零時差攻擊

 

一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露數位軍火產業鏈的暗黑真相

 

 

 

This Is How They Tell Me the World Ends

The Cyberweapons Arms race
 
 
 
妮可.柏勒斯  Nicole Perloth 
 
 
李斯毅、張靖之

正封.jpg

 
 
 

注釋及徵引出處  網頁版

 

如需PDF好讀版注釋及徵引出處

請點此連結下載:https://reurl.cc/6DNgyb

 

qrcode.png


  這本書大部分的素材來自我進行的專訪,以及我為《紐約時報》撰寫的報導。正如我在〈作者的話〉中指出的,許多消息來源不願意討論網路武器市場的內部運作,而且許多受訪者只願意在不公開身分的前提下發言,也就是說我只能在不透露消息來源的情況下使用他們提供的資訊。不過我會盡可能要求每個消息來源都以電子郵件、簡訊、行事曆、合約、筆記和其他數位路徑的形式提供他們的資料檔案,以證實他們對那些事件回憶的真確性。至於未列於參考書目或下列註釋的資料,則是來自高度機密的採購文件與檔案證據,提供者要求我不可以透露來源。
  我的素材也包括在資訊安全媒體同業的珍貴報導,他們在過去十年不間斷地記載網路亂象,成就斐然,因此我將他們列入以下的注釋。即便可以自己確認資料的正確性,我還是會試著先找出曾經寫過該事件的書籍或文章。儘管如此,我相信我一定還是會漏掉某些報導或出版品,對此我衷心感到抱歉。
  過去十年,一些最棒的網路安全報導──我可以自豪地說──都是來自我在《紐約時報》的同事。我在《紐約時報》的前輩約翰.馬爾科夫大方地花時間提供我許多寶貴的資料,並與我合作撰寫在本書中提到的諸多文章。大衛.桑格率先披露了被全世界稱為「震網」的電腦蠕蟲真正的代號──「奧林匹克運動會」,而且找我合寫美國與俄羅斯之間不斷白熱化的數位冷戰報導,結果被美國總統川普批評是「叛國」的行徑。我在蘇茲伯格的儲藏室裡工作時,坐在我旁邊的史考特.夏恩撰寫了關於國家安全局數位能力最詳盡的報導。在影子仲介商洩密事件前後,大衛、史考特和我合作撰寫了不少報導。如果不是因為阿札姆.艾哈邁德,我絕不可能發現墨西哥如何濫用NSO的監視技術。馬克.馬澤蒂、亞當.戈德曼(Adam Goldman)、羅寧.伯格曼(Ronen Bergman)和我為《紐約時報》撰寫了關於暗物質公司和NSO Group公司的綜合報導,後來馬克、羅寧和我又合寫了一篇關於某種名為ToTok且廣泛被人下載的手機應用程式──該應用程式的名稱是模仿在中國深受歡迎的應用程式TikTok──但ToTok實際上是一種巧妙偽裝的阿聯酋監控工具。馬特.羅森伯格與我合寫了一篇報導,內容是關於俄羅斯日前攻擊烏克蘭一家名為布利斯瑪的公司,該公司在川普總統的彈劾案中扮演了關鍵角色。大衛、馬特和我接著又一起報導美國二○二○年大選的網路安全威脅。關於矽谷目前就網路安全和散播不實消息而進行的道德辯論,最優質的報導是由我的同事希拉.弗倫克爾(Sheera Frenkel)、西西莉亞.康(Cecilia Kang)、麥克.艾薩克、若林大輔(Daisuke Wakabayashi)、凱文.羅斯(Kevin Roose)和凱特.康格(Kate Conger)負責執筆。與這些人共事是我職業生涯的亮點,倘若沒有他們,我不可能完成這本書。
  我還想感謝在《連線》雜誌、路透社、《華盛頓郵報》與Vice媒體集團旗下主機板科技新聞網工作的同業,他們提供了非常出色的報導;另外也感謝像保羅.寇賀(Paul Kocher)和彼得.諾伊曼等解碼學家,以及Area 1、公民實驗室、CrowdStrike、火眼、谷歌、Lookout、微軟、Recorded Future、賽門鐵克、邁克菲、趨勢科技等公司或機構分析功力一流的網路安全研究人員。在諸多人士之中,我想特別提到安迪.格林伯格(Andy Greenberg),他對於NotPetya攻擊事件的報導是迄今為止最為詳細的,而且他在《富比士》雜誌上針對零時差市場議題所撰寫的文章,是揭露該市場內幕的第一批報導。金.澤特在百老匯圖書公司(Broadway Books)推出的著作《倒數零時差:震網和全球第一個數位武器的問世》(Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon),是可以詳細了解震網細節的珍貴寶典。賽門鐵克的錢艾力和連恩.奧穆爾丘(Liam O’Murchu)耐心接聽我的每一通電話,並且詳細閱讀我撰寫關於形成震網入口點之零時差的文章。弗雷德.卡普蘭(Fred Kaplan)於二○一六年在西蒙舒斯特圖書公司(Simon & Schuster)出版的著作《黑暗領土:網路戰爭的祕密歷史》(Dark Territory: The Secret History of Cyber War)也提供了有用的內容。我經常引用路透社的喬.曼恩(Joe Menn)的文字,他在網路安全領域的相關報導是一流的。同樣服務於路透社的克里斯.賓和喬爾.舍特曼(Joel Schectman),他們在二○一九年發表關於「掠奪計畫」的權威報告,提供我相當重要的資訊。「槍手計畫」章節中引用之華特.迪利與國家安全局分析人員的對話,是取材自艾瑞克.哈塞爾廷(Eric Haseltine)的著作:《莫斯科車站的間諜》(The Spy in Moscow Station)。
  「書誌學」(Bibliography)網站提供了一份包羅萬象的資料清單,請參考www.thisishowtheytellmetheworldends.com。以下所列之注釋並未包括全部的消息來源,這些只是被我引述及找到最有用的相關報導、資安分析、學術成就、統計數據及資料出處,如果你有興趣進一步研究,可以自行找來參考。
前言
  二○一七年NotPetya攻擊事件的細節來自我與馬克.史考特和希拉.弗倫克爾在《紐約時報》的聯合報導。兩年後,我的同事亞當.薩塔里亞諾(Adam Satariano)和我又更詳細地報導了NotPetya所造成的損失,因為默克製藥和億滋國際等公司向保險公司提起訴訟,那些保險公司在保險合約中採用了常見但很少引用的戰爭豁免條款。《連線》雜誌摘錄了安迪.格林伯格於二○一九年在雙日圖書公司(Doubleday)出版的作品《沙蟲:網路戰爭的新時代及尋找克林姆林宮最危險的駭客》,其中引述川普政府前國家安全顧問湯姆.博塞特說過的話,表示該攻擊事件造成的損失高達一百億美元。某些消息來源認為,由於許多規模較小的私人公司並未回報他們的損失,因此總損失金額可能更為龐大。關於該攻擊事件的大部分細節是來自我在烏克蘭進行的訪談。我在《紐約時報》的同事安德魯.克拉瑪(Andrew Kramer)與安德魯.希金斯(Andrew Higgins)協助記錄在二○一七年展開的該網路攻擊事件。我引用邁克爾.戈登(Michael Gordon)在《紐約時報》發表之關於俄羅斯吞併克里米亞半島的報導,並參考安德列.斯利夫卡(Andrey Slivka)的旅遊報導,以描述克里米亞半島被吞併前的旅遊風光,參見:Andrey Slivka, “Joining Tycoons at a Black Sea Playground in Crimea,” New York Times, August 20, 2006。
  許多新聞媒體都記錄了普丁在二○一七年關於俄羅斯「愛國駭客」的言論,但我是參考卡拉莫爾.克里希納德夫(Calamur Krishnadev)的報導,參見:Calamur Krishnadev , “Putin Says ‘Patriotic Hackers’ May Have Targeted U.S. Election,” Atlantics, Junei, 2017。我引用馬克.克萊頓(Mark Clayton)在《基督教科學箴言報》對於俄羅斯干擾二○一四年選舉的報導。安德魯.克拉瑪和安德魯.希金斯率先報導了美國聯邦調查局將烏克蘭在二○一四年進行選舉時遭到攻擊歸咎於俄羅斯,並且記載俄羅斯國家電視台的相關報導。安德魯.克拉瑪還報導了馬來西亞航空公司十七號班機遭到俄國炸彈攻擊而墜毀的消息。大衛.桑格和我則報導了北韓對索尼影業的攻擊,該事件讓許多美國家庭在二○一四年的聖誕假期期間非常憤怒。
  俄羅斯入侵烏克蘭發電廠的報導來自我的訪問以及金.澤特的詳細報導,參見:Kim Zetter, “Inside the Cunning Unprecedented Hack of Ukraine’s Power Grid,” Wired。
  奇斯.亞歷山大批評中國竊取美國的智慧財產為「史上最大規模的財富轉移」,是摘錄自路透社記者安卓莉亞.夏拉伊沙(Andrea Shalal-Esa)的報導。
  我和《紐約時報》的同事昆汀.哈迪一起報導了伊朗攻擊美國銀行網站的事件。邁克爾.科克里(Michael Corkery)和我後來又報導了北韓攻擊孟加拉中央銀行的消息。伊朗以勒索軟體攻擊美國的醫院、公司和城鎮,內容詳細記載於美國司法部二○一八年十一月的起訴書,可是沒有人因此被引渡或遭到逮捕。瑞秋.迪莉亞.貝奈姆(Rachel Delia Benaim)和拉札爾.伯曼(Lazar Berman)在《以色列時報》(Times of Israel)報導了謝爾登.阿德爾森刺激伊朗攻擊拉斯維加斯金沙賭場的言論。彭博社的邁克爾.萊利(Michael Riley)和喬丹.羅伯遜(Jordan Robertson)對於金沙賭場遭到攻擊的事件有最詳盡的描述。
  我的同事大衛.桑格和我在二○一五年首次披露了俄羅斯對美國國務院的攻擊。桑格、夏恩和艾瑞克.利普頓(Eric Lipton)則在二○一六年關於俄羅斯攻擊美國民主黨全國委員會的報導中,詳細提到俄羅斯其他的攻擊目標。我的同事史帝芬.李.邁爾斯(Steven Lee Myers)針對俄羅斯向愛沙尼亞發動網路攻擊一事撰寫了一篇全面性的報導,但我後來又在史諾登的檔案文件中找到關於俄羅斯納什青年組織更為直接的資料。路透社詳細報導了俄羅斯對法國TV5Monde電視台的攻擊。我的同事克利福德.克勞斯(Clifford Krauss)和我一起詳細報導了俄羅斯在二○一八年攻擊沙烏地阿拉伯拉比格石油公司的石油化學工廠。我的同事大衛.柯克派崔克則詳細記載了俄羅斯試圖操縱二○一七年「英國脫歐」的投票結果。我和大衛.桑格在二○一三年至二○一九年期間寫了許多關於俄羅斯攻擊美國能源輸電網路及美國網路司令部攻擊俄羅斯輸電網路的報導。我與同事邁克爾.懷恩斯(Michael Wines)和馬特.羅森伯格一同記錄了俄羅斯於二○一六年對美國選舉系統後端的攻擊,北卡羅萊納州隨後聘雇當地的公司進行調查,但是仍無法找到問題的解答。亞當.諾西特(Adam Nossiter)、大衛.桑格與我一起詳細報導了俄羅斯於二○一七年對法國大選的攻擊,從該報導中可以一窺法國高明的網路戰備(法國人故意在網路植入假檔案,以便誤導俄羅斯的駭客)。微軟公司於二○一九年後期的一份報告中記錄了俄羅斯對世界反運動禁藥機構(World Anti-Doping Agency)的攻擊。我的同事麗貝卡.魯伊斯(Rebecca Ruiz)披露了俄羅斯在二○一四年索契(Sochi)冬季奧林匹克運動會時使用禁藥的故事,二○一七年報導這樁醜聞的紀錄片《伊卡洛斯》的成功有一大部分的功勞應該歸給麗貝卡。
  我與史考特.夏恩和大衛.桑格共同在《紐約時報》以一系列的報導記錄影子仲介商的洩密事件,詳細分析該事件如何撼動美國國家安全局。安迪.格林伯格寫了一篇關於丹麥運輸企業集團馬士基所受影響的驚人報導,參見:Andy Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” Wired, August 2018。艾倫.中島的報導是最早披露NotPetya軟體出自俄羅斯軍方的文章之一,參見:Ellen Nakashima, “Russian Military Was behind ‘NotPetya’ Cyberattack in Ukraine, CIA Concludes,” Washington Post, January 12, 2018。《美國公共衛生期刊》(American Journal of Public Health)在二○一八年十月號刊登了關於俄羅斯將疫苗接種武器化的「辯論」,那篇文章對此議題有極佳的分析,參見:David A. Broniatowski, Amelia M. Jamison, SiHua Qi, Lulwah AlKulaib, Tao Chen, Adrian Benton, Sandra C. Quinn, and Mark Dredze, “Weaponized Health Communication: Twitter Bots and Russian Trolls Amplify the Vaccine Debate,” American Journal of Public Health, October 2018。
  關於快速採用「物聯網」的統計數據是來自麥肯錫公司於二○一七年的報告,參見:“What’s New with the Internet of Things?”。
  相對於每一百名從事攻擊的網路戰士,只有一人從事防禦工作,這個比例數據取自曾在國家安全局服務三十年的艾德.喬治歐(Ed Giorgio)於二○一五年的RSA資訊安全公司小組會議中所說的話。喬治歐表示,他擔任國家安全局的首席程式編碼者時,曾帶領一個由十七位密碼專家組成的小組,而他領導國家安全局的程式碼破解團隊時,則帶領一個由一千七百位程式碼分析人員所組成的小組。喬治歐也曾在英國的國家安全單位「政府通信總部」工作三年,他在同一場小組會議中指出,這種一百比一的比例確實存在。
  關於俄羅斯散播假新聞一事,我是引用《紐約時報》的同事艾麗西亞.帕拉皮亞諾(Alicia Parlapiano)和潔瑟敏.李(Jasmine C. Lee)的文章,該文詳細描述了俄羅斯如何假冒德克薩斯州獨立運動支持者和「黑人性命攸關」運動的激進分子,參見:Alicia Parlapiano and Jasmine C. Lee, “The Propaganda Tools Used by Russians to Influence the 2016 Election,” New York Times, February 16, 2018。大衛.沙恩(David Shane)和希拉.弗倫克爾在《紐約時報》發表的文章中探討了俄羅斯針對非裔美國人下手的行徑,參見:David Shane and Sheera Frenkel, “Russian 2016 Influence Operation Targeted African-Americans on Social Media,” New York Times, December 17, 2018。桑格和凱蒂.埃德蒙森(Catie Edmonson)在報導中指出,俄羅斯的干擾行動於二○一九年七月已經擴大到美國五十州。另一位同事傑瑞米.阿胥凱納斯(Jeremy Ashkenas)則從附加的理論一路整理到可作為證據的文件檔案,證明干擾二○一六年美國大選的幕後黑手確實是俄羅斯,而非川普總統指稱的「體重四百磅且躺在床上的駭客」。川普批評二○一六年美國大選情報的言論,詳細記載於茱莉.赫希菲爾德.戴維斯(Julie Hirschfeld Davis)的文章:“Trump, at Putin’s Side, Questions U.S. Intelligence on 2016 Election,” New York Times, July 16, 2018。彼得.貝克(Peter Baker)和邁克爾.克勞利(Michael Crowley)於《紐約時報》二○一九年六月的一篇報導則記載了川普與普丁關於干涉選情的奇怪對話。
  關於對美國網路攻擊的數目,因為消息來源的不同而有所差異,但五角大廈於二○一七年表示,每天針對美國國防部電腦網路的掃描、探測和攻擊,已經從二○一五年的四千一百萬次增加到二○一七年的八億次,這些數據由五角大廈發言人詹姆斯.布林德爾中校(Lt. Col. James Brindle)提供,而且可以在掌管資訊行動的海軍副參謀長辦公室查到。


第一章:祕密的儲藏室
  《衛報》的盧克.哈丁(Luke Harding)記錄了該報社與英國政府通信總部於二○一四年一月和二月針對史諾登硬碟資料的往來互動,甚至還提供了《衛報》的編輯毀掉史諾登硬碟的影像畫面。尼古拉.烏魯索夫(Nicolai Ouroussoff)於二○○七年十一月撰寫了一篇關於義大利建築師倫佐.皮亞諾為《紐約時報》設計總部的精采報導。我與傑夫.拉森和史考特.夏恩緊密合作,從史諾登外洩的珍貴資料中找出國家安全局花費多少心力避開數位加密的相關資料。我們的報導“NSA Able to Foil Basic Safeguards of Privacy on Web”於二○一三年九月六日在《衛報》和ProPublica同時發表。隨後幾天,我又報導了這件事情對於負責制定網路安全標準的美國國家標準暨技術研究院(National Institute of Standards and Technology)所造成的餘波。路透社的喬.曼恩針對該報導做了進一步的調查,並且在當年十二月揭露美國國家安全局付錢給網路資訊安全公司的領頭羊RSA,請RSA在其商業加密商品中使用一種可以讓國家安全局恣意破壞的脆弱演算法。
  絕大多數關於國家安全局和英國政府通信總部如何在傳輸途中及傳輸終點取得資料的報導,來源都是史諾登外洩的文件檔案,最先由葛倫.格林瓦爾德(當時服務於《衛報》)、巴頓.蓋爾曼(Barton Gellman)和蘿拉.波伊特拉斯(Laura Poitras)發表於《華盛頓郵報》。波伊特拉斯隨後又與馬塞爾.羅森巴赫(Marcel Rosenbach)和霍爾格.斯塔克(Holger Stark)共同撰寫報導,發表於《明鏡》週刊。我的同事詹姆斯.格蘭茲(James Glanz)、安德魯.萊倫(Andrew Lehren)和傑夫.拉森(當時服務於ProPublica)則在二○一四年一月共同撰寫一篇關於國家安全局及其五眼夥伴如何從手機應用程式中竊取資料的報導。
  大衛.桑格在書中寫下關於「奧林匹克運動會」最詳盡的介紹,參見:David Sanger, “Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power," Broadway Books, 2012,那些內容於二○一二年六月又以新聞報導的形式發表於《紐約時報》。金.澤特在她二○一四年的著作《倒數零時差》中,從最先發現「奧林匹克運動會」偷偷跨越至地球另一端的科技研究人員的角度,檢視該網路攻擊行動。關於中國用來滲透谷歌公司及其他三十多家公司的微軟零時差,最全面性的技術分析來自喬治.庫爾茨(George Kurtz)與當時服務於邁克菲的德米崔.阿爾佩羅維奇,阿爾佩羅維奇後來成為CrowdStrike的共同創辦人之一。
  美國歷史上最昂貴的零時差──「水手一號」導航軟體中某個被遺漏的連字號──記載於美國國家航空暨太空總署的檔案館,內容可藉由連上nssdc.gsfc.nasa.gov/nmc/spacecraft/display.action?id=MARIN1輕鬆讀取。「水手一號」損失的一億五千萬美元是換算今日的幣值。
  喬.曼恩在為路透社撰寫的報導中,明確指出國家安全局竊取雅虎的資料,參見:Joe Menn, “Exclusive: Yahoo Secretly Scanned Customer Emails for U.S. Intelligence,” Reuters, October 2016。
  關於《紐約時報》決定延後公開國家安全局竊聽美國人民電話的醜聞,乃是根據保羅.費里(Paul Fehri)於二○○五年十二月十七日在《華盛頓郵報》發表的報導。史諾登於二○一三年十一月告訴《辯護者報》(Advocate)的記者娜塔莎.巴爾加斯庫珀(Natasha Vargas-Cooper),他選擇不把國家安全局的檔案交給《紐約時報》,就是因為《紐約時報》之前的決策讓他心生疑慮。
  二○一三年八月二十三日,當時服務於Buzzfeed的班.史密斯(Ben Smith)發表了我們在儲藏室裡完成的第一篇作品。關於飯店房卡駭客事件最全面的描述,多年後由安迪.格林伯格發表在《連線》雜誌,參見:Andy Greenberg, “The Hotel Room Hacker,” Wired, August 2017。


第二章:臭鮭魚
  我在本章所提到的工業安全會議是S4會議,由戴爾.彼得森(Dale Peterson)每年在邁阿密主辦。我與那兩位義大利人的部分對話後來刊登於我和大衛.桑格合撰的文章:David Sanger and Nicole Perlroth, “Nations Buying as Hackers Sell Flaws in Computer Code,” New York Times, July 2013。
  大衛.桑格的著作《面對與隱藏》(Confront and Conceal)是描述「奧林匹克運動會」/震網最為詳細的作品。在科技專家對於「奧林匹克運動會」/震網的說明中,勞爾夫.蘭格納於二○一一年發表的TED演說仍是最容易找到的資料之一,在以下網址可查看該影片的內容:www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyber_weapon#t-615276。我應該特別指出:某些以色列出版品宣稱「奧林匹克運動會」這個名稱是暗指美國、以色列、荷蘭、德國和英國等五個國家的情報機構──但我的消息來源質疑這種說法,並表示該名稱其實是指美國和以色列五個合作開發並執行該電腦蠕蟲的機構。


