一般的大一新生若是修不到熱門的進階課程,通常都只會沮喪跟抱怨,但帕拉斯.查(Paras Jha)卻不一樣。
剛進入羅格斯大學的帕拉斯,一知道資工的選修課優先開放給高年級學生,就氣得決定攻擊選課網站,讓所有人都修不到課。2014年11月19日星期三,美東標準時間晚上十點,系統一開放新生選課,帕拉斯就發動了第一次分散式阻斷服務攻擊。他從中國和東歐調來四萬多臺殭屍電腦組成大軍,攻擊學校的中央驗證伺服器。殭屍網路送出上千個冒名驗證請求, 導致伺服器過載, 帕拉斯的同學全都無法順利選課。這次事件後,羅格斯大學發現自家系統面對攻擊竟如此脆弱,便決定強化資安,一口氣投資了三百萬美元升級系統,並調漲了2.3%的學費,將費用轉嫁回學生身上。
一個學期過後,帕拉斯再次發動攻擊。除了懷念上次攻擊帶來的關注和惡名,他這次還想讓微積分考試延期。2015年3月4日,他寄了封匿名信給學校的報紙《The Daily Targum》:「前陣子你們刊登了一篇文章, 討論針對羅格斯大學的分散式阻斷服務攻擊。我就是當時的攻擊者⋯⋯以下這個消息你們應該會有興趣⋯⋯我將在美東時間晚上八點十五分再次攻擊。」學校報紙並未公開這封信件,並通知警方。但帕拉斯實現了他的威脅,在晚上八點十五分準時弄垮了羅格斯大學的網路。
3月27日,帕拉斯又對學校發動了另一次攻擊。這次攻擊持續了四天,使校園生活陷入停頓。五萬名學生、教職員工無法在校園裡上網,無法登入查看課程、校園公告或電子信箱。學生們一肚子火,卻不知道是誰做的,又是為什麼要這樣惡搞學校網路,只有帕拉斯一個人得意洋洋。他的一個朋友後來回憶道:「他一直在吹噓自己會讓學校的資安人員被開除,還說學費調漲也是他的功勞。」
在4月29日,帕拉斯又在駭客們常用來刊登匿名訊息的網站Pastebin 上發布了一則訊息。「羅格斯大學的IT部門根本是個笑話。」他用ogexfocus 這個代號掩飾身分,嘲弄道:「我已經用分散式阻斷服務攻擊擊潰他們三次了,每一次,學校的基礎建設都在我腳下像沙堆一樣瞬間瓦解。」讓帕拉斯憤怒的是,母校選擇了位於麻州的小型資安公司Incapsula,來應對分散式阻斷服務攻擊;他聲稱這個選擇單純是為了省錢。「為了讓你們知道Incapsula 的服務有多爛,我已經摧毀了羅格斯大學、還有部分Incapsula 的網路。之後記得找個知道自己在做什麼的承包商。」羅格斯大學每年支付十三萬三千美金給Incapsula,但在面對帕拉斯強大的殭屍網路時,卻起不了半點作用。
帕拉斯對羅格斯大學的第四次攻擊發生於期末考期間,造成校園一片恐慌與混亂。由於線上資源徹底癱瘓,各學院院長和系主任只好請教授們不要舉行期末考,改以期末報告替代。
儘管帕拉斯得意洋洋地炫耀自己如何癱瘓一間知名州立大學,但他最終的目的,其實是逼學校放棄和Incapsula 合作,轉向他本人創立的分散式阻斷服務攻擊防護公司ProTraf Solutions 購買服務。為了讓羅格斯大學知道他比Incapsula 更優秀,帕拉斯會一直攻擊到學校改變心意為止。
先放火再救火!網路空間成為敲詐勒索熱區
