資訊人的商業溝通

本書特點

• 以歷史故事手法敘述資安事件。
• 以各種不同學科的角度分析資安原因與影響，資訊或資安背景從業人員可以思考非技術的觀點與辯證方式。
• 對技術名詞有淺白的解釋，非資訊或資安背景也讀得下去。

非常有趣的資訊安全歷史科普書，作者是耶魯法學院教授，他主張資安與隱私問題不僅僅是技術問題，更是法律、政治與道德問題，所以他採取以法律、心理學、社會科學等不同的角度來回顧過去重大資安事件並分析該事件對社會的影響，並指出我們需要了解文化與抽象準則，才能塑造更好的文化與抽象準則、創造更好更安全的程式碼與法律。

奇幻熊在網路釣魚，就是作者在書中分析的其中一個事件。奇幻熊被標記為俄羅斯國家情報單位的駭客部隊，並被指控涉嫌於2016年對美國民主黨發動網路攻擊並藉以干涉美國總統大選。釣魚則是一種攻擊手法，一般是指透過電子郵件來騙取使用者提供資訊。案例中奇幻熊寄送看似（但其實不是）Google的官方電子郵件給使用者要求更改密碼，並在信中宣稱使用者的帳戶正在被遭受攻擊以增加使用者的心理壓力與急迫性，但實際目標是騙取使用者輸入真實的Google帳號與密碼。除了整個事件的來龍去脈，案例中也以簡白易懂的說明了什麼是擊殺鏈（Kill Chain）、C2（Command and Control）伺服器、肩窺攻擊（Shoulder Surf）等名詞以及在案例中所扮演的環節。顯而易見的，被外流的美國民主黨與總統競選相關的電子郵件內容，在選舉過程中持續地發酵與引起討論，而美國資訊安全暨基礎建設安全局（Cybersecurity and Infrastructure Security Agency，CISA） 也在這個事件之後，將選舉體系納入其關鍵基礎設施保護範圍中。

除了奇幻熊以外，書中還有更多有趣的故事，例如電影《戰爭遊戲》對美國立法的影響、美國第一起網路蠕蟲感染事件、網路病毒及對抗病毒的歷史、分散式阻斷服務（DDoS）攻擊的商業服務化等等。作者透過這些案例分析來回答他想探討的問題，”網路為何充滿資安漏洞？駭客如何利用這些漏洞？企業、國家、一般大眾應該如何因應？”

我個人覺得本書最精彩的章節是「聯邦政府訴莫里斯案」，也就是美國聯邦政府因為美國第一起網路蠕蟲感染事件起訴蠕蟲的製作者莫里斯。在當時個人電腦都還不普及的情況下（蠕蟲是在1988年11月被釋放並造成損害），聯邦檢察官的訴訟策略是如何對陪審團說明《電腦詐欺與濫用法案》（Computer Fraud and Abuse Act， CFAA ）的法條內容與適用性，以及辯護律師的辯護策略及莫里斯本人出庭證詞，讓人可以理解到法律條文與蠕蟲所造成損害的連結關係。

最後，作者認為台灣與中國未來發生實體衝突的機會不高，就算未來發生戰爭，網路上的各種攻擊也只是現實場域的輔助。作者的此觀點，則與我觀察到烏克蘭與俄羅斯的戰爭報導與智庫研究結果相同，也就是網路攻擊可以是一種作戰手段，但要實際佔領及支配領土，仍會仰賴實際的陸軍作戰及海空軍的支持。