第三章:牛仔
  關於iDefense早期的事,約翰.沃特斯、蘇尼爾.詹姆斯和大衛.恩德勒所提供的時間與回憶都是無價之寶。我也從法院的檔案及新聞稿確認他們對於該公司破產的描述。感謝駭客暱稱為「牛仔醫生」(Doc Cowboy)的BugTraq創始人史考特.查辛(Scott Chasin)、在BugTraq賣給賽門鐵克之前,接任版主的駭客「Aleph One」埃利亞斯.利維(Elias Levy)、暱稱為「雨林小狗」(Rainforest Puppy)的傑夫.佛利斯托以及索米爾.沙亞(Saumil Shah),還有其他願意花無數時間描述當時駭客們與科技供應商互動情況的人。
  史考特.庫爾普(Scott Culp)反對公開漏洞的激烈論點仍可在微軟網站上找到:“It’s Time to End Information Anarchy”。最初的發表時間為二○○一年十月。
  關於網際網路最初期的發展,描述最為深入淺出的是凱蒂.哈夫納(Katie Hafner)和馬修.里昂(Matthew Lyon)的著作,參見:Katie Hafner and Matthew Lyon, Where Wizards Stay Up Late: The Origins of The Internet, Simon & Schuster, 1998。全球資訊網協會(The W3C Organization)有個關於網際網路重要發展歷程的時間表,可參考www.w3.org/History.html。你可在content.time.com/time/magazine/article/0,9171,979768,00.html找到《時代》雜誌一九九三年的報導:“First Nation in Cyberspace”。蓋瑞.特魯多(Garry Trudeau)一九九三年發表於《杜恩斯伯里》的漫畫可以在www.gocomics.com/doonesbury/1993/10/18找到。我強烈建議閱讀葛倫.弗萊胥曼(Glenn Fleishman)於二○○○年十二月在《紐約時報》發表的文章“Cartoon Captures Spirit of the Internet”,內容是關於《紐約客》雜誌那篇著名的漫畫。
  關於微軟爭訟傳奇最全面的報導出自我已經逝世的導師喬爾.布林克利(Joel Brinkley)之筆。我從布林克利一九九八年的文章“As Microsoft Trial Gets Started, Gates’s Credibility is Questioned”中特別摘錄出比爾.蓋茲的話語──「我們要付你們多少錢,才有辦法打倒網景?」(How much do we have to pay you to screw Netscape?)。馬克.祖克柏在二○○九年十月接受亨利.布洛吉特(Henry Blodget)採訪時表示他早期的座右銘是「快速行動,打破陳規」。完整的引述為:「快速行動,打破陳規。除非你能打破陳規,否則表示你的行動還不夠快。」(Move fast and break things. Unless you are breaking stuff, you are not moving fast enough.)
  我參考珍.裴隆(Jane Perrone)在《衛報》發表的文章“Code Red Worm”來形容該電腦蠕蟲。《科學人》雜誌的文章中有更為全面的敘述,參見:“Code Red: Worm Assault on the Web,” October 28, 2002。關於梅麗莎病毒的詳細歷史紀錄可以在聯邦調查局網站上找到:www.fbi.gov/news/stories/melissa-virus-20th-anniversary-032519。為了記述尼姆達電腦病毒,我參考了查爾斯.皮勒(Charles Piller)和格雷格.米勒(Greg Miller)於二○○○年五月在《洛杉磯時報》的報導。在回顧微軟「可信賴電腦行動」的影響時,我的資料來自採訪以及東尼.布拉德利(Tony Bradley)的文章:“The Business World Owes a Lot to Microsoft Trustworthy Computing,” Forbes, 2014;另見微軟公司二○一二年的內部歷史回顧:“At 10-Year Milestone, Microsoft’s Trustworthy Computing Initiative More Important Than Ever”。關於比爾.蓋茲的二○○二年備忘錄,可以在《連線》雜誌的網站上找到:www.wired.com/2002/01/bill-gates-trustworthy-computing。
  iDefense的大衛.恩德勒實際展開臨界點公司的競爭性產品,被稱為「零時差行動」(Zero-Day Initiative)。恩德勒稍微調整了iDefense的模式,不再提供一次性的賞金,而是將那些交出高品質網路漏洞的駭客列入常客名單,並提供頂尖的研究人員高達二萬美元的獎金(沃特斯初期曾經投資臨界點公司,因此就某種意義而言,當他退出這個領域時,他仍算是恩德勒的合作夥伴)。


第四章:首席仲介商
  安迪.格林伯格於二○一二年在《富比士》雜誌發表的報導是最早記載古魯格零時差業務的文章,內容描述古魯格這位南非零時差仲介商坐在一大袋現金旁邊,而那一大袋現金就是他靠著販售零時差賺來的,參見:Andy Greenberg, “ Meet The Hackers Who Sell Spies the Tools to Crack Your PC (and Get Paid Six-Figure Fees)”。我在後續的訪問中得知了格林伯格這篇發表於《富比士》雜誌的報導帶來什麼樣的震撼。
  吉米.薩比恩並不是他真實的姓名,也不是他自己選擇的暱稱,而是我憑空挑選的。如果零時差市場中的任何人正好符合關於吉米.薩比恩的描述,只能說純屬巧合。
  關於大部分的程式錯誤都是人為造成的說法,美國國家科學研究委員會(National Research Council)的某項研究發現,絕大多數的網路安全漏洞是「錯誤的」程式碼造成的。舉例來說,自從一九九七年以來,「計算機應急響應小組」(Computer Emergency Response Team, CERT)至少有三分之一的安全建議與軟體程式碼檢查不當有關。
  薩比恩並未說明他所指的惠普零時差漏洞是什麼,然而在二○○二年的黑帽駭客會議上有兩名研究人員展示了惠普印表機的漏洞,內容聽起來與薩比恩所描述的漏洞幾乎相同。印表機仍然是駭客經常鎖定的目標。震網蠕蟲所依賴的漏洞包括印表機線軸的零時差,該軟體會告訴印表機要列印什麼內容。二○一七年,一名研究生在國家漏洞資料庫(National Vulnerability Database)中發現了一百二十五個印表機漏洞,而且時間可追溯至二十年前。二○一九年有兩位研究人員在六款最普遍的商用印表機中發現了四十九個漏洞,其中一些漏洞可以從遠端存取印表機的資料內容,參見:“NCC Group Uncovers Dozens of Vulnerabilities in Six Leading Enterprise Printers,” NCC Group press release, August 2019。
  美國外交關係協會(Council on Foreign Relations)分析軍事開銷的趨勢,取材自斯德哥爾摩國際和平研究所(Stockholm International Peace Research Institute)及美國經濟分析局(The U.S. Bureau of Economic Analysis),並根據通貨膨脹來調整相關數據,可參見:www.cfr.org/report/trends-us-military-spending。
  美國戰略司令部前司令官詹姆斯.埃利斯關於「格蘭河」的說法,來自派翠克.西倫札(Patrick Cirenza)的文章,參見:Patrick Cirenza, “The Flawed Analogy between Nuclear and Cyber Deterrence,” The Bulletin of the Atomic Scientists, February 2016。


第五章:零時差查理
  我參考安迪.格林伯格的報導來查證查理.米勒分享的故事,參見:Andy Greenberg, “iPhone Security Bug Lets Innocent-Looking Apps Go Bad,” Forbes, 2011。格林伯格還記載了蘋果隨後將米勒列入黑名單的經過,參見:Andy Greenberg, “ Apple Exiles a Security Researcher from Its Development Program for Proof-of-Concept Exploit App”。
  我在《紐約時報》報導了米勒駭入吉普車的行徑,但是格林伯格在《連線》雜誌的報導還包括一段必看的影片,內容關於米勒與其一起從事研究的克里斯.瓦拉塞克(Chris Valasek),參見:www.wired.com/2015/07/hackers-remotely-kill-jeep-highway。
  查理.米勒於二○○七年針對零時差市場出版的白皮書目前仍然找得到,內容還附有塗掉敏感資訊的支票照片,該支票的金額為五萬美元,參見:Charlie Miller, “The Legitimate Vulnerability Market: Inside the Secretive World of 0-day Exploit Sales,” 2007,網址為www.econinfosec.org/archive/weis2007/papers/29.pdf。
  米勒後來攻擊蘋果的iOS軟體與谷歌的安卓軟體都有據可查。我參考了《紐約時報》同事約翰.史瓦茲(John Schwartz)的報導,參見:John Schwartz, “IPhone Flaw Lets Hackers Take Over, Security Firm Says,” 2007,以及Ars Technica網站於二○○八年關於查理.米勒駭入MacBook Air的報導。米勒年輕時曾在一段YouTube影片中說明自己如何在兩分鐘內駭入MacBook Air,參見:www.youtube.com/watch?v=no11eIx0x6w。米勒於二○○七年的黑帽駭客會議分享自己如何入侵蘋果Mac OS X軟體的內容可在這裡收聽:podcasts.apple.com/gb/podcast/charlie-miller-hacking-leopard-tools-techniques-for/id271135268?i=1000021627342。我的同事約翰.馬爾科夫發表了米勒駭入安卓軟體的報導,參見:John Markoff, “Security Flaw Is Revealed in T-Mobile’s Google Phone,” New York Times, October 2008。我還參考了《電腦世界》(Computer World)雜誌與ZDNet網站等科技媒體的報導來查核米勒駭入MacBook Pro的事實。邁克爾.米莫索(Michael Mimoso)於二○○九年在「搜尋資安」(Search Security)網站報導了「不會再有免費提供的程式錯誤」運動。迪諾.戴.佐維在訪談中也提供了有用內容。


第六章:槍手計畫
  對「槍手計畫」最詳盡的報導是已經解密的二○○七年國家安全局歷史檔案,其內容來自莎朗.馬內基(Sharon Maneki)為密碼歷史中心(Center for Cryptologic History)做的訪談,參見:Sharon Maneki, Learning from the Enemy: The GUNMAN Project。
  雖然國家安全局的官方歷史刻意不提那些向美國洩漏俄羅斯貿易情報的盟國名稱,但是「政客」(Politico)網站在二○一七年五月發表的文章中曾經提到法國和義大利,參見:“The Time the Soviets Bugged Congress and Other Spy Tales”。關於俄羅斯在美國駐莫斯科大使館所使用的間諜手法,我參考了好幾篇報導。《紐約時報》一九六四年五月的一則頭條新聞記載了美國科技人才在美國大使館的結構牆上發現四十個竊聽器,參見:“In Moscow, Walls Have Ears (40)”。如果想了解俄羅斯引人入勝但也令人感到悲哀的創意間諜手段,可參考納森尼爾.夏平(Nathaniel Scharping)的文章,內容是關於李昂.特雷門(Leon Theremin)的人生,參見:Nathaniel Scharping, “Creepy Music and Soviet Spycraft: The Amazing Life of Leon Theremin,” Discover, October 2019。特雷門發明的竊聽裝置被植入一九四五年蘇俄贈予美國大使的手工雕刻美國國徽,那些竊聽裝置經歷過四任美國大使,直到一九五二年才被人發現。
  依蓮.西利諾(Elaine Sciolino)的文章詳細描述了美國駐莫斯科大使館遭到竊聽的悲劇,參見:Elaine Sciolino, “The Bugged Embassy Case: What Went Wrong,” New York Times, 1988。
  華特.迪利與他的團隊人員之間的對話,以及關於迪利當時面對壓力的一些細節,參見:Eric Haseltine, The Spy in Moscow Station, 2019。


第七章:教父
  戈斯勒最喜歡的普萊斯.普利契特語錄,可以在普利契特的著作找到,參見:Price Pritchett, The Employee Handbook of New Work Habits for a Radically Changing World: 13 Ground Rules for Job Success in the Information Age, 1994。
  我參考馬修.卡爾(Matthew Carle)為了回顧「常春藤鳴鐘行動」而發表的文章,來敘述當年的海底電纜竊密事件,參見:Matthew Carle, “40 Years Ago, The Navy’s ‘Operation Ivy Bells’ Ended With a 70s Version of Edward Snowden,” Business Insider, 2013。
  洛斯阿拉莫斯國家實驗室的歷史可以在美國能源部的歷史和遺產資源辦公室(Office of History and Heritage Resources)找到,參見:“The Manhattan Project: An Interactive History”。關於桑迪亞國家實驗室開發了美國百分之九十七的非核武器零件,相關資料可參考桑迪亞網站:“Evaluating Nuclear Weapons: A Key Sandia Mission”。艾瑞克.施洛瑟(Eric Schlosser)對於美國的核武意外有充滿娛樂但令人不安的描述,參見:Eric Schlosser, Command and Control: Nuclear Weapons, the Damascus Accident and the Illusion of Safety,” Penguin Press, 2013。
  肯.湯普森於一九八四年的圖靈獎所發表的演說「對於信任的反思」(Reflections on Trusting Trust)可在這裡找到:www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustingTrust.pdf。
  戈斯勒的「監護人計畫」在克雷格.韋納(Craig J. Weiner)於二○一六年在喬治梅森大學(George Mason University)發表的一篇論文中也有詳細介紹,該論文的題目是:“Penetrate, Exploit, Disrupt, Destroy: The Rise of Computer Network Operations as a Major Military Innovation”。
  莫里斯蠕蟲的損失估算取自亞當.利維(Adam Levy)的著作,參見:Adam Levy, Avoiding the Ransom: Cybersecurity for Business Owners and Managers, lulu.com, 2016。
  關於Linux、五角大廈聯合打擊戰鬥機和微軟Vista的程式碼行數,資料來源是理查.丹齊格(Richard Danzig)的文章,參見:Richard Danzig , “Surviving on a Diet of Poisoned Fruit: Reducing the National Security Risks of America’s Cyber Dependencies,” Center for a New American Security, 2014。
  有先見之明的威利斯.威爾在一九六七年發表的「蘭德報告」(RAND Report),正式命名為〈電腦系統的安全和隱私〉(Security and Privacy in Computer Systems),但被人稱為〈威爾報告〉。該報告可在喬治華盛頓大學(George Washington University)的國家安全檔案館查閱:nsar-chive.gwu.edu/dc.html?doc=2828418-Document-01-Willis-H-Ware-RAND-Corporation-P。一九七○年為國防科學委員會工作隊(Defense Science Board Task Force)撰寫的《安德森報告》可在這裡查詢:csrc.nist.gov/csrc/media/publications/conference-paper/1998/10/08/proceedings-of-the-21st-nissc-1998/documents/early-cs-papers/ware70.pdf。
  詳述九一一事件發生前國家安全局在預算與管理上之挑戰的兩篇報導,分別為喬治.卡林克(George Cahlink)的文章:“Breaking the Code,” Government Executive, September 1, 2001,以及羅傑.喬治(Roger Z. George)和羅伯特.克萊恩(Robert D. Kline)的選集:Intelligence and the National Security Strategist: Enduring Issues and Challenges, National Defense University Press, 2006。
  威廉.佩恩(William Payne)和他的前雇主桑迪亞國家實驗室之間的官司,可在美國新墨西哥地方法院一九九七年歸檔的一系列法院檔案中找到。在一九九二年的那場訴訟中,戈斯勒告訴桑迪亞國家實驗室的員工,該實驗室正在為美國國家安全局設計一種「祕密管道」,以便「使用病毒感染電腦的軟體和硬體」,並且「攻破」機械設備和加密演算法。佩恩還聲稱自己曾接受美國聯邦調查局的指示,負責駭入電子軟體。而且戈斯勒曾經試圖招募佩恩加入國家安全局的計畫,可是遭到拒絕。佩恩宣稱自己因為違反國家安全局的工作保密協定而遭到桑迪亞國家實驗室開除。該訴訟案中一再提及《巴爾的摩太陽報》對克里普陀公司的調查。
  史考特.夏恩和湯姆.鮑曼在《巴爾的摩太陽報》發表的文章是關於國家安全局的克里普陀公司行動最早且最深入的報導,參見:Scott Shane and Tom Bowman, “Rigging the Game,” Baltimore Sun, December 10, 1995。十五年後,《華盛頓郵報》的格雷格.米勒在其報導中補充了美國中央情報局與西德的情報部門在克里普陀公司行動中所扮演的角色,包括其代號為「百科全書」(Thesaurus),後來改為「魯比孔」。請參見:www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage。
  關於戈斯勒提出的威脅等級分析,可參見由戈斯勒擔任聯合主席的美國國防部國防科學委員會(Defense Science Board)於二○一三年一月發表的專案小組報告(Task Force Report),標題為“Resilient Military Systems and the Advanced Cyber Threat”,參見:nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf。
  《華盛頓郵報》於二○一三年八月公布了美國國家安全局二○一三年的黑色預算。詳述該項祕密計畫的國家安全局檔案遭到史諾登外洩,並且於二○一三年九月五日在《紐約時報》上公開,標題為“NSA Able to Foil Basic Safeguards of Privacy on the Web”。
  羅伯特.華萊士(Robert Wallace)、奇斯.梅爾頓(H. Keith Melton)與亨利.施萊辛格(Henry R. Schlesinger)於二○○八年的著作詳細補充了中央情報局在電腦網路行動中扮演的角色,參見:Robert Wallace, H. Keith Melton, and Henry R. Schlesinger, Spycraft: The Secret History of CIA’S Spytechs, from Communism to Al-Qaeda, Dutton, 2008。
  道格拉斯.傑爾(Douglas Jehl)在《紐約時報》的文章中引述了詹姆斯.伍爾西(James Woolsey)的證詞,參見:Douglas Jehl, “CIA Nominee Wary of Budget Cuts,” New York Times, February 1993。
  關於索馬利亞任務失敗最詳盡的報導,是喬恩.李.安德森(Jon Lee Anderson)在《紐約客》雜誌發表的文章:“The Most Failed State,” New Yorker, 2009。
  奇斯.亞歷山大的「一堆乾草」評論,在艾倫.中島與喬比.沃里克(Joby Warrick)於《華盛頓郵報》的報導中有詳細的描述,參見:Ellen Nakashima and Joby Warrick, “For NSA Chief, Terrorist Threat Drives Passion to ‘Collect It All,’” Washington Post, July 2013。
  邁克爾.海登關於「信號情報的黃金年代」那句話,取自海登的著作,參見:Playing to the Edge: American Intelligence in the Age of Terror, Penguin Press, 2017。
  關於國家安全局與中央情報局的情報戰歷史,詳細記載於中央情報局一九七六年八月二十日的一份備忘錄,參見:www.cia.gov/library/readingroom/docs/CIA-RDP79M00467A002400030009-4.pdf。哈維.尼爾森(Harvey Nelson)於二○○八年發表的文章也有相關內容的記載,參見:Harvey Nelson, “The U.S. Intelligence Budget in the 1990s,” International Journal of Intelligence and Counterintelligence, 2008。
  中央情報局間諜工具的發展史可以在中央情報局的檔案室找到:“Directorate of Science and Technology: Technology So Advanced, It’s Classified”。參見:www.cia.gov/news-information/featured-story-archive/directorate-of-science-and-technology.html。
  亨利.克朗普頓是戈斯勒在中央情報局的實習生,他在二○一三年的著作中詳細介紹了戈斯勒的工作職掌,參見:Henry A. Crumpton, The Art of Intelligence: Lessons from a Life in the CIA’s Clandestine Service, Penguin Press, 2017。戈斯勒也在其收錄於選集中的論文“The Digital Dimension”裡,詳細介紹了美國中央情報局在電腦網路攻擊中所扮演的角色,參見:ed. by Jennifer E. Sims and Burton Gerber, Transforming U.S. Intelligence, Georgetown University Press, 2005。戈斯勒的結論如下:「這些系統的設計、組裝、測試、計算、維護和操作,為意圖從事細部修改的敵人提供深入的機會。在經過修改之後,系統的機密性、完整性或可用性將會受到損害。」
  戈斯勒的諸多情報獎項請參見亞歷克.羅斯(Alec Ross)的著作《未來產業》(The Industries of the Future)。


第八章:雜食動物
  導致九一一事件發生的情報失誤,最詳盡的紀錄是在「九一一事件委員會報告」(9/11 Commission Report)中,參見:9-11commission.gov/report。美國監察長辦公室在二○○四年十一月關於哈立德.米哈達爾(Khalid Al-Mihdhar)和納瓦夫.哈茲米(Nawaf Al-Hazmi)的特別報告中也有說明,參見:oig.justice.gov/special/s0606/chapter5.htm。
  關於美國國家安全局竊聽和監視計畫的細節,我參考了下列文章:James Bamford, “The NSA Is Building the Country’s Biggest Spy Center (Watch What you Say),” Wired, 2012;Charlie Savage, “Declassified Report Shows Doubts about Value of NSA’s Warrantless Spying,” New York Times, 2015;以及Peter Baker and David Sanger, “Why the NSA Isn’t Howling Over Restrictions,” New York Times, 2015。「必勝客專案」的說法是來自萊恩.辛格爾(Ryan Singel)報導,參見︰Ryan Singel, “Funding for TIA All but Dead,” Wired, 2003。我另外參考了史諾登洩密事件的報導,參見:Glenn Greenwald and Spencer Ackerman, “How the NSA Is Still Harvesting Your Online Data,” Guardian, 2003,以及“NSA Collected U.S. Email Records in Bulk for More Than Two Years under Obama”。
  為了全面了解國家安全局的任務轉變,我參考以下文章:Henrik Moltke, “Mission Creep: How the NSA’s Game-Changing Targeting System Built for Iraq and Afghanistan Ended Up on the Mexico Border,” Intercept, 2019;Charlie Savage and Jonathan Weisman, “NSA Collection of Bulk Call Data Is Ruled Illegal,” New York Times, 2015;以及Scott Shane, “No Morsel Too Miniscule for All-Consuming NSA,” Counterpunch, 2013。攔截新聞網的文章詳細介紹了國家安全局破解資訊科技系統管理員的行動,參見:Ryan Gallagher and Peter Maass, “Inside the NSA’s Secret Efforts to Hunt and Hack System Administrators,” Intercept, 2014。
  關於AT&T與國家安全局的合作,最詳細的報導參見:Julia Angwin, Charlie Savage, Jeff Larson, Henrik Moltke, Laura Poitras, and James Risen, “AT&T Helped U.S. Spy on Internet on a Vast Scale,” New York Times, 2015。
  巴頓.蓋爾曼與艾倫.中島發表了關於國家安全局網路攻擊行動最巨細靡遺的報導,參見:Barton Gellman and Ellen Nakashima, “U.S. Spy Agencies Mounted 231 Offensive Cyber-Operations in 2011, Documents Show,” Washington Post, 2013。攔截新聞網根據同樣的檔案資料也刊登了類似的詳細報導:“Thousands of Implants,” Intercept, March 12, 2014,參見:firstlook.org/theintercept/document/2014/03/12/thousands-implants。
  大衛.桑格和我於二○一四年合寫了一篇有關國家安全局卯上華為公司的報導:“U.S. Penetrated Chinese Servers It Saw as a Spy Risk”。
  《明鏡》週刊發表了一份國家安全局特定入侵行動辦公室內部的投影片,內容詳細說明了特定入侵行動辦公室的駭客如何運作,參見:www.spiegel.de/fotostrecke/photo-gallery-nsa-s-tao-unit-introduces-itself-fotostrecke-105372.html。