在NBC的情境喜劇《超級製作人》(30 Rock )中,亞歷.鮑德溫(Alec Baldwin)飾演的公司副總傑克,試圖向蒂娜.菲(Tina Fey)飾演的主編莉茲解釋經濟學中垂直整合(vertical integration)的概念。「想想看, 如果妳最喜歡的穀片生產商買下市占率第一的瀉藥⋯⋯」莉茲聽了雙眼立即發亮:「很棒啊,這樣他們就可以在每包都放一點樣品。」傑克看得出莉茲沒有完全搞懂做生意的邏輯:「再想想。」莉茲一邊在腦中思考經濟學,一邊揣摩這個假設:「你是說,他們可能會打算讓你吃了玉米脆片以後⋯⋯」傑克微笑:「這才叫垂直整合。」
雖然傑克把這叫做垂直整合,但傳統上法律人會稱為「敲詐勒索」。嚴格來說, 敲詐勒索是一種先製造問題,再強迫受害者付費解決的詐欺手法。 以敲詐保護費為例,角頭可能會威脅當地店家如果不花錢買「保護」, 就要在店面縱火,或是把商家狠狠揍一頓─換句話說,就是給出一個他無法拒絕的條件。
這樣的「保護」,通常也包括阻止其他幫派惹事生非,因此,付一筆錢就可以讓自己的店舖免受其他威脅。但是,黑幫這麼做並不是出於感激或善意,而是為了排擠競爭對手。如果有其他黑道想要強行介入,角頭就會保護自己的勢力範圍。這些角頭的目的是壟斷保護服務,讓自己成為唯一提供服務的人。
傑克所說的「垂直整合」讓莉茲感到震驚,因為他口中的玉米脆片製造商根本是在敲詐。公司先造成某種身體狀況,再賣相對應的藥品給顧客─或許可以叫做腹瀉敲詐?「哇,這未免太卑鄙了吧?」莉茲驚呼道。
不過,在社會學家查爾斯.提利(Charles Tilly)看來,這種事情並不奇怪,而且一天到晚都在發生。提利主張歐洲國家的形成,就是從統治者對臣民收取保護費開始的。社會契約等哲學觀點認為,人民是為了獲得國家保護而交出個人的自由;但提利則主張,國家是利用敲詐勒索來獲取權威。歐洲的王族藉由向其他大國掀起戰爭,使臣民遭受威脅。如果沒有人保護,他們就會受到「敵對」勢力的傷害。為了避免這種情況,王族就向這些人提供了「保護」⋯⋯只不過想獲得保護,就要付出一些代價,也就是「稅金」。
稅金能用來支付維護國家軍隊的費用,並保護臣民。而臣民也有動機繳納稅金,因為他們希望能免受敵人傷害;儘管挑起這種敵對狀態的,根本就是那些「保護者」。此外,臣民還有一個乖乖繳稅的理由:如果他們不繳納稅金,就會受到嚴厲的懲罰。就像地方角頭一樣,國家也會提出老百姓無法拒絕的提議。
稅收的功能不只是保護臣民,還能用來鞏固對領土的控制。有了充足的稅收,國家就可以解除強大封建領主的武裝,沒收對方的槍械、解散軍隊、拆毀城堡,並建立自己的軍隊取而代之。國家因此壟斷了行使暴力的權力,並起訴所有拒絕承認國家至高權威的人─「最後,大多數公民持有武器,都會淪為罪犯,或是變得不切實際、不受歡迎。」
根據提利的看法,歐洲國家最初只是一些保護費敲詐集團,但並未一直維持這種模式。到了近代早期,國家順利消除了其他競爭對手後,就從等而下之的勒索,轉變為正當的保護。歐洲國家不再刻意製造威脅,而是承諾消除不是國家所製造的威脅。
如今的「網際空間」,就是敲詐勒索最棒的舞臺。那是政府鞭長莫及的邊疆地帶,到處都是伺機騷擾使用者的盜匪。與此同時,新興的勒索集團也得以向受害者兜售「保護」,索取一些代價。
帕拉斯.查對羅格斯大學的分散式阻斷服務攻擊,就是一種保護費勒索。他想要逼學校放棄Incapsula,改與他的公司ProTraf Solutions 合作。但羅格斯大學堅持原本的選擇,帕拉斯.查因此對學校採取凶殘的報復, 準備讓對方付出代價。
12歲就架出創世神伺服器,天才少年如何走向歧途?
