委員會的成員安迪‧穆勒,就是ICANN(網際網路名稱與數字位址分配機構)的委員。加拿大安全研究員娜塔莉‧西爾萬諾維奇,也是CCC的一員。
可能也正是因此,CCC的成員才並不屑於小偷小摸或非法獲利,而是大大方方地公開活動。比起駭客組織,看起來更像一個公益機構。比方說:
他們有漂亮的官網和完善的組織架構;
定期舉辦分享活動。有時在柏林的酒吧,教所有人如何保護個人資料和電腦免受駭客攻擊;有時是在年度大會,一群駭客分享自己的硬體工具是如何工作的;
有時還會組織義工培訓,在當地進行教學,提高家長和老師的技術素養。
為了幫助兒童瞭解電腦知識,他們還邀請家庭參與活動,並為孩子們搭建了一個可以探險、嬉戲、球球海洋等的兒童空間,簡直比公益組織還公益。
一個駭客組織之所以如此活潑,恐怕還要從CCC成立的緣由說起。
1981年9月12日,Wau Holland和其他人意識到,信息技術將在人們的生活中發揮重要作用,在技術和社會發展中必須有一個調解人,來平衡二者的關係。於是,CCC成立了。
如今,CCC已經是歐洲最大的駭客協會,透過多種方式(包括駭客手段)來表達和宣傳自己對技術的理念。
總之,CCC的成員是一群擁有一定社會身份,享受技術樂趣,並基於駭客道德捍衛「英雄主義」的人。他們的行為也讓人們越來越意識到,原來在熟悉的數位生活之外,還可能存在著一場與惡龍的「安全之戰」。
但是,自古以來「為眾人抱薪」大多結果寥寥。俠義如蕭峰也免不了與天下英雄喝斷義酒,數位時代的「正義駭客」結局會樂觀嗎?
打破禁忌:數位世界的一隻黑羊
童話中,穿著新衣的皇帝在遊行時,會有一個天真的孩子問一句「為什麼他沒穿衣服」?
在現實中,也總需要有這樣一個人,在某個時機站出來提出質疑,打破沉默和禁忌——於是,黑羊就出現了。
當現代人在漏洞多的像篩子一樣的數位世界遨遊時,堅持「到群眾中去」的CCC正是一群技術和感覺雙重良好,並且敢於發聲的「黑羊」。
那麼,政府、企業和群眾都是如何看待他們的呢?
大致可以分為兩派:
一種認為他們是「正義使者」。隨著各種技術越來越普遍,相關漏洞和法律問題也應該被重視起來,至少應該保證有意識改進和升級。CCC希望幫助人類更好更安全地進入數位生活,應對風險,注重對隱私和安全的保護,並積極與公益事業相聯繫,沒毛病。
另一種觀點則認為,不能依靠一群愛搞破壞的「賊」和鬆散的組織來保障大眾安全,儘管CCC成員目前沒有造成嚴重的負面影響,但沒有人能保證這群不受規矩的人會老老實實地「為人民服務」,一旦失控弊大於利。
那麼,在瞭解了CCC的運營模式之後,我們需要思考的是,今天在面對數位智慧革命時,究竟需不需要這些「黑羊」們時不時搗搗亂呢?
就現實情況而言,答案几乎是肯定的。
今天大部分民生、行政基礎設施都已經聯網,一旦安全漏洞被不法分子所利用,造成的可能是金融和醫療系統崩潰、城市停電、自動駕駛汽車亂開、隱私大規模曝光等等不可想像的後果(想想「勒索病毒」)。
如何在初期就防止技術被用於惡意的目的並帶來傷害,僅靠少數政府和企業顯然是不行的。
如今,包括谷歌、微軟、百度在內的企業都就技術發展的潛在風險提出了民主化的解決方案,倡導讓每個人都能夠瞭解和使用技術工具。
而CCC的很多活動已經被證明,確實推動政府和企業進行了系統安全和隱私保護的迭代升級。
在這種大風潮下,必須承認,CCC在他人不敢言的時刻,打破了那些「巨頭們」不可觸犯的光環,初衷是好的,也是必要的。
CCC與商業和權力組織形成強烈對比,如同投石入潭,在看似波瀾不驚的水面上打出了漣漪,暴露出湖底的陰暗面,給予了大眾看到更多真相的可能性。
光怪詭譎的數位世界,本就該允許這種與眾不同。正如艾青在《鏡子》中寫到的:「有的人,恨不得將它打破。」
- 本文授權轉載自腦極體
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!