第九章:魯比孔
  大衛.桑格在他的著作《面對與隱藏》中詳細描述了白宮內部對震網的研究,我這一章大部分的報導都得歸功於大衛。我也非常感謝金.澤特二○一四年的著作《倒數零時差》,那本書完整記錄了研究人員如何急著找出並解析震網背後的程式碼。這兩本書針對全世界第一個網路武器提供了最吸引人且最全面的說明,更值得花時間詳加閱讀。弗雷德.卡普蘭的著作《黑暗領土》也有助於提供更廣闊的視角。
  描述以色列持續向布希政府施壓的最佳文章之一,是由我在《紐約時報》的同事所撰寫,非常值得重讀,參見:Ronen Bergman and Mark Mazzetti, “The Secret History of the Push to Strike Iran,” New York Times, September 2019。關於以色列的施壓,有一個未被披露的觀點是,大約從二○○六年開始,以色列開始向米德堡提供數百份以色列情報機構摩薩德發現的檔案。二○一八年,班傑明.納坦雅胡公開了其中幾份檔案的內容,試圖說服川普總統退出伊朗核問題全面協定(JCPOA)。納坦雅胡的演講中也出現了其中的一些檔案,請參見www.youtube.com/watch?v=_qBt4tSCALA。二○○七年美國國家情報評估(U.S. National Intelligence Estimate)根據特定入侵行動辦公室的情報做出結論,伊朗在二○○三年美國攻打伊拉克之前就暫停其核武計畫,此後以色列的準備行動也跟著升級。關於國家情報評估,最好的報導是出自蘭德公司的格雷戈里.崔弗爾頓(Gregory F. Treverton),參見:Gregory F. Treverton , “The 2007 National Intelligence Estimate on Iran’s Nuclear Intentions and Capabilities,” Center for the Study of Intelligence, May 2013。關於以色列對美國國家情報評估的了解,詳細記載於:Maj. Gen. Yaakov Amidror and Brig. Gen. Yossi Kupperwasser, “The US National Intelligence Estimate on Iran and Its Aftermath: A Roundtable of Israeli Experts,” Jerusalem Center for Public Affairs, 2008,參見:jcpa.org/article/the-u-s-national-intelligence-estimate-on-iran-and-its-aftermath-a-roundtable-of-israeli-experts-3。
  關於以色列對美國政府施壓的描述,參見:Steven Erlanger and Isabel Kershner, “Israel Insists That Iran Still Seeks a Bomb,” New York Times, December 2007。關於二○○七年在伊拉克死亡的美軍人數,我是參考以下的數據:www.statista.com/statistics/263798/american-soldiers-killed-in-iraq。而對於當年布希聲勢暴跌的民調,我是參考二○○一至二○○八年的《今日美國》/蓋洛普民調(USA Today/Gallup Polls)。該民調顯示,布希二○○七年的支持率從二○○一年的百分之九十下降到低於百分之四十,二○○八年繼續下滑至百分之二十七,參見:news.gallup.com/poll/110806/bushs-approval-rating-drops-new-low-27.aspx。
  我大大仰賴夏恩.哈里斯(Shane Harris)於二○一三年在《外交政策》(Foreign Policy)雜誌對奇斯.亞歷山大的側寫──包括貝爾瓦堡裡面關於《星際爭霸戰》的設計:〈國家安全局的牛仔〉(The Cowboy of the NSA)。關於亞歷山大在國家安全局任職期間的其他資訊,參見:Glenn Greenwald, “Inside the Mind of Gen. Keith Alexander,” Guardian, 2013;以及最厲害的國家安全局編年史專家詹姆斯.班福德與其文章參見:James Bamford, “NSA Snooping Was Only the Beginning: Meet the Spy Chief Leading Us into Cyberwar,” Wired, June 12, 2013。
  關於特定入侵行動辦公室曾試圖破壞蓋達組織通訊網路的敘述,可參考大衛.桑格的《面對與隱藏》及弗雷德.卡普蘭的《黑暗領土》。
  美國和以色列密謀破壞納坦茲核濃縮廠時,伊朗的核濃縮水準距離製造核彈還很遠。到了二○二○年,核彈所需的U-235同位素,伊朗只達到百分之三點七的濃縮度。專家表示,要臻至原子能所需的濃縮度,需要濃縮百分之四的U-235;倘若要打造原子武器,需要濃縮百分之九十的U-235。
  關於伊朗核濃縮計畫當年的狀況,以及伊朗每年因自然事故必須更換百分之十的離心機,請參閱金.澤特於二○一四年介紹震網的傑出著作《倒數零時差》。為了讓外行的讀者易於明白核濃縮,我參考了查爾斯.弗格森(Charles D. Ferguson)的著作,參見:Nuclear Energy: What Everyone Needs to Know, Oxford University Press, 2011。
  我的同事邁克爾.戈登和艾瑞克.史密特發表了關於以色列在希臘進行戰鬥機演習的報導:Michael R. Gordon and Eric Schmitt, “U.S. Says Israeli Exercise Seemed Directed at Iran,” New York Times, June 20, 2008。關於以色列之前襲擊敘利亞的核反應爐,最詳細的記載是:Seymour M. Hersh, “A Strike in the Dark,” New Yorker, February 2008。一年後,丹.墨菲(Dan Murphy)在二○○九年十月為《基督教科學箴言報》撰文時問道:「以色列的空襲能阻止伊朗的核計畫嗎?」(Could an Israeli Air Strike Stop Iran’s Nuclear Program?)他在文章中引用了以色列前空軍司令丹.哈盧茲(Dan Halutz)的話。當時哈盧茲被特別問到以色列願意花費多少心力來阻止伊朗的核計畫。哈盧茲的回答是:「飛兩千公里」──這正好差不多是特拉維夫到納坦茲核濃縮廠的距離。關於以色列攻擊伊拉克奧斯拉克核子反應爐的記述,我參考了大衛.希普勒(David K. Shipler)的報導:“Israeli Jets Destroy Iraqi Atomic Reactor; Attack Condemned by U.S. and Arab Nations,” New York Times, 1981,參見:www.nytimes.com/1981/06/09/world/israeli-jets-destroy-iraqi-atomic-reactor-attack-condemned-us-arab-nations.html。
  關於以色列在迪莫納複製納坦茲核濃縮廠,我是參考大衛.桑格於二○一八年出版的著作《資訊戰爭》。關於馬哈茂德.阿赫馬迪內賈德於二○○八年著名的納坦茲攝影之旅,參見:William Broad, “A Tantalizing Look at Iran’s Nuclear Program,” New York Times, 2008。至於阿赫馬迪內賈德攝影之旅的照片,我是參考二○○八年發表於《伊朗觀察》(Iran Watch)網站上的照片。該網站由威斯康辛州核子軍備控制計畫(Wisconsin Project on Nuclear Arms Control)營運,參見:www.iranwatch.org/our-publications/worlds-response/ahmadinejad-tours-natanz-announces-enrichment-progress。
  關於美國與以色列的網路武器,細節主要來自於我訪問的一些不方便透露姓名的情報官員和分析人員,但其中許多人只證實了大衛.桑格書中的描述,參見:David Sanger, Confront and Conceal, Broadway Books, 2012,以及David Sanger, The Inheritance: The World Obama Confronts and the Challenges to American Power, Crown, 2010。
  關於震網與美國轟炸機的成本比較,我參考了美國政府問責署(U.S. Government Accountability Office)提供的數據以及零點公司網站上公開的漏洞利用程式價目表。根據美國政府問責署的數據,美國採購了二十一架B-2轟炸機,耗資四百四十七億五千萬美元,每架轟炸機的成本為二十一億美元(www.gao.gov/archive/.1997//ns97181.pdf)。根據公開的零時差價目表,二○一九年最昂貴的單一零時差金額為二百五十萬美元,但價格繼續上漲,參見:zerodium.com/program.html。
  關於震網如何進入納坦茲核濃縮廠,有各式各樣說法。二○一九年,金.澤特與胡伯.莫德庫克(Huib Modderkolk)在雅虎新聞中表示,荷蘭情報機關AIVD招募的一名伊朗工程師提供了「關鍵性的資料」以及「使用USB隨身碟潛入震網系統時所需內部存取方式」。由於其他消息來源提供了與其矛盾的資訊,因此我將這視為未決的問題。
  關於震網零時差的細節,我非常感激賽門鐵克的錢艾力與連恩.奧穆爾丘。他們是最早發表對震網程式碼進行詳細分析的人之一。他們的分析後來在二○一二年被史丹佛大學法學院的凱里.納亨伯格(Carey Nachenberg)納入對震網的詳細解析中。我還必須感謝勞爾夫.蘭格納這位「德國人」,從他開始研究震網程式碼已經過了將近十年,我詢問他相關的問題,他仍充滿耐性。蘭格納於二○一一年針對震網所發表的TED演說仍是最容易消化的資料之一,參見:www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyber_weapon?language=en。
  時至今日,伊朗官員依然堅稱他們在大浩劫發生前就已經發現震網,然而官方數據顯示情況並非如此:根據國際原子能機構的紀錄,原子能在二○○七年至二○○九年間逐步穩定增加之後,自二○○九年六月開始逐步下降,隔年繼續減少,參見:David Albright, Paul Brannan, and Christina Walrond, “Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant?” Preliminary Assessment, Institute for Science and International Security, December 22, 2010,以及David Albright, Andrea Stricker, and Christina Walrond, “IAEA Iran Safeguards Report: Shutdown of Enrichment at Natanz Result of Stuxnet Virus?” Institute for Science and International Security Report, November 2010。同年十一月,伊朗原子能組織負責人阿里.阿克巴爾.薩利希向伊朗伊斯蘭共和國通訊社(IRNA)證實震網病毒確實已經到達伊朗:「一年多前,西方人向(我們)國家的核設施發送了病毒。」不過他又繼續表示:「由於我們團隊的高度警覺,我們已在那個病毒打算滲透之處發現該病毒,並且阻止其破壞我們(的設備)。」邁克爾.海登將軍的魯比孔評語取自他於二○一三年二月在喬治華盛頓大學發表的演說:www.c-span.org/video/?c4367800/gwu-michael-hayden-china-hacking。
  有關俄羅斯和北韓攻擊美國系統的歷史,可進一步參閱以下資料:Craig Whitlock and Missy Ryan, “U.S. Suspects Russia in Hack of Pentagon Computer Network,” Washington Post, August 6, 2015,以及Choe Sang-Hun and John Markoff, “Cyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea,” New York Times, July 8, 2009。關於歐巴馬總統對網路安全的評論及表示其二○○八年的競選活動遭到攻擊,參見:“Text: Obama’s Remarks on Cyber-Security,” New York Times, May 29, 2009,網址為www.nytimes.com/2009/05/29/us/politics/29obama.text.html。我還參考了《紐約時報》同事撰寫的震網報導,包括我的前輩約翰.馬爾科夫的文章:“A Silent Attack, but Not a Subtle One,” New York Times, September 27, 2010,以及Broad, Markoff, and Sanger, “Israeli Test on Worm Called Crucial in Iran Nuclear Delay,” New York Times, January 16, 2011。
  蘭格納慷慨地回憶他在TED演講前的那段時光,不過當年的節目更有助於事實的查核。二○一一年的TED節目表請參考conferences.ted.com/TED2011/program/schedule.php.html。


第十章:工廠
  關於雪佛龍的資訊主管當時針對該公司遭受震網攻擊的發言,參見:Rachael King, “Stuxnet Infected Chevron’s IT Network,” Wall Street Journal, November 8, 2010。關於牛隻配備計步器的報導,參見:Nic Fildes, “Meet the ‘Connected Cow,’” Financial Times, October 25, 2007。有關國際商業機器公司(IBM)的華生人工智慧程式的報導,參見:Markoff, “Computer Wins on ‘Jeopardy!’: Trivial, It’s Not,” New York Times, February 16, 2011。蘋果推出語音助理Siri的公告來自蘋果網站:www.apple.com/newsroom/2011/10/04Apple-Launches-iPhone-4S-iOS-5-iCloud。關於五角大廈黑色預算和網路司令部的間諜攻擊行動,參見:Barton Gellman and Ellen Nakashima, “U.S. Spy Agencies Mounted 231 Offensive Cyber-Operations in 2011, Documents Show,” Washington Post, August 30, 2013。該報導的資料來源為史諾登外洩的文件檔案。另見:Ryan Gallagher and Glenn Greenwald, “How the NSA Plans to Infect ‘Millions’ of Computers with Malware,” Intercept, March 12, 2014。關於美國國家安全局漏洞利用與間諜感染行動,最佳的公開報導參見:Jacob Appelbaum, Judith Horchert, and Christian Stöcker, “Catalog Advertises NSA Toolbox,” December 29, 2013。時任五角大廈負責全球安全和國土防衛事務(Global Security and Homeland Defense)的助理國防部長艾瑞克.羅森巴赫(Eric Rosenbach)後來成為五角大廈的「網路沙皇」(Cyber Czar),他在二○一三年三月的AFCA網路安全會議中發表演說,表示擔心海外的敵人與「非國家行為體」會將觸角伸向不斷增長的零時差市場,以攻擊美國的工業系統。其演說可在下列網址觀賞(影片三分二十四秒處):www.c-span.org/video/?c4390789/keynote-address-eric-rosenbach。如欲進一步閱讀相關資訊,請參考二○一三年三月《經濟學人》雜誌發表之關於數位武器貿易不斷增長的見解:〈數位武器貿易〉(The Digital Arms Trade)。邁克爾.海登將軍對於政府「除了我們沒有別人」(NOBUS)系統之評論,參見:Andrea Peterson, “Why Everyone Is Left Less Secure When The NSA Doesn’t Help Fix Security Flaws,” Washington Post, October 4, 2013。關於一位國家安全局分析人員對於駭入路由器的評論,取自史諾登外洩的文件檔案,也在報導中詳細說明,參見“Five Eyes Hacking Large Routers,” Intercept, March 12, 2014。關於國家安全局二千五百一十萬美元的零時差新增項目,消息來源是布萊恩.馮(Brian Fung)於二○一三年八月在《華盛頓郵報》發表的文章,該文章取材自史諾登洩漏的五角大廈黑色預算檔案。有關國家安全局可以用那些資金購買多少零時差的估計,來自史蒂芬.佛萊(Stefan Frei)於二○一三年在網路安全服務實驗室(NSS Labs)的分析:“The Known Unknowns: Empirical Analysis of Publicly Known Security Vulnerabilities”。我的同事史考特.夏恩和我在《紐約時報》詳細記述了史諾登洩密事件對國家安全局士氣的影響,但《華盛頓郵報》也報導了該事件,參見:Ellen Nakashima and Aaron Gregg, “NSA’s Top Talent Is Leaving Because of Low Pay, Slumping Morale and Unpopular Reorganization,” Washington Post, January 2, 2018。關於零時差壽命的獨特實證分析,參見蘭德公司的研究報告:Lillian Ablon and Andy Bogart, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits, RAND, 2017,網址為www.rand.org/pubs/research_reports/RR1751.html。二○一二年稍早的一項研究確定零時差的平均壽命為十個月,該研究於當年的ACM電腦和通訊安全會議(ACM Conference on Computer and Communications Security)上發表,參見:Leyla Bilge and Tudor Dumitras, “Before We Knew It: An Empirical Study of Zero-day Attacks in the Real World,” 2012。
  關於網路漏洞研究實驗室的內容是取自我自己的報導,資料來源為目前與之前的網路漏洞研究實驗室員工,以及網路漏洞研究實驗室網站。可是就在我進行訪問後不久,網路漏洞研究實驗室網站上有關其業務範疇的文字就消失無蹤了。我從目前和之前的網路漏洞研究實驗室員工的LinkedIn網頁上找到該公司各項職務的工作描述──LinkedIn網頁是了解哪些公司從事網路攻擊武器交易的好幫手。特別指出的是,在本章中提及的其他公司,尤其是「殘局」、Netragard和「出埃及記情報站」等公司,都宣稱他們在過去幾年早已停止向政府機關販售零時差。我從政府的合約資料庫中找到了網路漏洞研究實驗室與五角大廈、空軍和海軍的合約。關於網路漏洞研究實驗室的行銷部門宣稱該公司具有「無與倫比的能力」一事,是取自網路漏洞研究實驗室的執行長於該公司被「電腦科學公司」併購時在新聞稿上的發言,參見:“CSC Acquires Vulnerability Research Labs, Press Release,” Business Wire, 2010。有關川普放棄對庫德人民的外交政策的深入報導,參見:Robin Wright, “Turkey, Syria, the Kurds and Trump’s Abandonment of Foreign Policy," New Yorker, October 2019。川普未譴責沙烏地阿拉伯人殘酷謀殺賈邁勒.卡舒吉的敘述,參見全國公共廣播電台的報導:Greg Myre, “Maybe He Did, Maybe He Didn’t’: Trump Defends Saudis, Downplays U.S. Intel,” NPR, November 20, 2018。
  最後,奇斯.亞歷山大擔心零時差到頭來落入不法之徒手中的可能性愈來愈高的言論,參見:James Bamford, “NSA Snooping Was Only the Beginning: Meet the Spy Chief Leading Us into Cyberwar,” Wired, June 2013。


第十一章:庫德人
  這一章要特別感謝目前服務於Fyde手機安全公司的席南.埃倫,謝謝他願意分享他的故事以及他在「免疫力」公司工作時的經驗。此外,如果沒有大衛.埃文登的幫忙,我也不可能寫這些內容。大衛.埃文登分享了他在阿拉伯聯合大公國的經歷──要特別指出的是:他在人身安全方面冒了極大的風險。
  二○一三年三月,我第一次在《紐約時報》上發表關於Revuln公司的報導。兩個月後,路易吉.奧瑞馬和多納托.費蘭特(Donato Ferrante)在報導中告訴路透社的喬.曼恩:「我們販售的不是武器,我們販售的是情報。」參見:Joseph Menn, “Special Report: U.S. Cyberwar Strategy Stokes Fear of Blowback,” Reuters, 2013。
  應該特別指出,關於揭發零時差的辯論並非僅涉及網路安全議題。長期以來,科學家們一直為了要不要發表有助於阻止病毒傳播的生物研究而爭吵不休,因為那些研究結果也可能被邪惡的科學家加以武器化,進而製造出超級生物武器。荷蘭的科學家打算發表他們對於可致命的H5N1「禽流感」病毒如何在哺乳動物之間傳播的研究結果時,一個科學顧問委員會便試圖審查其欲發表的內容。包括美國最知名的傳染病專家安東尼.福西博士(Dr. Anthony Fauci)在內的支持者推掉審查,主張公開討論該研究「可以讓許多好人參與研究,而非讓為數不多的壞人插手」。最終,關於禽流感的論文可以不受限制地發表,參見:Donald G. McNeil, “Bird Flu Paper Is Published after Debate,” New York Times, June 21, 2012。
  關於「瓦聖納協定」的歷史,參見:Raymond Bonner, “Russia Seeks to Limit an Arms Control Accord,” New York Times, April 5, 1996。
  書中關於FinSpy間諜軟體的內容,取材自我在《紐約時報》的報導,那些報導多半是我與多倫多大學蒙克國際研究中心公民實驗室的研究人員共同完成的。我要特別感謝公民實驗室的研究人員比爾.馬可札克,他的研究幫助我完成那些文章。如欲進一步了解,可參閱我在《紐約時報》發表的報導:“Researchers Find 25 Countries Using Surveillance Software,” March 13, 2013;“Elusive FinSpy Spyware Pops Up in 10 Countries,” August 13, 2012;“Software Meant to Fight Crime Is Used to Spy on Dissidents,” August 31, 2012;以及“How Two Amateur Sleuths Looked for FinSpy Software,” August 31, 2012。關於安全研究人員和企業公司為何強烈反對「瓦聖納協定」,可進一步參閱:Kim Zetter, “Why an Arms Control Pact Has Security Experts Up in Arms,” New York Times, June 24, 2015。
  關於加密出口的規則,最佳摘要可在美國商務部工業和安全局網站的圖表中找到。該網站列出了免稅國的銷售情況,以及哪些國家要求賣家取得許可證照,並繪製出每半年的銷售報告任務,參見:www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file。關於「電子監視小黑皮書」目錄以及二○一六年將該目錄重新命名為「大黑皮書」的資料,參見《紐約時報》的專欄文章:Sharon Weinberger, “Private Surveillance Is a Lethal Weapon Anybody Can Buy,” New York Times, July 19, 2019。
  有關凱文.米特尼克開始涉足零時差漏洞利用程式交易,參見:Andy Greenberg, “Kevin Mitnick, Once the World’s Most Wanted Hacker, Is Now Selling Zero-Day Exploits,” Wired, September 24, 2014。關於免疫力公司的「帳篷」程式,其描述是參考免疫力的網站:www.immunityinc.com/products/canvas。
  關於一九九○年代庫德人在土耳其大規模失蹤的進一步資料,請參閱:Human Rights Watch, “Time to Justice: Ending Impunity for Killings and Disappearances in 1990s Turkey,” September 3, 2012,網址為www.hrw.org/report/2012/09/03/time-justice/ending-impunity-killings-and-disappearances-1990s-turkey。
  本章的某些資訊也出自我與同事合撰之關於暗物質與NSO Group的綜合報導,參見:Mark Mazzetti, Adam Goldman, Ronen Bergman and Nicole Perlroth, “A New Age of Warfare: How Internet Mercenaries Do Battle for Authoritarian Governments,” New York Times, March 21, 2019。三年前,在不知道是誰主導阿拉伯聯合大公國對異議分子從事間諜活動的情況下,我報導了關於比爾.馬可札克和約翰.史考特─萊頓(John Scott-Railton)在公民實驗室進行的研究,證據顯示這些間諜活動來自阿拉伯聯合大公國。
  二○一九年,路透社的兩名記者喬爾.舍特曼和克里斯多夫.賓(Christopher Bing)首次披露這些活動不僅與美國的網路傭兵有關,而且還與白宮的前高級反情報官員長達十年試圖打進阿拉伯聯合大公國監控市場的努力有關,參見:Christopher Bing and Joel Schectman, “Inside the UAE’s Secret Hacking Team of American Mercenaries,” Reuters, January 30, 2019,以及“White House Veterans Helped Gulf Monarchy Build Secret Surveillance Unit,” Reuters, December 10, 2019。
  我從與埃文登的訪談以及與CyberPoint和暗物質公司其他員工的訪問中得知,暗物質曾對國際足球總會與卡達官員進行駭客攻擊,以及包括美國前第一夫人蜜雪兒.歐巴馬在內的搜索網路。這本書是首次詳細披露歐巴馬夫人遭駭客入侵的著作。我還透過一些新聞報導補充歐巴馬夫人訪問卡達的細節,包括:Associated Press, “First Lady Michelle Obama Arrives in Qatar for Speech,” November 2, 2015;Nick Anderson, “First Lady Urges Fathers Worldwide to Join ‘Struggle’ for Girls’ Education,” Washington Post, November 4, 2015;Paul Bedard, “Michelle Obama’s 24 Minute Speech in Qatar Cost $700,000,” Washington Examiner, December 9, 2015。事實證明,阿聯酋有充分的理由懷疑卡達賄賂國際足球總會的官員以爭取主辦二○二二年的世界盃足球賽。當這本書正準備付印時,美國司法部於二○二○年四月透露卡達(和俄羅斯)確實已經成功地賄賂了國際足球總會董事會的五名成員,讓俄羅斯成為二○一八年世界盃足球賽的主辦國,以及讓卡達成為二○二二年的主辦國。起訴書指控三名南美洲國際足球總會的官員收受賄賂並投票給卡達,參見:Tariq Panja and Kevin Draper, “U.S. Says FIFA Officials Were Bribed to Award World Cups to Russia and Qatar,” New York Times, April 6, 2020。
  如果你有興趣進一步了解沙烏地阿拉伯、阿拉伯聯合大公國與卡達之間的關係(中東最不為人知的衝突之一),目前最詳盡的報導來自我的同事德克蘭.沃爾許(Declan Walsh)的文章,參見:Declan Walsh, “Tiny, Wealthy Qatar Goes Its Own Way, and Pays for It,” New York Times, January 22, 2018。
  關於阿拉伯聯合大公國的「債務人的監獄」,是透過傑森.德帕勒(Jason DeParle)的報導進行事實查證,參見:Jason DeParle, “Migrants in United Arab Emirates Get Stuck in Web of Debt,” New York Times, August 20, 2011。
  二○一九年末,我和同事馬克.馬澤蒂披露了阿聯酋的監視技術變得多麼創新而且具侵略性。二○一九年十二月,我們公開了ToTok的祕密。ToTok是蘋果和谷歌應用商店裡一種看似無害的簡訊應用程式,但它其實是暗物質的子公司偷偷開發的阿聯酋監控工具。蘋果與谷歌隨即從他們的商店刪除了這種應用程式,然而如同我們在報導中揭露的,阿聯酋當時早已成功地搜集到世界各地數百萬名已下載該應用程式的使用者之通訊錄、臉孔、聲音、照片、電話及簡訊。


