2024年書單：《脆弱系統》

書名：《脆弱系統：從人性貪婪、網路詐騙到駭客入侵，探索資訊安全的歷史和未來》（A Vulnerable System: The History of Information Security in the Computer Age）
出版社：經濟新潮社
刷次：2024年9月初版一刷
購自：天瓏書局

我是看「科幻毒瘤讀留獨流」粉專寫了這本書的心得，然後在天瓏新書區看到這本書，才決定買下這本書的。最近剛好是翻譯書之間的空檔，被抓去做本土書的「回饋版」，偶有空閒的時候就必須裝忙（別讓老大發現我在當薪水小偷，然後塞妖怪作者或鬼書過來），於是就陸陸續續看了一些跟電腦科技主題有關的書。就算沒事做，也要好好進修，心繫B社未來（茶）

＊「科幻毒瘤讀留獨流」粉專心得傳送門

《脆弱系統》看起來有點厚度，但實際上384頁中，有近100頁是附註。但畢竟都是字，還有許多術語，建議還是要懂一點網際網路原理，或對資訊安全史很有興趣，才能進入狀況。

閱讀這本書的過程中，我比較有興趣的是跟「社交工程」還有「心理學」相關的討論，偏技術性的描述我倒是懵懵懂懂、一知半解，所以大多是快速略讀過去，放過自己（心虛）

這是剛開始閱讀時，在個人臉書寫下的閱讀日記：

經濟新潮社的《脆弱系統》和時報出版的《失控的轟炸》是同一位譯者，但後者明顯比前者好啃，前者頭兩章讀起來和《晶片戰爭》感覺很像，都是一開場就用超多軍事用語和電腦術語狂轟讀者，沒被嚇跑的話，只需捱過前面，等時間線來到更近一點的年代，如1980s和1990s，就比較能進入狀況啦。

（這種書就是看不懂就速讀，我是讀到p.70才出現比較熟悉的東西，哈哈。可以想像這種書有多難譯、多難審，讀者3分鐘就瀏覽過去，翻譯可能要花上3天。然後還不一定能回本，能打平預付金就偷笑了。）

話說這本一下子出現「網絡」、一下子出現「網路」，本以為是譯者或編輯沒有抓漏，但後來想想，也有可能是想區分net和network吧？沒有原文可對照，只能這樣推測。然後又看到了「創建」……啊～隨便啦，看得懂就好了。咱們B社在老大的威逼之下也差不多要變這樣了，有什麼臉說其他社呢（茶）

#脆弱系統

#經濟新潮社

#閱讀日記

2024.10.02.

以下摘錄一些閱讀過程中印象比較深刻的句子。

P.79~80
『網路弱點掃描的點子並不新。威廉‧吉布森（William Gibson）在一九八四年出了一本科幻小說叫《神經喚術士》（Neuromancer），當中就描寫到一種「中國人製造的狂級馬克十一滲透程式」會自動侵入ICE，也就是在書中那個反烏托邦未來裡用來保護企業網路的一種防火牆。』

話說讀完這一段，我就分心去把線上低調版的《Neuromancer》讀完了（笑）《Neuromancer》前兩章或許有點難進入狀況，但到了第三章就好多了，劇情也開始越來越緊湊。我特別喜歡接近尾聲時，另一個AI把主角的意識「困」在海灘上的那段劇情。究竟是「愛比較深」的情況下、還是「沒那麼愛」的情況下，才會重拾理智，「狠下心來」離開那個逼真的虛擬世界？

P.82
『一九九〇年代中期，網路上有錢可賺的地方，就是色情網站。色情網站率先採用了很多科技創新，包括即時通訊、聊天室、串流視訊，還有線上購物，其中線上購物就可能推著他們比其他網站更早、也在更大程度上考慮到安全問題。』

P.103
『當個駭客是什麼意思，好像是多問的：駭客不就是刻意破壞電腦系統安全性的那群人。但隨著時間過去，這個詞在坊間的意涵，特別是在特定的群體中，其實慢慢有了轉變。hacker（駭客）裡的hack（駭）一詞最早的現代用法，形容的是以有創意的方式去操作或調整某台機器。……任何一個有創意或洋溢著靈感的程式作品，當時都會被稱作是「好駭」（good hack）。「駭客」一詞最早被用來指稱某個想故意破壞電腦系統安全性的人。』

P.141
『既然電腦上執行的軟體愈來愈難駭，那換個地方尋找弱點就成了理性的選擇，其中電腦的人類使用者更是一個很合邏輯的目標。電腦的使用者處於破壞整個系統安全性的最佳位置，這包括他們可能會洩漏密碼，可能會做出削弱安全措施強度的行為。在資訊安全領域中，使用者各種看似沒有盡頭的出包案例所惹來的鄙視源遠流長。科技界人士甚至發明了PEBCAK之類的詞彙，來嘲諷那些電腦知識不足的人類會產生的各種誤解。

譯註：problem exists between chair and keyboard，意思是「存在於椅子跟鍵盤之間的問題」，也就是拐彎抹角在點名電腦的使用者。』

P.148
『網路釣魚成了易用安全性絕佳的戰場，因為每個收信者現在都必須要自行判斷這封電郵是真是假。駭客必須創造出能騙到人的電郵與網站，而使用者介面設計師與易用安全性研究者則必須打造出足以擊敗這些釣魚嘗試的使用者介面與安全性措施。』

P.151
『所以說對詐騙犯而言，最符合他們利益的做法是非最好騙的人不騙。而奈及利亞劇本的效果就在這：替詐騙犯篩選出最好騙的人。就是因為奈及利亞劇本眾所周知而且非常好認，它才能有效地幫詐騙犯像大海撈針一樣，找出廣大人口中那個很小的子集合：那些好騙到連上網查一下都不會的回信者。』

P.168
『惟即便在人可以取得優質安全資訊、可以理解這些資訊，也可以採取適當行動的情況下，來自經濟學和心理學領域的另一項發現也可能讓這些努力變得白忙一場。這就是所謂的風險補償理論，有時候也稱為行為適應或風險平衡。這個概念說的是在某種安全防護措施被導入一項活動後，從事該活動的人會傾向於將風險水準重設到之前的程度。安全措施的導入並不會改善活動的水準；安全水準會維持在相同的程度，因為使用者會把風險重新分配到系統的整體之中。』

P.201
『……特技駭客行為（stunt hacking）。這指的是他們會在汽車、飛機與醫療器材等日常科技中尋找安全弱點並大肆宣傳。特技駭客行為是對這個世界一種粗暴的簡化。這種行為抹消了經濟學與心理學的重要性，完全不去思考這兩種學問在安全性失靈中所扮演的角色，而只是專注在駭客行為與安全弱點的技術層面上，因為那是駭客握有專業的地方。』

P.209
『事實上根據一項研究，大型資料外洩事件已經頻繁到，二〇一六年粗估美國有逾四分之一的成年人──相當於大約六千四百萬人──收到過通知，說他們的個資已經在某場資料外洩中落入有心人之手。』

P.252
『電腦安全的基本困境道出人是如何想要獲得安全，但又不怎麼具備能力去做出那些能讓他們評估或改善安全性的決定。想要透過訓練去解決這一基本困境的嘗試，大抵都以失敗收場。所以說與其嘗試幫助使用者做出更好的決定，比較好的做法是釜底抽薪，減少他們需要做決定的機會。搭電梯的人不會擔心按錯一個鍵，電梯就會像自由落體一樣把他們摔死。科技本來就應該只讓人接觸到他們操作科技需要用到的面向，而不應該強迫人做出那些會危及他們自身和他人的決定。』

國鳳

2024.11.28.