誰發明了病毒?
2020年,44歲的德古茲曼(Onel de Guzman)只是菲律賓首都馬尼拉(Manila)一家手機維修店鋪的老闆。
20年前,德古茲曼是AMA資訊學院(AMA Computer College)資訊工程系(computer science)的學生,是校內地下駭客組織GRAMMERSoft的一員,更是 2000年時縱橫全球的ILOVEYOU病毒(註)的開發者。
無力負擔上網費用的大學生,寫出征服全球的病毒
西元 2000年,人類的網路技術正在普及階段,人們必須向電信公司申請一組付費的帳號密碼,才能使用撥接網路。
當年只是個大學生的德古茲曼無力負擔高昂的上網費用,於是他一直想方設法,要找出一個能夠免費上網的辦法,最後盯上了其他使用者的帳號密碼。於是,他利用當年Windows 95系統的漏洞,寫出一個病毒程式,打算偷取其他用戶的上網帳號及密碼。
按下發送鍵後,他便外出與朋友喝酒。與此同時,他的病毒也在全球攻城掠地。
註:根據《維基百科》,ILOVEYOU病毒,又稱Loveletter或Love Bug worm,是一個以VBScript撰寫的電腦蠕蟲(computer worm)。為求讀者方便理解,加上原始引用文章以「virus」稱呼,故此文以「ILOVEYOU病毒」稱之。
以愛之名,迫降全球
ILOVEYOU病毒的受害者會收到一封來自聯絡人,以「請點擊附件中的LOVELETTER」為內文的信件。只要一經點擊,電腦立即會被感染,許多電腦中的檔案會被覆寫,病毒也會自我複製並將更多郵件送給被感染電郵通訊錄中的聯絡人。
此外,病毒也會執行一個特殊的程式,將使用者輸入過的密碼寄送給一個位於菲律賓的伺服器。
在接下來的一周,全球各地都傳出ILOVEYOU災情,每天都有更多人點開電郵的附件檔案被感染。
成功利用人與人之間的信任感
在帕羅奧圖網路企業安全公司(Palo Alto Networks)擔任首席安全官的戴伊(Greg Day)認為,ILOVEYOU病毒成功的關鍵在於成功利用人們之間的信任感。
他說:「ILOVEYOU病毒利用情感,開創一種全新的網路攻擊方式。同時利用人們渴望被愛的情緒,並藉由自聯絡人發送感染信一舉,讓人們產生錯誤的信任感。」
今年接受BBC訪問時,德古茲曼自己也表示:「我發現許多人都想要個男朋友,想要彼此,想要愛,所以我將附件命名為『LOVE-LETTER-FOR-YOU』。」
近5,000萬台電腦受感染
五個小時後,ILOVEYOU病毒已經傳遍亞洲、歐洲及北美洲,連英國國會、美國的五角大廈一時之間也找不出更好的辦法,只能暫時關閉電郵系統,避免災情進一步擴大。
別忘了,西元 2000年時的網路遠遠不若現在普及。根據國際電信聯盟(International Telecommunications Union ITU)提供的數據,那是個法國只有 15%的人有能力連上網路,英美兩國各自也只有 27%及 43%的人能連上網路的時代。
事後,根據美國聯邦調查局(FBI)的估計,ILOVEYOU病毒讓全球損失了約 100億美元(折台幣約 3,010億5,000萬元,今日匯率)。
躲過審判的病毒開發者
還記得病毒會將密碼寄給一個位於菲律賓的伺服器嗎?這是找出始作俑者的一條重要線索。
當全球調查單位紛紛開始關注菲律賓後,菲律賓警方很快找到德古茲曼,同時也蒐集到了大量證據,菲律賓國家調查局(National Bureau of Investigation,NBI)、FBI及私人調查單位皆同意,德古茲曼就是病毒的開發者。
但是,他仍然沒有被判刑。
缺法律不缺證據
問題從來不在於缺乏證據,而是缺法律。當時,菲律賓並沒有電腦犯罪相關的法律可以審判德古茲曼,檢方後來嘗試以詐欺罪起訴他,最終也宣告失敗。
雖然同一時間,美國有法可判,兩國之間也簽訂引渡條款,但是引渡條款只適用兩國皆能審判的罪刑,讓美國只能放棄將他繩之以法。
好幾年後,菲律賓參議員安哥拉(Edgardo J. Angara)用一句話形容當時許多菲律賓政要及執法人員心中的恥辱感:「我們無法將一個對全球上百萬公司及個人造成傷害的罪犯繩之以法。」
戰勝五角大廈的菲律賓之光
不過,不少菲律賓人卻將德古茲曼視為英雄,因為他以「菲律賓人」的身分,打響了菲律賓在世界上的名號。一間報紙的專欄作家直言:「一名菲律賓天才打響菲律賓的名號。……他證明了菲律賓人的創意及創造力,不論好壞,都足以顛覆世界。」
不只如此,母校AMA資訊學院的一名學生告訴《紐約時報》,ILOVEYOU病毒讓他們「感到驕傲」;另一名學生直言:「這是錯的,但是太了不起了!」
此外,有人則是沉迷於菲律賓駭客的能力,足以「滲透五角大廈……即便菲律賓只是一個第三世界國家,即便菲律賓的科技落後,仍然有能力辦到」。
人,是永遠的弱點
美國國家基礎設施保護中心(National Infrastructure Protection Center,NIPC)的負責人瓦提斯(Michael Vatis)指出,在網路攻擊事件中,人永遠是最脆弱的環節,比起破解資安技術更容易。
此外,ILOVEYOU病毒也重塑了許多人對惡意程式的觀點,即便在資訊安全領域也不例外。歐卡托皮公司(Octopi Managed Services)的資深資安工程師柴爾德斯(Colin Childs)說道:「對我個人及許多資安領域的同行來說,ILOVEYOU病毒使我們首度意識到惡意程式對全球產生的影響,它改變了我們看待網路的方式,警告人們在打開電郵或是探索網路的時候必須更小心。」