第十二章:骯髒的生意
  我非常感謝阿德里爾.德索特爾斯的時間和耐心,與我分享他的漏洞利用程式仲介業務。我從法律聲明中證實了他在二○○二年初與惠普公司發生的衝突。相關的報導參見:Declan McCullagh, “HP Backs Down on Copyright Warning,” Cnet, August 2, 2002,以及Joseph Menn, “Hackers Live by Own Code,” Los Angeles Times, November 19, 2003。
  在第一批公開的間諜軟體賣家側寫中,有一份是彭博社關於馬丁.穆胥(Martin J. Muench)──又名MJM──的介紹。馬丁.穆胥是FinFisher間諜軟體幕後的德國間諜軟體企業家。參見:Vernon Silver, “MJM as Personified Evil Says Spyware Saves Lives Not Kills Them,” Bloomberg, November 8, 2012。後來MJM又成立了一家新公司MuShun Group,並且明目張膽地在阿拉伯聯合大公國與馬來西亞開設新的辦事處。
  在公民實驗室研究人員的大力協助下,我報導了FinFisher和Gamma Group的間諜軟體於不同國家被使用在異議分子身上,參見:“Ahead of Spyware Conference, More Evidence of Abuse,” New York Times, October 10, 2012,以及“Intimidating Dissidents with Spyware,” New York Times, May 30, 2016,還有我後來在《紐約時報》上發表的多篇關於NSO Group的報導。
  喬治.霍茲與零時差仲介商的對話在網路上曝光後,霍茲否認該筆買賣已完成交易。根據後來的報導,蘋果iOS系統的那個漏洞後來以一百萬美元的價格賣給一家中國公司。當被問及這些報導時,霍茲在二○一四年向《華盛頓郵報》表示:「我不太在意道德那方面的事。」參見:Ellen Nakashima and Ashkan Soltani, “The Ethics of Hacking 101,” Washington Post, October 7, 2014。「古魯格」與一大袋靠販售漏洞利用程式賺來的現金合影的惡劣形象,發表於安迪.格林伯格在《富比士》雜誌的報導,該報導的內容包括零時差漏洞利用程式的價目表,參見:Andy Greenberg, “Shopping for Zero-Days: A Price List For Hackers’ Secret Software Exploits,” Forbes, March 23, 2012。安迪表示那些價目表是來自德索特爾斯的Netragard公司與市場上的其他消息來源。我的同事大衛.桑格和我在報導中指出,蘋果iOS系統的零時差最高價碼為二十五萬美元,參見:“Nations Buying as Hackers Sell Flaws in Computer Code,” New York Times, July 13, 2013。後來零點公司於二○一五年十一月在其網站上公開完整的價目表,消除了清單上所有謎團,並顯示蘋果iOS系統的漏洞利用程式價格早就已經漲了一倍。有關零點公司的最新價目表,請參考zerodium.com/program.html。記者記錄了零點公司價格的上漲,參見:Lily Hay Newman, “A Top-Shelf iPhone Hack Now Goes for $1.5 Million,” Wired, September 29, 2016;Andy Greenberg, “Why ‘Zero-day’ Android Hacking Now Costs More Than iOS Attacks,” Wired, September 3, 2019;以及Lorenzo Francheschi-Bicchierai, “Startup Offers $3 million to Anyone Who Can Hack the iPhone,” April 25, 2018。多虧電子前哨基金會主張資訊自由法(Freedom of Information Act),我們才能在二○一五年得知國家安全局是Vupen公司的客戶之一,參見:Kim Zetter, “US Used Zero-Day Exploits Before It Had Policies for Them,” Wired, March 30, 2015。二○一五年,「駭客隊」遭到神祕駭客飛哥.費雪攻擊,為零時差市場展開全新的一頁。「駭客隊」外洩的檔案文件可在維基解密上找到:wikileaks.org/hackingteam/emails。關於該攻擊事件的報導,可參見Vice的主機板網站部落格:Lorenzo Franceschi-Bicchierai, “Spy Tech Company ‘Hacking Team’ Gets Hacked,” July 5, 2015);Lorenzo Franceschi-Bicchierai, “The Vigilante Who Hacked Hacking Team Explains How He Did It,” April 15, 2016;Lorenzo Franceschi-Bicchierai, “Hacking Team Hacker Phineas Fisher Has Gotten Away With It,” November 12, 2018;David Kushner, “Fear This Man,” Foreign Policy, April 26, 2016;Ryan Gallagher, “Hacking Team Emails Expose Proposed Death Squad Deal, Secret U.K. Sales Push and Much More,” Intercept, July 8, 2015;Cora Currier and Morgan Marquis-Boire, “Leaked Documents Show FBI, DEA and U.S. Army Buying Italian Spyware,” Intercept, July 6, 2015;Franceschi-Bicchierai, “Hacking Team’s ‘Illegal’Latin American Empire,” Vice, April 18, 2016;Joseph Cox, “The FBI Spent $775K on Hacking Team’s Spy Tools Since 2011,” Wired, July 6, 2015;以及Mattathias Schwartz, “Cyberwar for Sale,” New York Times, January 4, 2017。
  研究員弗拉德.茨約克萊維奇(Vlad Tsyrklevich)的文章是基於駭客隊洩密事件而進行的零時差市場分析,內容非常出色,參見:Vlad Tsyrklevich, “Hacking Team: A Zero-day Market Case Study,” July 26, 22, 2015,網址為tsyrklevich.net/2015/07/22/hacking-team-0day-market。茨約克萊維奇挑選的例子是駭客隊從印度齋浦爾(Jaipur)一家名為Leo Impact Security的公司購買了微軟Office電子郵件的漏洞利用程式,這是第一次有印度的零時差銷售公司出現。
  文森澤帝在寫給他的團隊的電子郵件中說:「想像一下:如果維基解密洩密,就會讓大家知道這種地球上最邪惡的科技!J」這封充滿先見之明的電子郵件目前仍可在維基解密上找到:wikileaks.org/hackingteam/emails/emailid/1029632。
  關於德索特爾斯宣布結束Netragard的零時差生意的資料來源,參見:Dan Goodin, “Firm Stops Selling Exploits after Delivering Flash 0-Day to Hacking Team,” Ars Technica, July 20, 2015。


第十三章:槍枝出租
  有關「舊金山合夥人」在NSO Group的私人股本投資的描述,參見:Orr Hirschauge, “Overseas Buyers Snap Up Two More Israeli Cyber Security Firms,” Haaretz, March 19, 2014。
  關於聯邦調查局對於其「走向黑暗」的問題首次發表公開聲明,可參見聯邦調查局法律總顧問瓦萊麗.卡普羅尼於二○一一年二月十七日在眾議院司法委員會之犯罪、恐怖主義和國土安全子委員會(House Judiciary Committee, Subcommittee on Crime, Terrorism, and Homeland Security)發表的證詞。這些證詞後來被NSO Group當成行銷的話術。關於NSO Group定價的詳細資訊,參見我在《紐約時報》的報導:“Phone Spying Is Made Easy. Choose a Plan,” September 3, 2016。二○一五年,駭客隊向客戶收取二十萬歐元的安裝費,額外的功能還要另收取五萬歐元到七萬歐元不等的費用。根據外洩的資料顯示,NSO Group入侵五名黑莓機的使用者,要向客戶收取五十萬美元,如果入侵五名諾基亞Symbian手機的使用者,則收取三十萬美元,而且該公司每年還會收取百分之十七的維護費。
  關於駭客隊對於NSO Group的「從空中偷偷安裝」功能而產生的焦慮感,可以在維基解密上參考駭客隊外洩的電子郵件:wikileaks.org/hackingteam/emails/emailid/6619。
  我第一次得知NSO Group與墨西哥政府機關的關係,是從我的消息來源於二○一六年提供的資料。我與墨西哥的阿札姆.艾哈邁德攜手合作,找到了那些墨西哥消費者權益活動家、醫生、記者、國際律師以及鎖定目標的家屬,參見:Nicole Perlroth, “Invasive Spyware’s Odd Targets: Mexican Advocates of Soda Tax,” New York Times, Februbry 12, 2017;Ahmed and Perlroth, “Spyware Meant to Foil Crime Is Trained on Mexico’s Critics,” New York Times, June 19, 2017;Ahmed and Perlroth, “Using Texts as Lures, Government Spyware Targets Mexican Journalists and Their Families,” New York Times, June 19, 2017。我們的報導引發了街頭抗議,墨西哥人民也呼籲政府進行獨立調查。墨西哥總統最後終於承認其政府購買了NSO Group的間諜軟體,但否認濫用該軟體。他還隱約威脅我們,但後來又撤回,參見:Ahmed, “Mexican President Says Government Acquired Spyware but Denies Misuse,” New York Times, June 22, 2017。關於進行獨立調查的呼籲,參見:Kirk Semple, “Government Spying  Allegations in Mexico Spur Calls for Inquiry,” New York Times, June 21, 2017。然而那些調查迄今為止仍毫無進展。
  NSO Group與芬蘭的關係從未被記載。如欲進一步了解芬蘭為何對間諜工具產生興趣,參見:Simon Tidsall, “Finland Warns of New Cold War over Failure to Grasp Situation in Russia,” Guardian, November 5, 2014;以及彭博社的伊萊.磊克(Eli Lake)對芬蘭總統紹利.倪尼斯托的專訪,參見:Eli Lake, “Finland’s Plan to Prevent Russian Aggression,” Bloomberg, June 12, 2019。
  比爾.馬可札克和約翰.史考特─萊頓以及Lookout公司的研究人員是最早在阿拉伯聯合大公國發表NSO Group間諜軟體相關資訊的人,尤其是關於艾哈邁德.曼蘇爾的消息,參見:“The Million Dollar Dissident: NSO Group’s iPhone Zero-Days Used against a UAE Human Rights Defender,” Citizen Lab, August 24, 2016。我轉載了該文的內容,參見:Nicole Perlroth, “iPhone Users Urged to Update Software After Security Flaws Are Found,” New York Times, August 25, 2016。另參見: Perlroth, “Apple Updates iOS to Patch a Security Hole Used to Spy on Dissidents,” New York Times, August 26, 2016,以及Richard Silverstein, “Israel’s Cyber Security Firm ‘NSO Group’ Permits Foreign Intelligence Agencies to Spy on Human Rights Activists,” Global Research, June 20, 2017。後來,馬可札克、萊頓與公民實驗室的研究人員莎拉.麥庫恩(Sarah McKune)、巴爾.阿巴杜.拉札克(Bahr Abdul Razzak)和榮恩.狄伯特(Ron Diebert)將NSO Group的飛馬軟體與在四十五個國家進行的行動連結起來,參見:“Hide and Seek: Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries,” Citizen Lab, September 18, 2018。由於NSO的客戶可以透過其他國家的伺服器或虛擬專用網路發送他們的間諜軟體,藉著全球各地的伺服器來重定其傳輸路線,因此其中一些國家可能只是障眼法,負責代管其他國家的雲端伺服器。
  關於艾哈邁德.曼蘇爾的引文和個人敘述,取自我在曼蘇爾遭到監禁之前的專訪。國際特赦組織(Amnesty International)和波斯灣人權中心(Gulf Centre for Human Rights)一直持續關注曼蘇爾的身體情況。參見:Amnesty International, “UAE: Activist Ahmed Mansoor Sentenced to 10 Years in Prison for Social Media Posts,” May 31, 2018,以及Gulf Centre for Human Rights, “United Arab Emirates: Call for Independent Experts to Visit Ahmed Mansoor, on Liquids Only Hunger Strike since September,” February 2, 2020。

  關於土耳其在新聞權方面的惡劣紀錄,參見:Committee to Protect Journalists, “Turkey: A Journalist Prison,” December 13, 2016。


第十四章:極光
  本章內容主要來自對谷歌公司研究人員的採訪,我很感激他們願意撥冗受訪,並授權讓我報導中國對谷歌系統的網路攻擊。該攻擊行動後來被稱為「極光」。
  關於日本襲擊珍珠港前兆的歷史檔案,參見:“Officer Mistook Radar Warning of Pearl Harbor Raid,” Columbus Dispatch, Februbry 25, 2010。
  我提到從「澳洲內地」物色數位領域的間諜時,指的是美國與澳大利亞聯合營運的松樹谷共同防禦設施(Joint American-Australian Defense Facility Pine Gap spy station),參見Jackie Dent, “An American Spy Base Hidden in Australia’s Outback,” New York Times, November 23, 2017。
  關於謝爾蓋.布林對各種輪式交通工具的喜愛,參見:Richard Masoner, “Sergey Brin Rides an Elliptigo,” Cyclelicious, October 21, 2011。這種喜好也因為電影《實習大叔》(The Internship)而聞名,參見:Megan Rose Dickey, “The Internship’ Movie Is a Two-Hour Commercial for Google,” Business Insider, May 24, 2013。我還參考了二○○七年的謝爾蓋.布林傳記,參見:Mark Malseed, “The Story of Sergey Brin,” May 6, 2007。
  我在《紐約時報》報導了中國的網路攻擊之後不久,我的同事大衛.桑格、大衛.巴博薩和我在二○一三年二月十九日共同發表的文章“China’s Army Seen as Tied to Hacking against U.S.”中,首次披露了中國人民解放軍六一三九八部隊的資訊。該篇報導有一部分是基於麥迪安網路安全公司的研究,數名解放軍駭客後來因此遭到起訴,但目前都尚未被引渡。在此之前,我與我的同事都曾報導過中國大學生與中國對外國目標發動的駭客攻擊有所關聯,參見:John Markoff and David Barboza, “2 China Schools Said To Be Tied To Online Attacks,” New York Times, February 18, 2010;Barboza, “Inquiry Puts China’s Elite In New Light,” New York Times, February 22, 2010;James Glanz and John Markoff, “State’s Secrets: Day 7; Vast Hacking by a China Fearful of the Web,” New York Times, December 5, 2010;以及Perlroth, “Case Based in China Puts a Face on Persistent Hacking,” New York Times, March 29, 2012。關於中國對西方目標發動網路間諜活動的報導,參見:David E. Sanger and Nicole Perlroth, “ Chinese Hackers Resume Attacks on U.S. Targets,” New York Times, May 20, 2013;Perlroth, “China Is Tied To Spying On European Diplomats,” New York Times, Dec 10, 2013;Perlroth, “China Is Said to Use Powerful New Weapon to Censor Internet,” New York Times, April 10, 2015;Helene Cooper, “Chinese Hackers Steal Naval Warfare Information,” New York Times, June 9, 2018;David E. Sanger, Nicole Perlroth, Glenn Thrush, and Alan Rappeport, “Marriott Data Breach Traced to Chinese Hackers,” New York Times, December 12, 2018;以及Nicole Perlroth, Kate Conger, and Paul Mozur, “China Sharpens Hacking to Hound Its Minorities,” New York Times, October 25, 2019。
  我讀到關於谷歌公司與中國審查制度纏鬥的最詳盡報導是來自克萊夫.湯普森(Clive Thompson)二○○六年的文章,參見:Clive Thompson, “Google’s China Problem (And China’s Google Problem),” New York Times Magazine, April 23, 2006。以下可以找到中國官員將谷歌稱為「非法網站」的報導,參見:James Glanz and John Markoff, “Vast Hacking by a China Fearful of the Web,” New York Times, December 4, 2010。美國立法者對谷歌公司的批評,包括一位共和黨國會議員表示谷歌「成了邪惡的共犯」之言論,都可以在公共事務衛星有線電視網(C-SPAN)的國會證詞中找到:“Internet in China: A Tool for Freedom or Suppression”,網址為www.c-span.org/video/?191220-1/internet-china。關於雅虎公司在協助中國官員監禁記者一事所扮演的角色,參見:Joseph Kahn, “Yahoo Helped Chinese to Prosecute Journalist,” New York Times, September 8, 2005。
  有關谷歌在極光攻擊後退出中國市場的描述,請參閱谷歌當時的首席律師大衛.德拉蒙德於二○一○年一月在谷歌部落格發表的文章:“A New Approach to China”。CNN是最早提到該篇部落格文章的新聞媒體之一,參見:Jeanne Meserve and Mike M. Ahlers, “Google Reports China-Based Attack, Says Pullout Possible,” CNN.com, January 13, 2010。謝爾蓋.布林在該攻擊事件發生後罕見地接受我在《紐約時報》的同事史蒂夫.洛爾(Steve Lohr)的專訪,參見:Steve Lohr, “Interview: Sergey Brin on Google’s China Move,” New York Times, March 22, 2010。當時布林錯誤地預測:就長遠的角度來看,中國將不得不停止對網際網路的審查。另參見: Andrew Jacobs and Miguel Helft, “Google, Citing Cyber Attack, Threatens to Exit China,” New York Times, January 12, 2010。該文章指出,有三十四家公司與谷歌遭受同樣的攻擊,但其中許多家的身分至今未知。另參見:Andrew Jacobs and Miguel Helft, “Google May End Venture in China over Censorship,” New York Times。關於谷歌撤出中國市場更詳盡的時間表,參見:Bobbie Johnson, “Google Stops Censoring Chinese Search Engine: How It Happened,” Guardian, March 22, 2010。
  希拉蕊.柯林頓於二○一○年三月針對中國駭客攻擊一事發表的言談,參見: Paul Eckert and Ben Blanchard, “Clinton Urges Internet Freedom, Condemns Cyberattacks,” Reuters, January 21, 2010。
  詹姆斯.科米對於中國駭客攻擊廣度的看法──「美國有兩種大型公司,一種是已經遭到中國駭客攻擊的公司,一種是不知道自己已經被中國駭客攻擊的公司。」(There are two kinds of big companies in the United States. There are those who’ve been hacked by the Chinese, and those who don’t know they’ve been hacked by the Chinese.)──取自科米於二○一四年十月五日接受史考特.佩利(Scott Pelley)在CBS新聞的專訪內容。
  關於中國的否認和回應,參見:Tania Brannigan, “China Responds to Google Hacking Claims,” Guardian, January 14, 2010;Brannigan, “China Denies Links to Google Cyberattacks,” Guardian, February 23, 2010;以及Eckert and Blanchard, “Clinton Urges Internet Freedom, Condemns Cyberattacks”。直到今天,中國依然公開堅稱自己是該網路攻擊事件的受害者,而非加害者。
  根據後來邁克菲遭遇極光攻擊的分析,中國的主要目標是進入並偷偷修改這些高科技網路安全公司及國防承包商的原始程式碼資料庫。「原始程式碼門戶大開。」時任邁克菲研究人員的德米崔.阿爾佩羅維奇表示。「沒有人想過要加以保護,但是從許多方面而言,原始程式碼是大部分這類公司最重要的寶物,比他們耗費許多時間和精力保護的財務資料或個人資料更具有價值。」
  關於谷歌二十億行程式碼的資料來源,參見Cade Metz, “Google Is 2 Billion Lines of Code—And It’s All in One Place,” Wired, September 16, 2015。
  中國禁止小熊維尼的消息來源,參見Javier C. Hernández, “To Erase Dissent, China Bans Pooh Bear and ‘N,’” New York Times, March 1, 2018。
  關於谷歌在領導風格、優先事項及中國策略方面的改變,我參考了下列的報導:Conor Dougherty, “Google Mixes a New Name and Big Ideas,” New York Times, August 11, 2015;James B. Stewart, “A Google C.F.O. Who Can Call Time-Outs,” New York Times, July 24, 2015;以及Luke Stangel, “Chinese Retail Giant Alibaba Opening New R&D Lab in San Mateo,” Silicon Valley Business Journal, October 11, 2017。谷歌重返中國市場的祕密計畫最先在攔截新聞網報導,參見:Ryan Gallagher, “Google Plans to Launch Censored Search Engine in China, Leaked Documents Reveal,” Intercept, August 1, 2018。我的同事凱特.康格和若林大輔報導了谷歌員工隨之而來的抗議,參見:Kate Conger and Daisuke Wakabayashi, “Google Workers Protest Secrecy In China Project,” New York Times, August 17, 2018。班.哈伯德(Ben Hubbard)報導了谷歌和蘋果的應用程式讓沙烏地阿拉伯男性得以追蹤女性家庭成員的消息,參見:Ben Hubbard, “Apple and Google Urged to Dump Saudi App That Lets Men Track Women,” New York Times, February 14, 2019。我的同事史考特.夏恩和若林大輔報導了谷歌為五角大廈進行的專案及隨之而來的反彈,參見:Scott Shane and Daisuke Wakabayashi, “A Google Military Project Fuels Internal Dissent,” New York Times, April 5, 2018。關於谷歌在YouTube上產生的問題,請參閱我同事凱文.羅斯的報導:Kevin Roose, “The Making of a YouTube Radical,” New York Times, June 8, 2019。關於YouTube兒童節目問題的報導,參見:Sapna Maheshwari, “On YouTube Kids, Startling Videos Slip Past Filters,” New York Times, November 4, 2017,該文提到鼓勵自殺的影片通過YouTube的篩檢程式。
  二○一六年底和二○一七年,摩根.馬奎斯─鮑爾花了幾小時、甚至幾天的時間為這本書接受採訪。在我們最後一次訪問結束後幾個月,在一篇讓人不安的文章中,他被指控對女性下藥迷姦,參見The Verge科技新聞網站的文章:Chloe Ann-King, “We Never Thought We’d Be Believed’: Inside the Decade-Long Fight to Expose Morgan Marquis-Boire,” November 29, 2017,以及Sarah Jeong, “In Chatlogs, Celebrated Hacker and Activist Confesses Countless Sexual Assaults,” November 19, 2017。我曾多次試著與摩根.馬奎斯─鮑爾聯繫,可是他沒有回應。