帕拉斯.查出生、成長於紐澤西州中部的凡伍德,是阿納德和維嘉雅夫妻的長子。他和鎮上的其他孩子不同,發展比較遲緩,交誼也有困難, 顯得笨拙內向,也常被其他孩子欺負。
升上小學三年級時,有個老師建議讓帕拉斯去檢查,是否有注意力不足過動症(ADHD)。這是一種執行功能障礙,會減損注意力並增加衝動行為。帕拉斯有很多相關跡象。雖然他非常聰明,但上學對他來說充滿挑戰。他很難在課堂上保持專注、遵守老師訂的規則, 也無法準時繳交作業,只關心他感興趣的科目。但只要專心下來,就沒有人能夠打斷他。
帕拉斯的母親維嘉雅,對老師的提議感到不安。她認為確診過動症, 就意味著兒子注定無法成大器,但她想要相信自己的長子是「最聰明、最機智、最有才華的孩子」。最後,由於兒童注意力不足過動症的診斷,需要透過家長和老師的問卷來評斷,而維嘉雅選擇刻意隱瞞實情,導致帕拉斯遭到誤診,在成長過程中沒有獲得療法、藥物或其他需要的協助。
升上小學高年級後,帕拉斯的處境越發艱難。由於他顯然非常聰明, 老師和父母都把他的表現不佳歸咎於懶惰、冷漠等人格缺陷,而不知所措的雙親只會加倍鞭策他。
後來,帕拉斯在電腦世界找到了庇護所。他十二歲就開始學寫程式並沉迷其中,父母也很開心他找到這個興趣,為他買了一臺電腦,並完全不限制他上網。但這些溺愛,只是讓帕拉斯更與世隔絕,把所有時間都花在寫程式、玩遊戲還有跟網友聊天。這讓維嘉雅又開始不滿兒子急速增長的癡迷,但阿納德卻很高興,他為兒子的程式技能感到自豪,希望這能為帕拉斯帶來成功和肯定。甚至幫兒子架了一個網站,用來展示他的作品。
帕拉斯特別著迷於網路遊戲《當個創世神》(Minecraft)。在這款遊戲裡,玩家可以自由探索像素方塊所組成的世界。玩家會挖掘這些方塊, 取得各種原料,用來打造工具、傢俱、房屋、花園、城堡,甚至是圖靈機。遊戲有單人和多人模式。在多人模式下,玩家可以和來自網路各地的人合作和競爭。這款遊戲還有各種「模組」(mod),可以輕易地進行修改, 進而生成具有不同規則和新功能的世界。不同世界通常架在不同的伺服器上,玩家得切換伺服器,一般也需要付費。
儘管《當個創世神》的畫面由方塊組成,視覺風格也很卡通,角色們甚至連手指都沒有,卻非常受歡迎,其中又以青少年為主要玩家族群。在2014年被微軟收購後,已經售出了超過兩億套(目前售價為26.99美元),每天有五千五百萬名玩家上線。而這麼一款受歡迎的遊戲,伺服器市場也很大,有些私人伺服器每個月可以有多達十萬美金的進帳。
九年級時,帕拉斯開始架設私人伺服器,不再只是普通的玩家。他在自己的網站上表示「看到其他人喜歡我的作品」讓他很滿足。但有一次, 他在自己的遊戲伺服器遇上了人生首次的分散式阻斷服務攻擊。由於私人伺服器之間競爭非常激烈,《當個創世神》的伺服器管理員們,常會雇用分散式阻斷服務攻擊的服務,讓對手斷線。
一般人只要花十五美金,就能買到分散式阻斷服務攻擊所需的工具,甚至看YouTube 影片就能學習如何發動這種攻擊。這些攻擊者是希望逼其他私人伺服器斷線,以竊取對手的客戶。ProxyPipe 公司專門為《當個創世神》伺服器提供分散式阻斷服務攻擊的緩解服務,其副總裁勞勃.科艾羅(Robert Coelho)就說:「如果你是玩家,而你喜歡的《當個創世神》伺服器被攻擊斷線,你大可改玩別的伺服器。但對於伺服器經營者來說,最重要的就是盡可能增加玩家數量,經營更大、更強的伺服器。伺服器能容納的玩家越多,你就能賺到更多錢。但如果你的伺服器崩潰,玩家很快就會離開,甚至永遠不再上線。」而帕拉斯的伺服器,就因此成為這些攻擊的目標。
科艾羅跟帕拉斯曾是朋友,兩人聯絡了好一陣子。但在帕拉斯加入Hack Forums.net 以後,他們就不再來往了。Hack Forums.net 是一個讓新手駭客交流技巧和炫耀成就的線上平臺,此外,論壇上還有個惡意軟體市場,駭客們可以在上面展示產品和服務。「他突然人間蒸發,然後就開始在Hack Forums 上活躍。」科艾羅這麼說。「從那之後,他就徹底變了一個人,我幾乎不認識他了。」帕拉斯被這些線上論壇徹底引入了黑暗。根據科艾羅的說法,帕拉斯是分散式阻斷服務攻擊組織lelddos 的成員之一, 該組織在2014年非常活躍。他們會在攻擊之前嘲諷受害者,比如在推特上發表侮辱性言論。而這些網路混混,專門挑《當個創世神》的伺服器下手。
學到更複雜的分散式阻斷服務攻擊技術後,帕拉斯也開始研究如何抵擋這樣的攻擊。等到他熟悉如何解決《當個創世神》伺服器遇到的攻擊後, 就決定創辦ProTraf Solutions 公司。他在個人網站上寫道:「處理分散式阻斷服務攻擊的經驗,啟發我開創這家伺服器代管公司,專門為客戶提供緩解此類攻擊的解決方案。」公司網站protrafsolutions.com 表示,自從2009年以來,他們的團隊一直在維護和管理遊戲伺服器。但那一年,帕拉斯才十二歲,也是他學寫程式的第一年。
本文授權轉載自《奇幻熊去網路釣魚》,Scott. J. Shapiro著,悅知文化
責任編輯:蘇柔瑋