第十五章:賞金獵人
  我之前在《富比士》雜誌工作時,曾經報導過矽谷無情的人才爭奪戰。當時谷歌為了平息跳槽風,將員工的薪資調漲百分之十,臉書則花費數千萬美元以阻止兩位頂級工程師跳槽至推特。當時這些公司還提供「辦公隔間裝潢預算」與一年期的啤酒給員工享用。參見:Perlroth, “Winners and Losers in Silicon Valley’s War for Talent,” Forbes, June 7, 2011。
  如欲進一步了解谷歌的「警察農場」,參見:Google Blog, “Fuzzing at Scale,” August 2011,網址為security.googleblog.com/2011/08/fuzzing-at-scale.html。關於程式錯誤賞金的詳情,參見:Perlroth, “Hacking for Security, and Getting Paid for It,” New York Times, October 14;Steven Melendez, “The Weird, Hyper-Incentivized World Of ‘Bug Bounties,’” Fast Company, January 24, 2014;Andy Greenberg, “Google Offers $3.14159 Million in Total Rewards for Chrome OS Hacking Contest,” Forbes, January 28, 2013。關於阿爾及利亞少年米蘇姆.賽義德賺到足夠的錢改造家裡的房子,並送父母去麥加朝聖的敘述,是來自一次採訪。我還訪問了馬讚.加瑪(Mazen Gamal)和穆斯塔法.哈桑(Mustafa Hassan)這兩名駭客,他們用獎金買了公寓,一名駭客用他的獎金買了一枚訂婚戒指。可以在尼爾斯.朱尼曼的部落格上讀到他如何把獎金花在坦尚尼亞、多哥和衣索比亞的學校:www.nilsjuenemann.de/2012/04/26/ethiopia-gets-new-school-thanks-to-xss。
  另一方面,關於喬基.貝克拉的側寫,參見:Andy Greenberg, “Meet The Hackers Who Sell Spies the Tools to Crack Your PC and Get Paid Six-Figure Fees,” Forbes, March 21, 2012;以及Greenberg, “The Zero-Day Salesman,” Forbes, March 28, 2012。後來在MuckRock公共紀錄服務機構主張「資訊自由法」(FOIA)的情況下,國家安全局與貝克拉簽訂合約並請貝克拉提供服務的內幕才終於曝光,參見:www.muckrock.com/foi/united-states-of-america-10/vupen-contracts-with-nsa-6593/#file-10505。簽約日期為二○一二年九月十四日,由貝克拉本人親自簽名。

  關於駭客隊於二○一五年遭到駭客攻擊的餘波,參見:Kim Zetter, “Hacking Team Leak Shows How Secretive Zero-Day Exploit Sales Work,” Wired, July 24, 2015,以及Lorenzo Francheschi-Bicchierai, “Hacking Team Has Lost Its License to Export Spyware,” Vice, April 6, 2016。在監管機關因為駭客隊遭到攻擊而開始注意零時差市場之後,Vupen公司才更名為零點,參閱:Dennis Fisher, “VUPEN Founder Launches New Zero-Day Acquisition Firm Zerodium,” Threatpost, July 24, 2015。零點公司後來成為第一個開出一百萬美元的價碼徵求蘋果iOS 遠端越獄程式的漏洞利用程式仲介商,該金額為公開徵求漏洞利用程式的最高價碼,參見:twitter.com/Zerodium/status/645955632374288384。
  關於谷歌提高賞金一事,參見:Aaron Holmes, “Google Is Offering a $1.5 Million Reward to Anyone Who Can Pull Off a Complex Android Hack,” Business Insider, November 22, 2019。
  一名檢舉人指控五角大廈的承包商將五角大廈的程式設計外包給俄羅斯編碼員,但兩家承包商都否認該指控。電腦科學公司宣稱它對於分包商NetCracker的行為一無所知,但是檢舉人表示各方當事人都知情。儘管如此,電腦科學公司與NetCracker最後總共花了一千二百七十五萬美元的罰款才擺平這個案子,其中包括向NetCracker的檢舉人支付的二百三十萬美元。
  關於臉書和微軟早期程式錯誤賞金計畫的描述,來自對駭客一號的米希爾.普林斯、喬伯特.阿布馬、亞歷克斯.萊斯、梅里恩.泰爾海根,以及盧塔資訊安全公司(Luta Security)的凱蒂.穆蘇里斯和標竿資本風險投資公司的比爾.古利等人的採訪彙編而成。感謝他們耐心地坐了幾個小時甚至幾天接受訪問。
  有關發現Flame病毒之後對微軟造成的影響,來自於對微軟員工的採訪。我發表了發現Flame病毒的報導,參見:“Microsoft Tries to Make Windows Updates Flame Retardant,” New York Times, June 4, 2012。微軟公司可能遭到中央情報局和國家安全局間諜滲透的理論,最先是由芬蘭的安全研究員米科.海波寧(Mikko Hypponen)提出,參見:Kevin Fogarty, “Researcher: CIA, NSA May Have Infiltrated Microsoft to Write Malware,” IT World, June 18, 2012。
  史諾登外洩的檔案中關於國家安全局稜鏡計畫的資料,二○一三年六月於《衛報》的報導首次曝光。該報導將稜鏡描述為科技公司與美國聯邦調查局、中央情報局和國家安全局之間的「團體活動」。參見:Glenn Greenwald and Ewen MacAskill, NSA Prism Program Taps into User Data of Apple, Google and Others,” Guardian, June 7, 2013。一個月後,《衛報》發表了微軟公司提供國家安全局存取加密資訊權限的報導,參見:Greenwald, MacAskill, Laura Poitras, Spencer Ackerman, and Dominic Rushe, “Microsoft Handed the NSA Access to Encrypted Messages,” Guardian, July 12, 2013。我與我的同事克萊爾.凱恩.米勒報導了國外的官員威脅要「割據」網際網路之後對科技公司的影響,參見:Claire Cain Miller, “N.S.A. Spying Imposing Cost on Tech Firms,” New York Times, March 22, 2014。
  科技媒體於二○一三年報導了微軟推出程式錯誤賞金計畫,參見:Andy Greenberg, “Microsoft Finally Offers to Pay Hackers for Security Bugs with $100,000 Bounty,” Forbes, June 19, 2013。如欲進一步了解程式錯誤賞金計畫的經濟學以及其起源的有用摘要,我推薦以下資訊:Andreas Kuehn and Milton Mueller, “Analyzing Bug Bounty Programs: An Institutional Perspective on the Economics of Software Vulnerabilities”,這份二○一四年發表的論文內容在papers.ssrn.com/sol3/papers.cfm?abstract_id=2418812;Mingyi Zhao, Aron Laszka, and Jens Grossklag, “Devising Effective Policies for Bug-Bounty Platforms and Security Vulnerability Discovery,” Journal of Information Policy, 2017,其中討論了臉書、谷歌、Bugcrowd和駭客一號的程式錯誤賞金計畫的訊雜比(signal-to-noise ratio)。比爾.古利提供了標竿資本風險投資公司早期投資駭客一號的背景資料。
  我的同事和我報導了中國對美國人事管理局發動的攻擊,參見:David Sanger, Michael Shear, and Nicole Perlroth, “Attack Gave Chinese Hackers Privileged Access to U.S. Systems,” New York Times, June 21, 2015。
  關於五角大廈第一個漏洞賞金計畫的描述,我採訪五角大廈官員、參與賞金計畫的私人資訊安全公司,以及相關的公開報導,參見:Lisa Ferdinando, “Carter Announces, ‘Hack the Pentagon’ Program Results,” DOD News, June 17, 2016;U. S. Department of Defense, “D.O.D. Expands ‘Hack the Pentagon’ Crowdsourced Digital Defense Program,” press release, October 24, 2018;Jason Murdock, “Ethical Hackers Sabotage F-15 Fighter Jet, Expose Serious Vulnerabilities,” Newsweek, August 15, 2019;Aaron Boyd, “DOD Invests $34 Million in Hack the Pentagon Expansion,” Nextgov.com, October 24, 2018。
  已退伍的國家安全局副局長克里斯.英格利斯的那句話,取自丹.吉爾的文章,參見:Dan Geer, Cybersecurity as Realpolitik, 2014 Black Hat Talk, August 6, 2014,網址為 geer.tinho.net/geer.blackhat.6viii14.txt。


第十六章:走向黑暗
  在史諾登的洩密事件中,最受人批評的是《華盛頓郵報》於二○一三年十月發表的一篇報導中,披露一張國家安全局分析人員使用的便利貼,上面畫著國家安全局如何駭入谷歌公司與雅虎的資料中心。那張便利貼還在谷歌資料尚未加密的路徑上畫了一個笑臉,參見:Barton Gellman and Ashkan Soltani, “NSA Infiltrates Links to Yahoo, Google Data Centers Worldwide, Snowden Documents Say,” October 30, 2013。同時請參閱由蓋爾曼、索爾塔尼(soltani)和塔德.林德曼(Todd Lindeman)共同為《華盛頓郵報》撰寫的附錄,參見:Gellman, Soltani, and Todd Lindeman, “How the NSA Is Infiltrating Private Networks,” Washington Post, October 30, 2013。關於國家安全局竊取電子郵件及通訊錄,參見:Gellman and Soltani, “NSA Collects Millions of Email Address Books Globally,” October 14, 2013。關於該事件對科技公司和國家安全局的後續影響,參見:“Google’s Schmidt: NSA Spying on Data Centers Is ‘Outrageous,’” Wall Street Journal, November 4, 2013;Mike Masnick, “Pissed Off Google Security Guys Issue FU to NSA, Announce Data Center Traffic Now Encrypted,” Techdirt, November 6, 2013;Alexei Oreskovic, “Google Employees Lash Out at NSA over Reports of Cable Tapping,” Reuters, November 6, 2013;Vindu Goel, David Sanger, and Nicole Perlroth, “Internet Firms Step Up Efforts to Stop Spying,” New York Times, December 5, 2013;David E. Sanger and Nicole Perlroth, “Internet Giants Erect Barriers to Spy Agencies,” New York Times, June 6, 2014。我強烈推薦史帝芬.萊維(Steven Levy)的綜合報導,參見:Steven Levy, “How the NSA Almost Killed the Internet,” Wired, January 7, 2014。
  關於谷歌推出零計畫的第一篇公開報導,參見:Andy Greenberg, “Meet ‘Project Zero,’ Google’s Secret Team of Bug-Hunting Hackers,” Wired, July 15, 2014。零計畫在微軟發現的第一個重要漏洞引發了兩家公司的口水戰。關於這方面的更多資訊,參見:Steve Dent, “Google Posts Windows 8.1 Vulnerability before Microsoft Can Patch It,” Engadget.com, January 2, 2015;Lorenzo Francheschi-Bicchierai, “How Google Changed the Secretive Market for the Most Dangerous Hacks in the World,” Vice, September 23, 2019。要了解李政勳(暱稱為洛基哈特)發現的漏洞,參見:Russell Brandom, “A Single Researcher Made $225,000 (Legally!) by Hacking Browsers This Week,” The Verge, March 20, 2015。零計畫在一份追蹤表上記錄了其發現的零時差,參見:googleprojectzero.blogspot.com/p/0day.html。
  我認為提姆.庫克比矽谷其他公司的執行長都更樂於親近記者。庫克會利用與記者互動的機會分享他個人的觀點,內容包括隱私權與外來移民等各種議題。這種面對面的談話大大幫助了這本書,尤其是這一章。希望矽谷其他執行長也能效法!
  庫克向彭博社描述他童年時期看到三K黨的往事,參見:“Tim Cook Speaks Up,” October 30, 2014。另請觀看提姆.庫克於二○一九年受邀在史丹佛大學畢業典禮上致詞的演講內容:www.youtube.com/watch?v=2C2VJwGBRRw。我的同事記載了庫克剛開始擔任執行長的早期經歷,參見:Matt Richtel and Brian X. Chen, “Tim Cook, Making Apple His Own,” New York Times, June 15, 2014。
  史諾登洩密事件曝光後,歐巴馬總統於二○一四年與庫克和其他科技公司高層主管舉行了幾次祕密會談。當年十二月,歐巴馬會見了庫克、雅虎的瑪麗莎.梅爾(Marissa Mayer)、推特的迪克.科斯托洛(Dick Costolo)、谷歌的艾瑞克.史密特、臉書的雪柔.桑德伯格、通播集團(Comcast)的布萊恩.羅伯茲(Brian Roberts)、AT&T的藍首爾.史帝文森、微軟的布拉德.史密斯、LinkedIn的艾瑞卡.羅騰貝格(Erika Rottenberg)和網飛公司(Netflix)的里德.哈斯廷斯(Reed Hastings)。官方議程是討論如何改善Healthcare.gov,但話題很快就被轉移到政府監督和公眾逐漸消退的信任上,參見:Jackie Calmes and Nick Wingfield, “Tech Leaders and Obama Find Shared Problem: Fading Public Trust,” New York Times, December 17, 2013。有關他們於八月初舉行的會議,參見:Tony Romm, “Obama, Tech Execs Talk Surveillance,” Politico, August 8, 2013。這些文章沒有提到庫克收到的信件,關於那些信件的消息來自其他訪談。
  庫克首次推出蘋果新款iPhone的安全保障,被科技媒體廣泛報導,參見:John Kennedy, “Apple Reveals 4.7-inch and 5.5-inch iPhone 6 and iPhone 6 Plus Devices,” Siliconrepublic.com, September 9, 2014;David E. Sanger and Brian Chen, “Signaling Post-Snowden Era, New iPhone Locks Out N.S.A.,” New York Times, September 26, 2014。
  關於詹姆斯.科米的「走向黑暗」宣傳之旅,參見:Igor Bobic and Ryan J. Reilly, “FBI Director James Comey ‘Very Concerned’ about New Apple, Google Privacy Features,” Huffington Post, September 25, 2014;James Comey, “Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course?” Full Remarks, Brookings Institution, October 16, 2014;以及史考特.佩利於二○一五年六月二十一日在《六十分鐘》節目中與科米進行的訪談。
  有關國家安全局致力破解加密程式的詳細描述,請參閱我與ProPublica在《紐約時報》合作撰寫的文章,參見:Nicole Perlroth, Jeff Larson, and Scott Shane, “NSA Able to Foil Basic Safeguards of Privacy on Web,” New York Times, September 5, 2013。
  對於聖貝納迪諾槍擊案的描述,參見:Adam Nagourney, Ian Lovett, Julie Turkewitz, and Benjamin Mueller, “Couple Kept Tight Lid on Plans for San Bernardino Shooting,” New York Times, December 3, 2015。關於蘋果公司和聯邦調查局後續的互動,我與我的同事在《紐約時報》都有大篇幅的報導,參見:Mike Isaac, “Why Apple Is Putting Up a Fight Over Privacy with the F.B.I.,” February 18, 2016;Cecilia Kang and Eric Lichtblau, “F.B.I. Error Led to Loss of Data in Rampage,” March 2, 2016;Eric Lichtblau and Katie Benner, “Apple Fights Order to Unlock San Bernardino Gunman’s iPhone,” New York Times, February 17, 2016。
  當時聯邦調查局要求蘋果公司修改其iOS手機軟體,安全研究人員嘲笑地表示要為政府研發「GovtOS」軟體。參見:Mikey Campbell, “Apple Rails against FBI Demands for ‘Govtos’ in Motion to Vacate Decryption Request,” Appleinsider.com, February 25, 2016。
  提姆.庫克在訪談中親口說出該公司正與聯邦調查局進行纏鬥,他還在二○一六年二月十六日發了一則訊息給蘋果公司所有的客戶:“A Message to Our Customers”。蘋果員工私底下表示,鑑於政府未能抵擋中國駭客入侵美國人事管理局,他們實在無法放心地將蘋果系統的通訊金鑰交給政府,因為政府連自己員工的基本資料都保護不了。
  聖貝納迪諾槍擊案受害者之一的母親卡蘿.亞當斯公開支持蘋果的引文,參見:Tony Bradley, “Apple vs. FBI: How Far Can the Government Go in the Name of ‘National Security’?” Forbes, February 26, 2016。
  關於詹姆斯.科米史無前例地承認美國聯邦調查局已支付駭客約一百三十萬美元為聖貝納迪諾槍擊案槍手的iPhone解鎖一事,參見:Eric Lichtblau and Katie Benner, “FBI Director Suggests Bill for iPhone Hacking Topped $1.3 Million,” New York Times, April 21, 2016。
  不過記者們很快就採訪到Cellebrite的說法,該公司宣稱他們替美國聯邦調查局駭入了槍手的iPhone。然而那些報導並不正確,相關的錯誤報導可參見:Jonathan Zalman, “The FBI Is Apparently Paying an Israel-Based Tech Company $15,278.02 to Crack San Bernardino Killer’s iPhone,” Tablet, March 24, 2016。
  美國聯邦調查局坦承其購買iPhone程式漏洞的四個月後,蘋果公司在當年八月舉行的黑帽駭客會議上宣布,他們將開始向駭客懸賞程式錯誤並支付獎金。這麼多年來,谷歌、臉書、微軟等公司都已經開始提供駭客賞金,但蘋果一直堅持不肯隨波逐流,態度引人矚目。該公司的高階主管認為,公司裡的研究人員原本就會提供程式漏洞的訊息,因此不應該再給予金錢方面的獎勵。他們還表示蘋果公司開出的價錢永遠比不上政府機關支付的價碼。然而,就在聯邦調查局引發的爭議讓人們注意到iOS系統的漏洞有利可圖之後,蘋果公司終於屈服了,邀請一組駭客,提出高達二十萬美元的賞金,交換蘋果手機的韌體中的漏洞。韌體是嵌入在硬體中最接近機器金屬裸面的軟體。隨著蘋果iOS系統的漏洞利用程式在地下市場的價格不斷攀升,iOS的漏洞利用程式在二○一九年已經開始出現在NSO Group和其他公司的間諜軟體中。於是蘋果公司又將最高賞金提高至一百萬美元,懸賞可以讓駭客在不被察覺的情況下侵入設備核心的「無須點擊」遠端漏洞,並且將其賞金計畫向一般大眾開放,二○二○年還開始在名為「iOS安全研究設備方案」(iOS Security Research Device Program)的新計畫中,提供駭客特殊的iPhone手機。那些手機含有獨特功能──例如具有除去程式錯誤的功能──可使駭客更容易發現手機的弱點,比方說探測蘋果iOS一部分的操作系統和記憶體,這些弱點在市售的iPhone手機上已經被鎖住,無法進行存取。
  究竟多少國家持有精密的網路攻擊程式,相關資料非常稀少。然而美國國家安全局前副局長理查.萊傑特(Richard Ledgett)於二○一七年發表演說時告訴聽眾,目前全球有「超過一百個」國家具備發動網路攻擊的能力,參見:Mike Levine, “Russia Tops List of 100 Countries That Could Launch Cyberattacks on US,” ABC News, May 18, 2017。這證實了我與大衛.桑格的報導,參見:“Nations Buying as Hackers Sell Flaws in Computer Code,” New York Times, July 2013。


第十七章:網界高卓人
  有關阿根廷進口限制造成高畫質電視比原價貴一倍,而且要等六個月才到貨,主要參考:Ian Mount, “A Moveable Fiesta,” New York, February 17, 2006。
  國際大學校際程式設計競賽(ICPC)歷年比賽結果,請見://icpc.baylor.edu/worldfinals/results。這項競賽是歷史最悠久、最頂尖的程式設計大賽,從官網歷年比賽結果可以看出,美國隊經常輸給來自俄羅斯、波蘭、中國、南韓等國家的隊伍。
  有關美國國安局內部士氣低落,參見:Ellen Nakashima and Aaron Gregg, “NSA’s Top Talent Is Leaving Because of Low Pay, Slumping Morale and Unpopular Reorganization,” Washington Post, January 2, 2018。
  西薩.瑟魯多駭入交通號誌系統的深入報導,請見我在《紐約時報》的文章:“Traffic Hacking: Caution Light Is On,” June 10, 2015。
  巴西網路犯罪問題資料來源:Janes Intelligence Review: “Brazil Struggles with Effective Cybercrime Response,” 2017。邁克菲公司的一份報告也顯示,巴西每年因網路犯罪損失七十億至八十億美元,包括密碼外洩、信用卡詐騙以及其他網路攻擊類型,其中百分之五十四的案件都來自國內駭客,參見:McAfee and Center for Strategic International Studies, “Economic Impact of Cybercrime—No Slowing Down,” February 2018。
  丹.吉爾在二○一四年黑帽大會上的主題演講,請見:Tim Greene, “Black Hat Keynote: U.S. Should Buy Up Zero-day Attacks for 10 Times Going Rate,” Network World, August 7, 2014。
  有關二○○一年阿根廷的大規模抗議活動,參見當時的報導:Uki Goni, “Argentina Collapses into Chaos,” Guardian, December 20, 2001。
  「網界高卓人」阿弗列多.歐爾特加對核子科學家的處境並不陌生,多數登山客不知道,巴塔哥尼亞曾有一座祕密核子實驗室。一九四○年代末,奧地利裔德國科學家羅納德.芮赫特(Ronald Richter)說服阿根廷總統建造一座「冷核融合」實驗室,三年後,該計畫燒了四億多美元,卻以失敗告終,芮赫特也被控造假入獄。但這項計畫為阿根廷的首座核反應爐奠定基礎,五十年後,阿根廷的核反應爐享譽全球,主要用於醫療檢驗和治療。歐爾特加告訴我,他在巴塔哥尼亞有一位兒時玩伴是核子科學家,現在很少踏出國門,因為擔心會被綁架:「他如果去卡達或沙烏地阿拉伯,被綁架的風險太大了,有人會逼他發展核武計畫。」歐爾特加擔心,如果他賣漏洞利用程式的消息傳出去,特別是能穿過核設施的氣隙、入侵衛星,或打亂全球供應鏈的漏洞程式,大概也得面臨同樣的命運。有關阿根廷的核反應爐,參見:Charles Newbery, “Argentina Nuclear Industry Sees Big Promise in Its Small Reactors,” Financial Times, September 23, 2018。
  近年有關美國與阿根廷關係的文章,我強烈推薦:Graciela Mochkofsky, “Obama’s Bittersweet Visit to Argentina,” New Yorker, March 23, 2016。欲進一步了解費南德茲與避險基金之間的恩怨,以及美國政府想暗殺她的陰謀論,請見:Agustino Fontevecchia, “The Real Story of How a Hedge Fund Detained a Vessel in Ghana and Even Went for Argentina’s Air Force One,” Forbes, October 5, 2012;另見:Linette Lopez, “The President of Argentina Thinks the US Wants Her Dead,” Business Insider, October 2, 2014。
  比爾.柯林頓在二○○二年下令解密的文件顯示,一九七六年六月,阿根廷軍政府執行嚴重違反人權的肅清行動期間,時任美國國務卿的亨利.季辛吉要阿根廷外交部長西薩.奧古斯托.古澤蒂(Cesar Augusto Guzzetti)放手去做。季辛吉在同年於聖地牙哥舉行的一場會議上對古澤蒂說:「如果有該做的事就要趕快做。我們一直在密切注意阿根廷的局勢,我們祝福新政府,希望新政府成功,幫得上忙的地方我們都會幫……如果能在國會做出決定前擺平,那就最好不過。」參見:National Security Archive Electronic Briefing Book No. 133, Dec 4, 2003, nsarchive2.gwu.edu/NSAEBB/NSAEBB104/index.html。


第十八章:超級風暴
  本章資料來源主要是跟美國官員和高階主管進行的訪談,也引用我於二○一二年至二○一九年間在《紐約時報》寫的報導。沙烏地阿美公司遭網路攻擊的深入報導,參見:Nicole Perlroth, “In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back,” New York Times, October 23, 2012。
  阿卜杜拉.薩丹談伊朗那次網路攻擊的目的,參見:“Aramco Says Cyberattack Was Aimed at Production,” Reuters, December 9, 2012。
  攻擊美國目標的駭客事件激增,資料來自我在《紐約時報》的文章:“Hacked Vs Hackers, Game on,” New York Times, December 3, 2014。由於網路攻擊頻仍,歐巴馬政府試圖推動立法保護網路安全,卻始終未獲國會通過,相關資料參見:Michael S. Schmidt and Nicole Perlroth, “Obama Order Gives Firms Cyberthreat Information,” New York Times, February 12, 2013;另見:Nicole Perlroth, David E. Sanger, and Michael S. Schmidt, “As Hacking against U.S. Rises, Experts Try to Pin Down Motive,” New York Times, March 3, 2013,以及Nicole Perlroth, “Silicon Valley Sounds Off on Failed Cybersecurity Legislation,” New York Times, August 3, 2012。
  欲進一步了解伊朗網路軍力,參見:Ashley Wheeler, “Iranian Cyber Army, the Offensive Arm of Iran’s Cyber Force,” September 2013,網址:www.phoenixts.com/blog/iranian-cyber-army。伊朗政府自稱擁有全球第四大網路軍團,參見:“Iran Enjoys 4th Biggest Cyber Army in the World,” FARS (Tehran), February 2, 2013。
  美國智慧財產遭中國竊取的代價,參見美國智慧財產委員會(Intellectual Property Commission)的報告:“The Theft of American Intellectual Property: Reassessments of The Challenge and United States Policy,” published May 22, 2013, updated February 27, 2017。我那篇《紐約時報》遭到中國駭客入侵的報導,請見:“Chinese Hackers Infiltrate New York Times Computers,” New York Times, Jan 30, 2013。揭露這個事件對其他中國網路攻擊受害者的改變,參見:Perlroth, “Some Victims of Online Hacking Edge into the Light,” New York Times, February 20, 2013。我和同事大衛.桑格、大衛.巴傳薩揭露背後駭客就是中國解放軍六一三九八部隊的報導,請見:David E. Sanger, David Barboza, and Nicole Perlroth, “Chinese Army Unit Is Seen as Tied to Hacking against U.S.,” New York Times, February 18, 2013。美國司法部對起訴解放軍六一三九八部隊成員的說明,請見:“U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage,” Department of Justice, May 19, 2014,並參見我們在《紐時》的報導:Sanger and Perlroth, “Hackers from China Resume Attacks on U.S. Targets,” May 19, 2013。不到一年,我和CrowdStrike合作,又找到另一個曾攻擊多個美國目標的解放軍駭客單位,請見:“2nd China Army Unit Implicated in Online Spying,” New York Times, June 9, 2014。
  伊朗對美國境內銀行的網路攻擊,參見:Nicole Perlroth and Quentin Hardy, “Bank Hacking Was the Work of Iranians, Officials Say,” New York Times, January 8, 2013。有關伊朗駭客的攻勢從搞破壞的阻斷服務攻擊,漸漸演變為更具殺傷力的網路攻擊,參見:Perlroth and Sanger, “Cyberattacks Seem Meant to Destroy, Not Just Disrupt,” New York Times, March 28, 2013。
  關於伊朗駭客入侵紐約州西徹斯特郡包曼大道水壩事件,麥可.丹尼爾很有耐心地花時間為我解釋美國政府的應對。事件過後三年,美國司法部起訴七名伊朗人,指他們就是攻擊銀行和包曼大道水壩的主事者,這七人是Hamid Firoozi、Ahmad Fathi、Amin Shokohi、Sadegh Ahmadzadegan(以駭客代號Nitr0jen26著稱)、Omid Ghaffarinia(駭客代號PLuS)、Sina Keissar以及Nader Saedi(駭客代號Turk Server),他們一起受雇於伊斯蘭革命衛隊的幌子公司ITSecTeam和Mersad。入侵水壩的駭客是Firoozi,起訴書指出,Firoozi一再存取水壩的水位、壓力、水閘門等作業資訊,但沒有說明他究竟原本志在規模大得多的俄勒岡州包曼大壩,還是只想了解美國水壩的運作,為日後的攻擊行動進行測試,不管如何,美國機關都會預設來者不善。欲進一步了解美國司法部對伊朗駭客的起訴,請見:David E. Sanger, “U.S. Indicts 7 Iranians in Cyberattacks on Banks and a Dam,” New York Times, March 24, 2016;另見:Joseph Berger, “A Dam, Small and Unsung, Is Caught Up in an Iranian Hacking Case,” New York Times, March 25, 2016。有關伊朗駭客入侵美國海軍的電腦,參見:Julian E. Barnes and Siobhan Gorman, “U.S. Says Iran Hacked Navy Computers,” Wall Street Journal, September 27, 2013。
  從二○○九年開始,美國研究人員公開指明,來自中國的網路攻擊都是由獲得中國八六三計畫資助的中國大學所為,中國否認此說法,參見:Michael Forsythe and David E. Sanger, “China Calls Hacking of U.S. Workers’ Data a Crime, Not a State Act,” New York Times, December 2, 2015。
  有關潘內塔在無畏號航空母艦上的演說,參見當時的報導:Elisabeth Bumiller and Thom Shanker, “Panetta Warns of Dire Threat of Cyberattack on U.S.,” New York Times, October 11, 2012。潘內塔在演說中提到美國境內銀行和沙烏地阿美公司遭到網路攻擊,並表示希望這場演講能成為「吹響行動的號角」,促成美國採取措施打擊網路威脅。他甫結束演講步下講台,台下以商界領袖為主的觀眾就有人指責他誇大其詞、過度渲染,顯然是想要影響國會。潘內塔會後接受記者採訪時駁斥這種說法:「我要說的重點是,我們不能坐在這裡等他媽的危機真的發生了才來反應,美國常常就是這樣。」
  金沙賭場遭伊朗駭客攻擊最深入的報導,參見:Ben Elgin and Michael Riley, “Now at the Sands Casino: An Iranian Hacker in Every Server,” Bloomberg, December 12, 2014。
  謝爾登.阿德爾森引發伊朗駭客攻擊其賭場的言論,參見:Rachel Delia Benaim and Lazar Berman, “Sheldon Adelson Calls on U.S. to Nuke Iranian Desert,” Times of Israel, October 24, 2013。至於伊朗的回應,最高領袖哈米尼說阿德爾森「應該被賞一巴掌」,聽起來好像沒什麼,但哈米尼後來再說賞人耳光,是二○一九年的事,那次伊朗向美國在伊拉克的聯合軍事基地發射了二十二枚飛彈,報復美國以無人機擊斃伊朗將軍卡山.蘇雷曼尼,哈米尼當時也稱那次的飛彈攻勢是「賞一巴掌」。
  北韓在二○一四年十二月以非常類似的手法攻擊索尼影業,我和同事大衛.桑格在《紐時》的報導:“U.S. Said to Find North Korea Ordered Cyberattack on Sony,” December 17, 2014。媒體對索尼影業郵件外洩風波的報導,參見:Sam Biddle, “Leaked: The Nightmare Email Drama Behind Sony’s Steve Jobs Disaster,” Gawker, December 9, 2014;另見:Kevin Roose, “Hacked Documents Reveal a Hollywood Studio’s Stunning Gender and Race Gap,” Fusion, December 1, 2014。
  歐巴馬政府對索尼影業被駭事件的反應,參見:David E. Sanger, Michael S. Schmidt, and Nicole Perlroth, “Obama Vows a Response to Cyberattack on Sony,” New York Times, December 19, 2014。一星期後北韓斷網的報導,請見:Nicole Perlroth and David E. Sanger, “North Korea Loses Its Link to the Internet,” New York Times, December 22, 2014。
  美國前朝官員否認他們和北韓二○一四年十二月二十二日的斷網有關,並指出歐巴馬政府在二○一五年一月對北韓實施的制裁才是官方回應。當時,白宮宣布制裁北韓十名高層和一間情報機構,該情報機構被指為「北韓許多重大網路行動」的來源。有趣的是,十名北韓高層中有兩人是駐伊朗代表,而伊朗是北韓軍事技術的主要買家,從中可見兩國之間或許有某種合作和知識分享。
  我和桑格搶先在《紐時》報導伊朗駭客攻擊國務院職員的新聞,請見:“Iranian Hackers Attack State Dept. via Social Media Accounts,” November 24, 2015。
  川普開始和中國打貿易戰,並撤出伊朗核協定後,中國和伊朗駭客對美國企業的網路攻擊死灰復燃,參見:Perlroth, “Chinese and Iranian Hackers Renew Their Attacks on U.S. Companies,” New York Times, February 18, 2019。
  習近平和普丁初次見面並說出:「我和您的性格很相似。」參考自:Jeremy Page, “Why Russia’s President Is ‘Putin the Great’ in China,” Wall Street Journal, October 1, 2014。習近平執政初期的逮捕行動,參見:Ivan Watson and Steven Jiang, “Scores of Rights Lawyers Arrested after Nationwide Swoop in China,” CNN, July 15, 2015。我非常推薦Evan Osnos剖析習近平的文章:“Born Red,” New Yorker, April 6, 2015。
  歐巴馬政府遏阻中國駭客網路盜竊問題的策略,取自跟當時官員的數十次採訪,蘇珊.萊斯的回憶錄中也有記載:Tough Love: My Story of the Things Worth Fighting For (Simon & Schuster, 2019)。Ellen Nakashima搶在萊斯和各家媒體之前,在《華盛頓郵報》獨家報導了美國即將對中國實施的制裁:Ellen Nakashima, “U.S. Developing Sanctions Against China over Cyberthefts,” Washington Post, August 30, 2015。
  習近平與歐巴馬於二○一五年九月達成協議,停止以商業利益為目的的駭客攻擊,相關報導見:Julie Hirschfield Davis and David E. Sanger, “Obama and Xi Jinping of China Agree to Steps on Cybertheft,” New York Times, September 25, 2015。當年九月白宮舉辦國宴歡迎習近平的場景,主要參考美聯社報導:“Obama Hosts Lavish State Dinner for China’s President Xi Jinping,” Associated Press, September 25, 2015。
  那年九月,美中兩國達成協議後,根據火眼旗下情報部門iSight的報告,來自中國的網路情蒐案件立即下降了百分之九十,參見:David E. Sanger, “Chinese Curb Cyberattacks on U.S. Interests, Report Finds,” New York Times, June 20, 2016;另見:Ken Dilanian, “Russia May Be Hacking Us More, But China Is Hacking Us Much Less,” NBC News, October 12, 2016。


第十九章:輸電網路
  本章資料來源主要是跟在職與離職國土安全部官員的訪談,這些官員在二○一二年至二○一三年間,不斷向我發出美國輸電網路正遭到攻擊的警告,參見:David Goldman, “Hacker Hits on U.S. Power and Nuclear Targets Spiked in 2012,” CNN, January 9, 2013;另見:Nicole Perlroth, “Tough Times at Homeland Security,” New York Times, May 13, 2013,以及Perlroth, “Luring Young Web Warriors Is Priority. It’s Also a Game,” New York Times, March 25, 2013。
  有關輸電網路所遭到的網路威脅,我推薦Ted Koppel的著作Lights Out (Broadway Books, 2015),書中收錄二○一○年詹姆斯.伍爾西、約翰.多伊奇、詹姆斯.史勒辛格、威廉.裴瑞、史蒂芬.哈德利和羅伯特.麥法蘭等人寫給眾議院的密函。
  二○一三年,歐巴馬在國情咨文中證實了國土安全部職員跟我說了一年的事:「敵人現在也在想辦法破壞我們的輸電網路、金融機構和飛航管制系統,我們不能等到多年後回過頭來看,才質疑當初我們為何什麼都不做,國家安全和經濟明明面臨很真實的威脅。」當天稍早,歐巴馬簽署了一項行政命令,鼓勵政府和管理國家基礎設施的民營公司之間更積極地分享威脅情報,算是立法不成、退而求其次的替代方案。這項行政命令只有胡蘿蔔,沒有大棒,因為如果強制要求公用事業和基礎設施廠商加強網路安全標準,就得經過國會批准。
  一年後,官員和民間資安研究人員已經能夠有把握地指出駭進美國輸電網路的幕後黑手:俄羅斯駭客,參見:Perlroth, “Russian Hackers Targeting Oil and Gas Companies,” New York Times, June 30, 2014。
  我在那年六月的報導中指出,研究人員認為這些攻擊的目的是竊取商業機密,根據他們的說法:「攻擊的動機看來是工業間諜活動,這也很合理,石油和天然氣是俄羅斯很重要的產業。但俄羅斯駭客攻擊這些公司的手法,讓他們也能從遠處遙控工業控制系統,就像二○○九年美國和以色列用震網電腦蠕蟲來控制伊朗的核設施一樣。」
  研究人員後來推翻原先論調,攻擊輸電網路的真正目的不是竊取智慧財產,而是為將來的網路戰做籌畫。
  有關俄羅斯呼籲國際間簽署禁止網路武器條約,請見:Andrew E. Kramer and Nicole Perlroth, “Expert Issues a Cyberwar Warning,” New York Times, June 3, 2012。俄羅斯擔心網路衝突升級的焦慮心態,參見:Timothy Thomas, “Three Faces of the Cyber Dragon: Cyber Peace Activist, Spook, Attacker,” Foreign Military Studies Office, 2012。俄羅斯的物聯網市場,參見:MarketWatch, “Russia Internet of Things (IoT) Market Is Expected to Reach $74 Billion by 2023,” October 17, 2019。
  俄羅斯的國內生產毛額、購買力平價和人口成長統計數字,我用的是美國中情局的World Factbook、世界銀行的國內生產毛額排名,以及華府智庫Wilson Center對俄羅斯人口趨勢的研究。
  火眼公司的約翰.霍特奎斯特對俄羅斯總參謀部情報總局旗下駭客單位(即被民間研究者稱為「沙蟲」的駭客組織)的研究,對我在《紐時》的報導幫助極大,而霍特奎斯特發現沙蟲的始末,最深入的記載要數安迪.格林伯格的《沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織,如何掀起新時代網路戰爭》;單篇文章可參考:Kim Zetter, “Russian Sandworm Hack Has Been Spying on Foreign Governments for Years,” Wired, October 14, 2014。
  霍特奎斯特的研究引起另一家資安公司趨勢科技的兩名研究人員注意,對沙蟲的駭客工具做了進一步解析,參見:Kyle Wilhoit and Jim Gogolinski, “Sandworm to Blacken: The SCADA Connection,” Trend Micro, October 16, 2014。
  兩個星期後,國土安全部旗下的工業控制系統網路危機處理中心(ICSCERT)發布安全指引,詳細說明沙蟲的攻擊,被入侵的不只是奇異公司軟體,還有西門子和研華兩家公司所銷售、連接工業基礎設施的軟體。這份安全指引已經找不到了,但許多新聞報導都有記載,參見:Michael Mimoso, “BlackEnergy Malware Used in Attacks Against Industrial Control Systems,” Threatpost, October 29, 2014。
  二○二○年二月二十日,美國國務院和英國國家網路安全中心(National Cyber Security Centre)正式揭露,散播黑暗能量惡意程式的駭客組織沙蟲就是俄羅斯總參謀部情報總局七四四五五單位下面的一個部門。英美兩國官員罕見地發表究責聲明,指出二○一九年造成喬治亞幾千個政府機構和民營企業網站故障、至少兩家主要電視台節目中斷的一系列網路攻擊,就是由這個駭客組織發動,參見美國國務院新聞稿:Secretary of State Michael R. Pompeo, “The United States Condemns Russian Cyber Attack Against the Country of Georgia,” February 20, 2020。
  此前,美國司法部在二○一八年十月四日針對七名俄羅斯軍官的起訴書中,也曾點名俄羅斯總參謀部情報總局的七四四五五單位。起訴書指出,七四四五五單位成員建立的社群媒體帳號和其他駭客基礎設施,被該局二六一六五單位(亦稱「花稍熊」)用來攻擊反運動禁藥官員和負責調查俄羅斯使用化學武器疑雲的組織,參見美國司法部新聞稿:Department of Justice, “U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations,” October 4, 2020。俄羅斯總參謀部情報總局七四四五五單位在穆勒報告中也一再被提及,是駭入民主黨全委會的兩個駭客組織之一,還把二六一六五單位偷來的檔案散布出去。穆勒報告還指出,七四四五五單位就是入侵美國各州選舉委員會、州務卿辦公室,以及選舉軟體和其他技術供應商的駭客組織。這個單位旗下有好幾個組織,其中之一就是由霍特奎斯特的團隊命名的沙蟲,還有CrowdStrike命名的愜意熊也在此單位之下,參見:Special Counsel Robert S. Mueller III, “Report on the Investigation into Russian Interference in the 2016 Election,” Volume I and II, March 2019。
  在烏克蘭,奧列克西.亞辛斯基和奧萊.德雷維安科花了很多時間向我講解沙蟲攻擊烏克蘭媒體、輸電網路,以及散播NotPetya病毒的來龍去脈。欲進一步了解俄羅斯駭客對烏克蘭的攻擊,我強烈推薦金.澤特的《連線》雜誌文章:Kim Zetter, “Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid,” March 3, 2016,還有格林伯格的書《沙蟲駭客》,這是迄今為止關於俄羅斯駭客攻擊烏克蘭最深入的記載。


第二十章:俄國佬來啦
  民主黨全委會被駭事件最深入的報導,是我同事的文章:Eric Lipton, David E. Sanger, and Scott Shane, “The Perfect Weapon: How Russian Cyberpower Invaded the U.S.,” New York Times, December 13, 2016。
  心臟出血漏洞被發現不久,彭博社報導稱國安局早在幾年前就知道有這個漏洞,但國安局和白宮極力否認,參見:Michael Riley, “NSA Said to Exploit Heartbleed Bug for Intelligence for Years,” April 11, 2014;另見:David E. Sanger and Nicole Perlroth, “U.S. Denies It Knew of Heartbleed Bug on the Web,” New York Times, April 11, 2014。
  媒體爭相報導之下,白宮不得不首次公開所謂的「漏洞公正性評估流程」,也就是美國政府決定哪些零時差漏洞該保密、哪些該通報廠商進行修補的行政流程,參見:J. Michael Daniel, “Heartbleed: Understanding When We Disclose Cyber Vulnerabilities.” White House Blog, April 28, 2014;另見《紐時》的報導:David Sanger, “Obama Lets NSA Exploit Some Internet Flaws, Officials Say,” New York Times, April 13, 2014。
  我很感激麥可.丹尼爾花時間向我說明政府決定隱匿或披露軟體安全漏洞時必須考量的各種因素(至少就他可以透露的部分),我也永遠不會忘記霍華德.施密特的協助,他是丹尼爾之前的白宮網路安全協調官,很不幸已於二○一七年三月辭世。我採訪過他幾次,在這些訪談當中,施密特談到隨著零時差漏洞市場移到國外,美國政府陷入的兩難困境。有些訪談內容寫成《紐約時報》文章,有些則成了本書的靈感和資料來源,參見:Nicole Perlroth and David E. Sanger, “Nations Buying as Hackers Sell Flaws in Computer Code,” New York Times, July 13, 2013。
  有關荷蘭情報機構揭發俄羅斯駭客組織愜意熊的行動,參見:Huib Modderkolk, “Dutch Agencies Provide Crucial Intel about Russia’s Interference in U.S.-Elections,” de Volkskrant, January 25, 2018。
  有關國安局漏洞利用工具永恆之藍外洩,惹出北韓發動想哭病毒攻擊,以及緊接著俄羅斯發動NotPetya病毒攻擊,參見我們在《紐時》的報導:Perlroth and Sanger, “Hackers Hit Dozens of Countries Exploiting Stolen NSA Tool,” May 12, 2017;Perlroth, “A Cyberattack ‘the World Isn’t Ready For,’ ” New York Times, June 22, 2017;Perlroth and Scott Shane, “In Baltimore and Beyond, a Stolen NSA Tool Wreaks Havoc,” New York Times, May 25, 2019。
  參議院情報委員會針對俄羅斯干預二○一六年美國總統大選所做的報告“Report on Russian Active Measures Campaigns and Interference in the 2016 U.S. Election”,是本章重要資料來源,我建議只要是美國人,都應該把參議院報告和穆勒報告從頭到尾讀一遍,參議院報告網址:www.intelligence.senate.gov/sites/default/files/documents/Report_Volume2.pdf;穆勒報告:Special Counsel Robert S. Mueller, III, Volumes I and II, “Report on the Investigation into Russian Interference in the 2016 Presidential Election,” March 2019,網址:www.justice.gov/storage/report.pdf。
  俄羅斯滲透二○一六年美國總統大選的行動,於二○一六年六月首次曝光,參見:Ellen Nakashima, “Russian Government Hackers Penetrated DNC, Stole Opposition Research on Trump,” Washington Post, June 14, 2016。
  有關俄羅斯這項滲透行動最權威的報導,參見我同事後來的文章:Eric Lipton, David E. Sanger, and Scott Shane, “The Perfect Weapon: How Russian Cyberpower Invaded the U.S.,” December 13, 2016。
  那年,我們還報導了《紐約時報》莫斯科分社也成為俄羅斯網路攻擊的目標,只是駭客沒有得逞,但這則報導完全被當時的政治紛擾淹沒,參見:Nicole Perlroth and David E. Sanger, “New York Times’s Moscow Bureau Was Targeted by Hackers,” New York Times, August 23, 2016。
  俄羅斯以社群媒體打影響戰的最權威報導,參見:Scott Shane and Mark Mazzetti, “Inside a 3-Year Russian Campaign to Influence U.S. Voters,” New York Times, February 16, 2018。
  我也參考了美國政府控告俄羅斯網路研究社的起訴書,參見:Indictment, United States v. Internet Research Agency, et al. Case 1:18-cr-00032-DLF, D.D.C., February 16, 2018。欲進一步了解尤金尼.普里格欽──主導俄羅斯網路研究社干預二○一六年美國大選的首腦,參見:Neil MacFarquhar, “Yevgeny Prigozhin, Russian Oligarch Indicted by U.S., Is Known as ‘Putin’s Cook,’” New York Times, February 16, 2018。普里格欽因干預二○一六年美國大選遭起訴後,接受俄羅斯新聞社(Ria Novosti)採訪時說:「美國人很容易受擺布,心裡想看見什麼,就會看見什麼。我很尊敬美國人,被列入這份名單,一點也不覺得生氣,既然美國人想看見惡魔,就讓他們看個夠吧。」
  想更詳細了解俄羅斯的社群媒體影響戰怎麼深入美國地方影響選情,參見:Stephen Young, “Russian Trolls Successfully Peddled Texas Pride in 2016, Senate Reports Say,” Dallas Observer, December 19, 2018。
  關於選民登記軟體廠商VR Systems被俄羅斯駭客入侵,參見攔截新聞網公布的國安局外洩報告:Matthew Cole, Richard Esposito, Sam Biddle, and Ryan Grim, “Top Secret NSA Report Details Russian Hacking Effort Days before 2016,” Intercept, June 5, 2017。
  值得一提的是,攔截新聞網和美國民眾有機會知道VR Systems被俄羅斯駭客入侵,全賴一位代號「現實贏家」(Reality Winner)的洩密者把國安局機密報告提供給攔截新聞網的記者。俄羅斯駭客已經深入到美國選舉後端的關鍵軟體和設備供應商,這點連國土安全部也一無所知。但攔截新聞網在報導過程中犯了一個嚴重錯誤,他們把外洩的機密報告掃描一份寄給國安局,從掃描本看得出來報告有摺痕,洩漏出報告應該是由國安局員工列印出來帶出去的。有了這條線索,調查人員只要查出誰列印過報告(共有六個人列印過),再查到其中一人(也就是「現實贏家」)曾經在國安局的喬治亞州奧古斯塔辦事處用工作電腦和攔截新聞網聯絡過,儘管聯絡事由完全無關,洩密者也已昭然若揭。當聯邦調查局特務登門造訪,「現實贏家」女士承認曾把機密報告帶出去郵寄給攔截新聞網。這份報告上還有一些小點,組成肉眼看不出來的序號,國安局只要根據序號,就能知道文件是用局裡的哪一台機器印出來。記者的「作業安全」失誤,最終釀成了悲劇,二○一八年八月二十三日,「現實贏家」女士被判入獄六十三個月,參見:Amy B. Wang, “Convicted Leaker Reality Winner Thanks Trump after He Calls Her Sentence So Unfair,” Washington Post, August 30, 2018。
  我和同事針對古馳法2.0的早期報導,請見:Charlie Savage and Nicole Perlroth, “Is DNC Email Hacker a Person or a Russian Front? Experts Aren’t Sure,” New York Times, July 27, 2016。Vice媒體集團旗下主機板網站記者羅倫佐.法蘭切斯基─比科萊伊,在採訪古馳法2.0的過程中揭穿他的身分:“Why Does DNC Hacker ‘Guccifer 2.0’ Talk Like This?” Motherboard, June 23, 2016。
  民主黨全委會郵件外洩及後續效應,參見當時的報導:Sam Biddle and Gabrielle Bluestone, “This Looks Like the DNC’s Hacked Trump Oppo File,” Gawker, June 15, 2016;Kristen East, “Top DNC Staffer Apologizes for Email on Sanders’ Religion,” Politico, July 23, 2016;Mark Paustenbach, “Bernie Narrative,” via WikiLeaks, May 21, 2016, Wikileaks.org/dnc-emails;Meghan Keneally, “Debbie Wasserman Schultz Booed at Chaotic Florida Delegation Breakfast,” ABC News, July 25, 2016;Rosaline S. Helderman and Tom Hamburger, “Hacked Emails Appear to Reveal Excerpts of Speech Transcripts Clinton Refused to Release,” Washington Post, October 7, 2016;David E. Sanger and Nicole Perlroth, “As Democrats Gather, a Russian Subplot Raises Intrigue,” New York Times, July 24, 2016。
  有關俄羅斯網軍以假帳號影響二○一六年美國大選,我同事史考特.夏恩的報導最為深入:Scott Shane, “The Fake Americans Russia Created to Influence the Election,” New York Times, September 7, 2017。
  欲進一步了解歐巴馬政府回應俄羅斯干預二○一六年美國大選的早期決策過程,我推薦大衛.桑格的《資訊戰爭》。
  起初,國土安全部的報告稱,俄羅斯駭客以美國二十一個州的選民登記系統為攻擊目標,這個數字後來調整為包含美國全境的五十個州,參見:David E. Sanger and Catie Edmondson, “Russia Targeted Election Systems in All 50 States, Report Finds,” New York Times, July 25, 2019。
  欲深入了解川普政府如何評估二○二○年美國大選面臨的威脅,參見:Matthew Rosenberg, Nicole Perlroth, and David E. Sanger, “‘Chaos Is the Point’: Russian Hackers and Trolls Grow Stealthier in 2020,” New York Times, January 10, 2020;另見:Sanger, Perlroth, and Rosenberg, “Amid Pandemic and Upheaval, New Cyberthreats to the Presidential Election,” New York Times, June 7, 2020。米奇.麥康奈對選舉安全問題的反應飽受非議,參見:Steve Benen, “McConnell’s Response to Russian Attack Is Back in the Spotlight,” MSNBC, February 19, 2018。川普公開表示對俄羅斯干預二○一六年美國大選的說法存疑,參見:Michael D. Shear, “After Election, Trump’s Professed Love for Leaks Quickly Faded,” New York Times, February 15, 2017、Cristiano Lima, “Trump on RT: Russian Election Interference ‘Probably Unlikely,’” Politico, September 8, 2016;另見二○一六年美國總統大選首場辯論會:First Presidential Debate, CNN, September 26, 2016。
  進一步了解布瑞南如何警告俄羅斯勿再干預美國大選,參見:Matt Apuzzo, “Ex-CIA Chief Reveals Mounting Concern over Trump Campaign and Russia,” New York Times, May 23, 2017。
  有關假資訊專家的報告認為,俄羅斯的污點材料對二○一六年大選影響不大,參見:Christopher A. Bail, Brian Guay, Emily Maloney, Aidan Combs, D. Sunshine Hillyguus, Friedolin Merhout, Deen Freelon, and Alexander Volfovsky, “Assessing the Russia Internet Research Agency’s Impact on the Political Attitudes and Behaviors of American Twitter Users in Late 2017,” Proceedings of the National Academy of Sciences of the United States 117, no. 1(November 25, 2019)。
  以下這些文章提出反證:Matthew Yglesias, “What Really Happened in 2016, in 7 Charts,” Vox, September 18, 2017;Jens Manuel Krogstad and Mark Hugo Lopez, Pew Research Center, “Black Voter Turnout Fell in 2016, Even as a Record Number of Americans Cast Ballots,” May 12, 2016;Brooke Seipel, “Trump’s Victory Margin Smaller Than Total Stein Votes in Key Swing States,” The Hill, December 1, 2016。
  為了反擊俄羅斯干預二○一六年美國大選,歐巴馬政府最終對俄羅斯實施制裁,把三十五名俄羅斯外交人員(當中許多是間諜)驅逐出境,並沒收俄羅斯辦事處的兩處房地產,參見:Mark Mazzetti and Michael S. Schmidt, “Two Russian Compounds, Caught Up in History’s Echoes,” New York Times, December 29, 2016。關於俄羅斯駐舊金山領事館冒出大量黑煙,我參考的是CBS新聞的報導:“Black Smoke Pours from Chimney at Russian Consulate in San Francisco,” September 2, 2017。


第二十一章:影子仲介商
  影子仲介商第一次發聲,是在推特上發了幾則像胡言亂語的推文,以及在允許匿名發表文章的網站Pastebin上發了一篇聲明,參見:Shadow Brokers, “Equation Group Cyber Weapons Auction—Invitation,” August 13, 2016。
  影子仲介商的出現引起執法機構、情報機構和資安界諸多疑問,相關報導參見:David Sanger, “Shadow Brokers’ Leak Raises Alarming Question: Was the NSA Hacked?” New York Times, August 16, 2016。
  思科不得不馬上警告客戶其防火牆有安全漏洞:“Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerability,” Cisco Security Advisory Alerts, August 17, 2016;另見:Thomas Brewster, “Cisco and Fortinet Confirm Flaws Exposed by Self-Proclaimed NSA Hackers,” Forbes, August 17, 2016。
  影子仲介商早期聲明的原文,參見:Bruce Sterling, “Shadow Brokers Manifesto,” Wired, Aug 19, 2016。
  有關美國國安局駭入德國總理梅克爾的手機,參見:“NSA Tapped German Chancellery for Decades, WikiLeaks Claims,” July 8, 2015。史諾登談影子仲介商洩密的推文,參見:Edward J. Snowden, Twitter, August 16, 2016, twitter.com/Snowden/status/765515619584311296。
  影子仲介商最初的網路拍賣無人響應,參見:Andy Greenberg, “No One Wants to Buy Those Stolen NSA-Linked Cyberweapons,” Wired, August 16, 2016。
  國安局對影子仲介商洩密的反應,參見:Scott Shane and Nicole Perlroth, “Security Breach and Spilled Secrets Have Shaken the NSA to Its Core,” New York Times, November 12, 2017。
  拜登在《會晤新聞界》節目中的原話,參見:Joe Lapointe, “Despite All Other News, Sunday Shows Keep Covering Trump’s Sex Scandal,” Observer, October 17, 2016。
  影子仲介商把國安局遍布全球的誘餌伺服器網址公開在網路上後,駭客馬上開始仔細分析這些網址,並把研究結果發布到MyHackerHouse.com網站上,該網頁已經被移除,原網址:www.myhackerhouse.com/hacker-halloween-inside-shadow-brokers-leak。
  欲進一步了解中情局七號軍火庫洩密案,參見:Adam Goldman, “New Charges in Huge C.I.A. Breach Known as Vault 7,” New York Times, Jun 18. 2018,另見:Nicole Hong, “Trial of Programmer Accused in C.I.A. Leak Ends with Hung Jury,” New York Times, March 9, 2020。
  有關國安局職員家中電腦檔案被防毒軟體存取,欲進一步了解卡巴斯基的角色,參見:Scott Shane, David Sanger, Nicole Perlroth, “New NSA Breach Linked to Popular Russian Antivirus Software,” October 5, 2017;另見:Perlroth and Shane, “How Israel Caught Russian Hackers Scouring the World for U.S. Secrets,” New York Times, October 10, 2017。卡巴斯基否認有意存取國安局承包商的機密文件,聲稱是不小心蒐集到,也已把文件刪除,參見卡巴斯基的完整回應:“Preliminary Results of the Internal Investigation into Alleged Incidents by US Media,” www.kaspersky.com/blog/internal-investigation-preliminary-results/19894;另見卡巴斯基整理的「常見問題集」:“What Just Hit the Fan: FAQs,” www.kaspersky.com/blog/kaspersky-in-the-shitstorm/19794。卡巴斯基的解釋獲得許多資安研究人員和客戶採信,但有些單位從此禁止在電腦網路中使用卡巴斯基防毒軟體,尤其美國政府戒心更重,何況該公司長久以來一直被懷疑是俄羅斯政府的掩護,參見:Andrew Kramer and Nicole Perlroth, “Expert Issues a Cyberwar Warning,” New York Times, June 4, 2012。
  傑克.威廉斯有關影子仲介商洩密事件的部落格文章,參見:“Corporate Business Impact of Newest Shadow Brokers Dump,” Rendition Infosec, April 9, 2017。關於影子仲介商的回應,參見:The Shadow Brokers, “Response to Response to DOXing,” Steemit Post, 2017。
  國安局的永恆系列漏洞利用程式所利用的Windows系統漏洞,微軟於二○一七年推出修補,卻沒有提及是誰通報了這個重大安全漏洞,參見:“Microsoft Security Bulletin MS17-010 – Critical Microsoft Security Update for Windows SMB Server,” March 14, 2017, docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010。


第二十二章:病毒大出動
  有關想哭病毒攻擊,參見當時的新聞報導:Nicole Perlroth and David Sanger, “Hackers Hit Dozens of Countries Exploiting Stolen NSA Tool,” New York Times, May 12, 2017;另見:Perlroth, “More Evidence Points to North Korea in Ransomware Attacks,” New York Times, May 22, 2017。國土安全顧問湯姆.博塞特第一次談到想哭病毒攻擊,是在ABC新聞台的《早安美國》節目:“Unprecedented Global Cyberattack Is ‘an Urgent Call’ to Action, Homeland Security Adviser Says,” May 15, 2017。北韓網路攻擊能力的深入報導,參見:David Sanger, David Kirkpatrick, Nicole Perlroth, “The World Once Laughed at North Korean Cyberpower. No More,” New York Times, October 15, 2017。
  英國駭客馬庫斯.哈欽斯找到想哭病毒的解方,成功阻斷攻擊,不久卻因早年寫的惡意程式被捕,參見:Palko Karasz, “He Stopped a Global Cyberattack. Now He’s Pleading Guilty to Writing Malware,” New York Times, April 20, 2019。關於哈欽斯的深入報導,參見:Andy Greenberg, “The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet,” Wired, May 12, 2020。
  欲了解想哭病毒攻擊對中國的打擊,參見:Paul Mozur, “China, Addicted to Bootleg Software, Reels from Ransomware Attack,” New York Times, May 15, 2017。商業軟體聯盟(BSA)的一項研究發現,二○一五年中國境內安裝的軟體中,有百分之七十是沒有版權的軟體,俄羅斯則有百分之六十四,印度也相去不遠,有百分之五十八。這些電腦使用沒有版權、有安全漏洞的軟體,不可能下載微軟的修補更新,由此可見,美國雖然很容易遭到網路攻擊,但盜版軟體也使中國、俄羅斯和印度這些國家好不到哪去。關於BSA的研究請見:www.bsa.org/~/media/Files/StudiesDownload/BSA_US.pdf。
  博塞特於二○一七年十二月公開點名北韓就是想哭病毒攻擊的幕後黑手:Thomas P. Bossert, “It’s Official: North Korea Is behind WannaCry,” New York Tioms, December 18, 2017。
  微軟早些時候抵制美國政府監控請求的作為,參見:Rory Carroll, “Microsoft and Google to Sue over US Surveillance Requests,” Guardian, August 31, 2013;另見:Spencer Ackerman and Dominic Rushe, “Microsoft, Facebook, Google and Yahoo release US Surveillance requests,” Guardian, February 3, 2014。關於想哭病毒攻擊發生後,布拉德.史密斯的回應,參見:“The Need for Urgent Collective Action to Keep People Safe Online: Lessons from Last Week’s Cyberattack,” May 14, 2017, blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack。
  烏克蘭遭到NotPetya病毒攻擊後官方初期的應變措施,資料來自跟德米特羅.申基夫的訪談。申基夫參與二○一四年烏克蘭革命的經過,參見:Serhiy Kvit, “What the Ukrainian Protests Mean,” University World News, Jan 8, 2014。
  我在《紐時》做的NotPetya病毒攻擊報導:Nicole Perlroth, Mark Scott, and Sheera Frenkel, “Cyberattack Hits Ukraine Then Spreads Internationally,” New York Times, June 27, 2017。安迪.格林伯格引用博塞特的統計數據,最先公開報導攻擊的損失估計:Andy Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” Wired, August 22, 2018。申基夫及其他人認為一百億美元的損失估計是嚴重低估,因為許多未上市公司根本不會通報。我和同事亞當.薩塔里諾一起報導受害機構和保險公司之間的爭議,保險公司引用保單中雖常見卻極少派上用場的戰爭排除條款,拒絕理賠默克藥廠和億滋國際的損失,參見:Adam Satariano and Nicole Perlroth, “Big Companies Thought Insurance Covered a Cyberattack, They May Be Wrong.” New York Times, April 15, 2019。
  布拉德.史密斯在聯合國的發言,參見:“Remarks on Cybersecurity and a Digital Geneva Convention,” United Nations, November 9, 2017: www.youtube.com/watch?v=EMG4ZukkClw。理查.克拉克先前提議推動各國政府承諾不對民用基礎設施進行網路攻擊,參見:Richard A. Clarke and Robert K. Knake, Cyber War: The Next Threat to National Security and What to Do about It (HarperCollins, 2010)。
  俄羅斯和美國對彼此輸電網路歷年的網路攻擊,參見:David E. Sanger and Nicole Perlroth, “U.S. Escalates Online Attacks on Russia’s Power Grid,” New York Times, June 15, 2019。


第二十三章:後花園
  我和史考特.夏恩一起報導永恆之藍的長尾效應,包括德州的聖安東尼奧、賓州的阿倫教,以及最後連國安局自家後花園巴爾的摩也遭到的網路攻擊,參見:“In Baltimore and Beyond, A Stolen NSA Tool Wreaks Havoc,” New York Times, May 25, 2019;另見:Yami Virgin, “Federal Agents Investigate Attempted Hacking at Bexar County Jail,” Fox San Antonio, January 31, 2019。
  我們的報導引起戴維.艾特爾等漏洞利用程式開發人員和國安局的強烈反彈,他們否認永恆之藍跟巴爾的摩市府被駭事件有關。事後發現,巴爾的摩市府曾遭到多重攻擊,其中一重攻擊就有永恆之藍,另一次則使用稱為Robinhood的勒索軟體。微軟調查人員透過遙測技術,對於自家系統是否被植入永恆之藍最清楚不過,又是巴爾的摩市府找來協助善後的廠商,他們證實在電腦裡找到永恆之藍,初步得出的結論顯示,勒索軟體就是藉由國安局的永恆之藍在巴爾的摩市府的系統內散播。調查結果最終定調為,攻擊巴爾的摩的駭客是以手動散播勒索軟體,另一組駭客植入國安局的永恆之藍,則另有目的──至於目的為何,至今不得而知。值得一提的是,在巴爾的摩被駭當時,國安局的永恆之藍早已如雨後春筍,處處可見。Cybereason的研究人員艾密特.瑟佩爾(Amit Serper)表示,該公司已經處理了美國三所不同大學遭到的永恆之藍攻擊,並且在達拉斯、洛杉磯和紐約市等主要城市發現有漏洞的伺服器;前特定入侵行動辦公室分析師傑克.威廉斯也曾幫美國多處市政當局善後永恆之藍的攻擊。在國安局頂尖駭客羅布.喬伊斯宣稱巴爾的摩被駭事件中並沒有用上永恆之藍後,微軟告訴巴爾的摩市府內的客戶,他們打算發表一篇聲明來確認我們的報導屬實,巴爾的摩市府最終沒有同意微軟披露調查結果,卻沒有說明原因,看來是不想吸引更多關注,也可能只是不想張揚自己沒有及時安裝軟微漏洞的修補更新。許多資安研究人員表示,巴爾的摩市府被駭,錯不在國安局讓駭客工具流出來,而在巴爾的摩市府沒有替系統安裝修補。但值得一提的是,市政當局的資安預算通常很少,資訊管理人員負責維護的電腦網路盤根錯節,當中不乏早已過時的舊版軟體。關於以上爭議的報導,參見:Scott Shane and Nicole Perlroth, “NSA Denies Its Cyberweapon Was Used in Baltimore Attack, Congressman Says,” New York Times, May 31, 2019;《華爾街日報》確認巴爾的摩市府曾遭到多重攻擊的報導,參見:Scott Calvert and Jon Kamp, “Hackers Won’t Let Up in Their Attack on U.S. Cities,” Wall Street Journal, June 7, 2019。
  中國在電腦系統裡發現美國國安局的漏洞利用工具,並納為己用,參見:Nicole Perlroth, David E. Sanger and Scott Shane, “How Chinese Spies Got the NSA’s Hacking Tools, and Used Them for Attacks,” New York Times, May 6, 2019。賽門鐵克的報告指出的中國駭客組織,又被其他資安公司稱為Buckeye、Gothic Panda或APT3,國安局給這個組織取的機密代號則是「琥珀軍團」,根據我掌握到的國安局機密報告,琥珀軍團的運作基地在廣州,是幫中國國家安全部工作的幾個承包商之一,之前曾駭入美國武器開發商和科學研究實驗室的電腦。
  欲進一步了解美中關係,參見:Evan Osnos, “The Future of America’s Contest with China,” New Yorker, January 6, 2020。美國指責中國私下發展核武,參見:Associated Press, “China Denies U.S. Allegations It’s Testing Nuclear Weapons,” April 16, 2020。中國監控境內維吾爾少數民族的深入報導,參見:Paul Mozur, “One Month, 500,000 Face Scans: How China Is Using A.I. To Profile a Minority,” New York Times, April 14, 2019;Austin Ramzy and Chris Buckley, “Absolutely No Mercy’: Leaked Files Expose How China Organized Mass Detentions of Muslims,” New York Times, November 16, 2019。
  谷歌發現中國使用iOS漏洞工具的報告在此:Ian Beer, “A Very Deep Dive into iOS Exploit Chains Found in the Wild,” Google Project Zero, August 29, 2019。欲進一步了解中國這項監控行動,參見:Nicole Perlroth, Kate Conger, and Paul Mozur, “China Sharpens Hacking to Hound Its Minorities, Far and Wide,” New York Times, October 22, 2019。有關美國國防部的氮氣宙斯計畫,以備和伊朗發生重大衝突時,可癱瘓其輸電網路,參見:David E. Sanger and Mark Mazzetti, “U.S. Had Cyberattack Plan if Iran Nuclear Dispute Led to Conflict,” New York Times, February 16, 2016。網路司令部對伊朗發動網路攻擊,報復伊朗突襲過境油輪,資料來源參見:Julian E. Barnes and Thomas Gibbons-Neff, “U.S. Carried Out Cyberattacks on Iran,” New York Times, June 22, 2019。伊朗近年來對數百家西方企業發動網路攻擊,相關報導見:Robert McMillan, “Iranian Hackers Have Hit Hundreds of Companies in Past Two Years,” Wall Street Journal, March 6, 2019。
  二○一九年十月,微軟指出伊朗駭入至少一位總統候選人的競選陣營查探,我們的報導確認被駭的是川普競選陣營,參見:Nicole Perlroth and David E. Sanger, “Iranian Hackers Target Trump Campaign as Threats to 2020 Mount,” New York Times, October 4, 2019。伊朗兌現復仇誓言,向美國和伊拉克聯合軍事基地發射飛彈後,川普表示「天下太平了」,但美方後來發現,那次突襲對一百多名美國士兵造成嚴重的腦損傷,參見:Bill Chappell, “109 U.S. Troops Suffered Brain Injuries in Iran Strike, Pentagon Says,” NPR, February 11, 2020。
  《華盛頓郵報》對哈紹吉的死不肯善罷干休,此說法來自《華盛頓郵報》社論:“One Year Later, Our Murdered Friend Jamal Has Been Proved Right,” Washington Post, September 30, 2019。有關沙烏地駭入貝佐斯的手機,參見當時的報導:Karen Weise, Matthew Rosenberg, and Sheera Frenkel, “Analysis Ties Hacking of Bezos’ Phone to Saudi Lader’s Account,” New York Times, January 21, 2020。川普對美國舊西部的迷戀,從他二○二○年發表的國情咨文就看得出來,他在那場演講中提及懷特.厄普、安妮.奧克利(Annie Oakley)和戴維.克洛克特(Davy Crockett)等美國舊西部的英雄人物,參見:Jessica Machado, “Trump Just Gave Americans a Lesson in White History,” Vox, Feb 5, 2020。
  川普政府於二○一八年五月廢除白宮網路安全協調官這個職位,參見:Nicole Perlroth and David E. Sanger, “White House Eliminates Cybersecurity Coordinator Role,” New York Times, May 15, 2018。有關川普政府放寬對俄羅斯的制裁,參見:Donna Borak, “Treasury Plans to Lift Sanctions on a Russian Aluminum Giant Rusal,” CNN Business, December 19, 2018。有關國土安全部部長克絲珍.尼爾森被勸告勿再向總統提起選舉安全的事,參見:Eric Schmitt, David E. Sanger, Maggie Haberman, “In Push for 2020 Election Security, Top Official Was Warned: Don’t Tell Trump,” New York Times, April 24, 2019。川普表示會繼續接受外國勢力提供政敵的污點材料,參見:Lucien Bruggeman, “‘I Think I’d Take It’: An Exclusive Interview, Trump Says He Would Listen if Foreigners Offered Dirt on Opponents,” ABC News, June 13, 2019。川普跟普丁開玩笑說把記者弄走,參見:Julian Borger, “Trump Jokes to Putin They Should ‘Get Rid’ of Journalists,” Guardian, June 28, 2019。有關俄羅斯二○一六年駭進美國選舉系統很可能只是為二○二○年所做的操練,以及俄羅斯透過租用合法帳號和使用VPN來逃避社群媒體的管制,參見:Matthew Rosenberg, Nicole Perlroth, David E. Sanger, “‘Chaos Is the Point’: Russian Hackers and Trolls Grow Stealthier in 2020,” New York Times, January 10, 2020。進一步了解俄羅斯如何持續參與美國民眾對槍枝、移民和種族等議題的討論,參見:Kevin Roose, “Facebook Grapples with a Maturing Adversary in Election Meddling,” New York Times, August 1, 2018。欲深入了解俄羅斯在社群媒體上冒充美國人的伎倆,可參閱我二○二○年六月在《紐時》報導俄羅斯網軍如何趁民主黨黨內初選散布陰謀論分裂民主黨的文章:Perlroth, “A Conspiracy Made in America May Have Been Spread by Russia,” June 15, 2020。
  二○一八年期中選舉期間,網路司令部對俄羅斯伺服器發動網路攻擊,參見:David E. Sanger, “Trump Loosens Secretive Restraints on Ordering Cyberattacks,” New York Times, September 20, 2018;另見:Julian E. Barnes, “U.S. Begins First Cyberoperation Against Russia Aimed at Protecting Elections,” New York Times, October 23, 2018。二○一八年稍晚,俄羅斯試圖駭入民主黨全委會伺服器,參見:Perlroth, “DNC Says It Was Targeted Again by Russian Hackers after ’18 Election,” New York Times, January 18, 2019。
  有關佛羅里達州里維拉海灘和棕櫚泉遭到的勒索軟體攻擊,參見當時的報導:Alexander Ivanyuk, “Ransomware Attack Costs $1.5 Million in Riviera Beach, Fl.,” Acronis Security Blog, June 24, 2019;另見:Sam Smink, “Village of Palm Springs confirms cyberattack,” West Palm Beach TV, June 20, 2019。
  過去幾年來,多家資安公司都曾詳述俄羅斯網路犯罪組織和勒索軟體攻擊之間的關聯,早期相關說明參見:Kaspersky, “More than 75 Percent of Crypto Ransomware in 2016 Came from Russian-Speaking Cybercriminal Underground,” February 14, 2017, usa.kaspersky.com/about/press-releases/2017_more-than-75-of-crypto-ransomware-in-2016-came-from-the-russian-speaking-cybercriminal-underground。值得一提的是,「Sigrun」勒索軟體家族的俄羅斯開發者會為俄羅斯受害者免費提供解密服務,資安研究人員Alex Svirid於二○一八年五月三十一日首次在推特發文提及他的觀察,資安公司Malwarebytes的研究人員隨後回覆這則推文,附上一名俄羅斯勒索軟體開發者和兩名受害者(一個人在美國,一個人在俄羅斯)之間的電子郵件,證明Alex Svirid的觀察無誤,參見:Lawrence Abrams, “Sigrun Ransomware Author Decrypting Russian Victims for Free,” Bleeping Computer, June 1, 2018。勒索軟體開發者會搜尋並避開使用俄文鍵盤的電腦,相關技術分析參見:SecureWorks, Revil Sodinokibi Ransomware。我同時也透過二○一九年和二○二○年跟CrowdStrike研究人員的採訪獲得相關訊息。
  對勒索軟體贖金收益的估計,我發現各家的數字落差很大。聯邦調查局以比特幣錢包和勒索訊息進行分析,發現從二○一三年十月至二○一九年十一月,受害者以比特幣總共向勒索軟體開發者支付了一億四千四百三十五萬美元,這還是保守的估計。二○二○年,防毒軟體商Emsisoft對約四十五萬筆個案進行分析,估算出二○二○年單單在美國,勒索軟體的贖金要求可能超過十四億美元。至於企業的損失(贖金加上停機所造成的損失),Emsisoft估計美國因勒索軟體攻擊付出超過九十億美元的代價,參見Emsisoft, “Report: Cost of Ransomware in 2020. A Country-by-Country Analysis,” February 11, 2020。有關勒索軟體攻擊日益猖獗、解密贖金不斷提高,以及資安保險業者鼓勵受害者支付贖金,這裡有一篇精采的報導:Renee Dudley, “The Extortion Economy: How Insurance Companies Are Fueling the Rise in Ransomware Attacks,” ProPublica, August 27, 2019。
  美國鄉鎮城市遭到勒索軟體攻擊,恐怕跟威脅美國選舉基礎設施的駭客攻擊有關聯,這個推測來自我在二○一九年至二○二○年間對美國官方和民間研究人員進行的十多次採訪。另外,二○二○年六月,駭客組織匿名者公布了一批稱為Blue Leaks的資料,其中包含一份聯邦調查局的機密報告,警告勒索軟體「很有可能」也會攻擊美國的選舉基礎設施。這份聯邦調查局報告提及路易斯安那州遭到的勒索軟體攻擊,以及隨後俄勒岡州提拉木克郡(Tillamook County)於二○二○年一月發生的同類攻擊,兩起事件都導致選民登記系統無法使用。報告最後提出結論:駭客以勒索軟體攻擊「州郡政府的電腦網路,不管是否有意破壞選舉,最後都有可能導致互連的選舉伺服器上的資料無法使用」。參見Federal Bureau of Investigation Executive Analytical Report, “(U//FOUO) Ransomware Infections of US County and State Government Networks Inadvertently Threaten Interconnected Election Servers,” May 1, 2020。有關二○一九年十一月路易斯安那州遭到的勒索軟體攻擊,參見當時的報導:Mark Ballard, “Louisiana: Cyberattack Has No Impact on State’s Elections,” Government Technology, November 25, 2019。
  欲進一步了解參議員米奇.麥康奈如何阻撓選舉安全法案,參見:Nicholas Fandos, “New Election Security Bills Face a One-Man Roadblock: Mitch McConnell,” New York Times, June 7, 2019。麥康奈因此贏得「莫斯科米奇」的綽號,並終於在二○一九年九月同意通過撥款兩億五千萬美元的選舉安全法案,但這項法案並不強制要求州政府把預算花在添置最符合安全標準的手工畫記紙質選票機,跟民主黨原本提出的十億美元選舉安全預算案也相去甚遠,參見:Philip Ewing, “McConnell, Decried as ‘Moscow Mitch’ Approves Election Security Money,” NPR, September 20, 2019。
  欲進一步了解川普提出的毫無事實根據的CrowdStrike公司陰謀論,參見:Scott Shane, “How a Fringe Theory About Ukraine Took Root in the White House,” New York Times, October 3, 2019。我個人在二○一九年十一月二十五日接受CNN吉姆.休托(的Jim Sciutto)採訪,也討論到這項陰謀論:www.youtube.com/watch?v=TLShgL7iAZE。CrowdStrike公司的回應,參見:“CrowdStrike’s Work with the Democratic National Committee: Setting the record straight,” CrowdStrike Blog, January 22, 2020。這個事件後來導致眾所周知的川普彈劾案。川普於二〇一九年七月二十五日與烏克蘭新任總統佛拉迪米爾.澤倫斯基通話的解密紀錄,請參考:www.whitehouse.gov/wp-content/uploads/2019/09/Unclassified09.2019.pdf.
  欲進一步了解俄羅斯在二○一九年對布利斯瑪天然氣公司的網路攻擊,參見我和Matthew Rosenberg的報導:“Russians Hacked Ukrainian Gas Company at Center of Impeachment,” New York Times, January 13, 2020。烏克蘭檢察官在二○二○年六月宣布,沒有任何證據顯示韓特.拜登涉及不法,參見:Ilya Zhegulev, “Ukraine Found No Evidence Against Hunter Biden in Case Audit: Former Top Prosecutor,” Reuters, June 4, 2020。情報官員向國會報告,指出俄羅斯再次干預二○二○年美國大選,意圖協助川普當選和提高桑德斯的支持度,參見:Adam Goldman, Julian E. Barnes, Maggie Haberman, and Nicholas Fandos, “Lawmakers Are Warned That Russia Is Meddling to Re-Elect Trump,” New York Times, February 20, 2020。情報官員告訴桑德斯,俄羅斯正設法提高他的支持度的那場簡報,參見:Julian E. Barnes and Sydney Ember, “Russia Is Said to Be Interfering to Aid Sanders in Democratic Primaries,” New York Times, February 21, 2020。國安局發現俄羅斯正在利用電子郵件傳送協定漏洞,相關報告見:National Security Agency, “Exim Email Transfer Agent Actively Exploited by Russian GRU Cyber Actors,” May 2020。
  欲進一步了解俄羅斯對美國基礎設施發動的網路攻擊,包括駭入核電廠,參見:Nicole Perlroth, “Hackers Are Targeting Nuclear Facilities, Homeland Security Dept. and FBI Say,” New York Times, July 6, 2017;Department of Homeland Security, “Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors,” March 15, 2018, www.us-cert.gov/ncas/alerts/TA18-074A;Nicole Perlroth and David E. Sanger, “Cyberattacks Put Russian Fingers on the Switch at Power Plants, U.S. Says,” New York Times, March 15, 2018;Sanger and Perlroth, “U.S. Escalates Online Attacks on Russia’s Power Grid,” New York Times, June 15, 2019。俄羅斯對沙烏地阿拉伯拉比格煉油廠發動網路攻擊,最早的報導參見:Nicole Perlroth and Clifford Krauss, “A Cyberattack in Saudi Arabia Had a Deadly Goal. Experts Fear Another Try,” New York Times, March 15, 2018。後來查出攻擊者是俄羅斯中央化學與機械科學研究院(Central Scientific Research Institute of Chemistry and Mechanics),相關報告見:FireEye, “Triton Attribution,” October 23, 2018, www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html。
  欲進一步了解仲宗根在網路司令部和氮氣宙斯計畫中扮演的角色,參閱大衛.桑格的《資訊戰爭》。
  有關川普把敏感的機密情報透露給俄羅斯官員,參見:Matthew Rosenberg and Eric Schmitt, “Trump Revealed Highly Classified Intelligence to Russia, in Break with Ally, Officials Say,” New York Times, May 15, 2017。
  我和桑格報導網路司令部對俄羅斯的反擊,被川普指為「等於是叛國行為」,相關報導見:Erik Wemple, “ ‘Virtual Act of Treason’: The New York Times Is Blowing Trump’s Mind,” Washington Post, June 17, 2019,以及A.G.蘇茲伯格在《華爾街日報》的專欄文章:“Accusing the New York Times of ‘Treason,’ Trump Crosses a Line,” June 19, 2019。欲進一步了解我的同事大衛.柯克派崔克被埃及當局逮捕的經過,參見:Declan Walsh, “Egypt Turns Back Veteran New York Times Reporter,” New York Times, February 19, 2019。迪克蘭.華爾希自述自己當年差點遭埃及當局逮捕,他向美國大使館求救卻被拒絕,參見:Declan Walsh, “The Story behind the Times Correspondent Who Faced Arrest in Cairo,” New York Times, September 24, 2019。
  美國每三十九秒就發生一起駭客事件的統計數據,參見:Michel Cukier, “Study: Hackers Attack Every 39 Seconds,” University of Maryland, A. James Clark School of Engineering, February 9, 2017。


後記
  二○二○年二月,國土安全部轄下單位網路及基礎設施安全局警告,天然氣管線業者正遭到勒索軟體挾持,參見:Homeland Security, Cybersecurity and Infrastructure Security Agency, “Ransomware Impacting Pipeline Operations,” February 18, 2020, www.us-cert.gov/ncas/alerts/aa20-049a。
  十年來少有動靜的鬆散駭客組織匿名者,於二○二○年六月節 重出江湖,駭進全美兩百多個警察部門和聯邦調查局情資整合中心,造成十年來、總共兩百六十九GB的敏感資料外洩,成為美國執法單位最大規模的資料外洩駭客事件。匿名者把這批資料命名為Blue Leaks,至截稿為止,記者、執法人員和激進人士仍在整理外洩的資料有哪些。被公開的聯邦調查局文件中,有一份二○二○年五月一日的報告,詳細說明了兩起對選舉基礎設施造成影響的勒索軟體攻擊事件,第一起是二○一九年十一月發生在路易斯安那州,另一起是二○二○年一月發生在俄勒岡州的提拉木克郡,報告最後預警,隨著二○二○年大選臨近,勒索軟體攻擊很有可能會危及美國的選舉基礎設施。
  有關新冠疫情期間網路攻擊事件顯著上升,參見:Dmitry Galov, Kaspersky Labs, “Remote Spring: The Rise of RDP Brute force Attacks,” April 29, 2020, securelist.com/remote-spring-the-rise-of-rdp-bruteforce-attacks/96820。
  欲進一步了解竊取疫苗資料的駭客事件,參見:David Sanger and Nicole Perlroth, “U.S. to Accuse China of Hacking Vaccine Data,” New York Times, May 11, 2020。
  有關恐怖攻擊造成的損失正在下降、網路攻擊的損失則在上升,我參考的是經濟與和平研究所(Institute for Economics & Peace)二○一九年的全球恐怖主義指數(Global Terrorism Index),網址:visionofhumanity.org/app/uploads/2019/11/GTI-2019-web.pdf;還有蘭德公司對二○一八年全球網路攻擊損失所做的分析,參見:Paul Dreyer, Therese Jones, Kelly Klima, Jenny Oberholtzer, Aaron Strong, Jonathan William Welburn, and Zev Winkelman, “Estimating the Global Cost of Cyber Risk,” Rand Corporation, 2018。
  有關開放原始碼軟體的無所不在,參見:Sonatype, “The 2016 State of the Software Supply Chain”,網址:www.sonatype.com/hubfs/SSC/Software_Supply_Chain_Inforgraphic.pdf?t=1468857601884。一輛高級車款平均有一億多行程式碼,參見:Synopsys, “Managing and Securing Open Source Software in the Automotive Industry”,網址:www.synopsys.com/content/dam/synopsys/sig-assets/guides/osauto-gd-ul.pdf。欲進一步了解心臟出血漏洞,以及開放原始碼程式必須有夠多眼球(還有經費)的問題,參見我二○一四年的《紐時》報導:“Heartbleed Highlights a Contradiction in the Web,” April 18, 2014。有關網路漏洞回報獎勵計畫,參見早期報導:Jaikumar Vijayan, “Security Researchers Laud Microsoft, Facebook Bug Bounty Programs,” Computer World, November 8, 2013。晶片新設計CHERI計畫的技術說明,請至:www.cl.cam.ac.uk/techreports/UCAM-CL-TR-850.pdf,這項計畫最近獲得英國政府四千五百萬美元的挹注。欲深入了解竊取帳密等憑證的駭客活動,以及這種手法仍在國家級間諜活動中大量使用的情況,參見羅布.喬伊斯二○一六年的演講:“NSA TAO Chief on Disrupting Nation State Hackers,” USENIX Enigma 2016, www.youtube.com/watch?v=bDJb8WOJYdA。目前政府對於「漏洞公正性評估流程與政策」最完整的描述,請見羅布.喬伊斯在二○一七年十一月十五日的說法:www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF.
  英國政府通信總部對該國的漏洞披露評估流程也愈來愈開誠布公,近年更開始公布每年披露的零時差漏洞總數,參見:Joseph Cox, “GCHQ Has Disclosed Over 20 Vulnerabilities This Year, Including Ones in iOS,” Vice, Motherboard, April 29, 2016。
  有關伊朗駭客入侵美國三十六家民營企業、政府機構和非政府組織,以及駭客慣用的「密碼噴灑攻擊」手法,資料來源為美國紐約南區聯邦地區法院二○一八年三月對伊朗駭客的起訴書:assets.documentcloud.org/documents/4419747/Read-the-Justice-Dept-indictment-against-Iranian.pdf。挪威和日本的數位安全度排名,以及兩國的網路安全策略,參見:V. S. Subrahmanian, Michael Ovelgonne, Tudor Dumitras, and B. Aditya Prakash, “Global Cyber-Vulnerability Report,” Springer, 2015。在此特別感謝Subrahmanian,耐心為我解釋這份逐一分析各國網路安全策略的報告。
  有關北卡羅萊納州達蘭郡二○一六年大選時的電腦異常問題,國土安全部的最終分析報告,參見:“Digital Media Analysis for Durham County Board of Elections,” Department of Homeland Security, October 23, 2019,網址:static.politico.com/c5/02/66652a364a2989799fd6835adb45/report.pdf。
  有關矽谷始終難以放下對美國政府的不信任,優步資安長馬特.歐爾森也在二○一九年的演講提及這個問題,參見:Jeff Stone, “Mistrust Lingers between Government, Industry on Cyber Information Sharing,” Cyberscoop, October 2019。
  在為〈後記〉整理幾點建議的最後階段,以下幾個人給了我十分寶貴的意見:保羅.寇賀是當今資安界思慮最周延的人,真的是討論想法的不二人選;我也要感謝史丹佛國際研究院「最早的白帽」彼得.諾伊曼,耐心地為我解釋CHERI計畫的內容,並針對模擬攻擊與威脅分析過程提供了很有幫助的觀點;跟Linux基金會的吉姆.澤姆林針對開放原始碼軟體安全性問題的討論,給了我很多啟發;蓋瑞.麥格羅幫助我了解誘因結構的問題;凱西.艾利斯困守澳洲時接聽我的長途電話,大方地和我分享他對疫情如何影響網路安全的看法;跟吉姆.戈斯勒的多次談話(我每次打電話給他,他都一定接),讓我更清楚的要救這艘船,哪些是非做不可的事;我還要感謝在二○一九年七月離開人間的邁克.阿桑特(Mike Assante),他為了喚起大家對「關鍵基礎設施其實很容易遭到駭客攻擊」的意識,默默做了許多事,我們聽說的只不過是九牛一毛而已。他罹癌去世前幾個星期寄了一封電子郵件給我,描述了我們當前的網路安全困境,當中寫道:「拜託繼續給予基礎設施網路曝險應有的關注,我們正來到一個重要時刻,舊的工程學假設和安全設計已無法充分應付軟體問題和操縱現實的能力。」

    全站熱搜

    麥田出版 發表在 痞客邦 留言(0) 人氣()