人肉好吃嗎

最近擋車中指蕭的事件,鬧的滿城風雨。

對這件事呢。一,我覺得在新北市XD區發生這種事情不意外,幾年前就寫過文章提過。第二,有些人對於鄉民人肉搜索的行徑很感冒,說雖然覺得中指蕭罪有應得,可是這種把他全家搜出來的行為還是不可取之類的(特別是中間還發生幾次搜索錯誤抓錯人)。

不過呢,我必須說,人肉搜索的普遍化是不可逆的現象,不需要也不應該用任何道德或法律上的約束力來阻止。

有接觸過資安的人應該都知道,不管任何利用軟硬體的技術都有退流行的可能,而威力最大,也最不會被時代淘汰的駭客手法,其實就是social engineering。中文名叫社交工程,其實現在的人肉搜索也是這技術的應用。

以前修過一些資安的課,印象中有一門課特別花了一週時間探討這個問題,教授就為了那個禮拜的課特地教科書多開一本,結果我就為了買那本書花了快上百美票,然後只用一週…(連Amazon都找不到二手的)

不過那週的課很有意思,完全不談技術上的知識,只從人權的角度來講科技的發展對於隱私的影響,以及對於搞資訊安全的師程工來說應該具備什麼樣的心態來面對。當然一開始也說了,社交工程其實是資安最重要但最不需要什麼高深技術的環節。反而過度注重技術面,就會在這地方產生漏洞,因為我們面對的是活生生的人。

打個比方來說,有些MIS只是學了點資安的皮毛,就覺得自己管理的系統的密碼設定必須要弄超嚴格,為了避免被硬try,要規定用數字加英文字母大小寫加標點符號,密碼還不能包括一般字典查得到的簡單單字,然後每隔三週要換一次這樣。

對付這種MIS管理的系統,最容易破解帳號的方法是什麼?很簡單,去跟該公司的同事串門子,去他/她的位子抬槓。

因為密碼太過於複雜,規矩太多,一般人往往記不起來,所以很多人會把密碼寫在便條紙上,再把紙貼在螢幕前面或壓在桌墊下。所以你去找他們聊天,就可以順便「不小心看到」他們的密碼。

這就是社交工程的應用之一。

人肉搜索在社交工程最原始的應用,就是猜密碼。因為大部份人會用像自己生日啊、愛人生日啊、身份證字號啊這種「有意義」且「易背」的資料做密碼或是密碼一部份,所以收集越多跟該帳號有關的個人資料,就越容易在排列組合中試出密碼。後來由於網路的發達,網路應用的增加,還有儲存媒介的提升,人會在網路上放的資料越來越多,也增加這些資料被搜尋到的機會,人肉搜索的完整性、準確性跟便利性更大幅提升。

但在沒有網路的時代,其實就已經有人肉搜索了。以前超級星期天的單元「超級任務」,說穿了就是人肉搜索。藉由當集藝人提供的少許線索,還有玩RPG遊戲那種逢路人就問的精神,對已收集到的資料做一些統整,再發揮一些想像力,鮮有無法找到人的案例。雖然後期有人質疑該單元可能造假,可是其實利用那些手法,是真的可以找到想要找的人,只是花費的成本是否值得而已。

現在跟以前的差別,並不是以前沒辦法人肉,而是以前需要花很多時間精力去搜索才能取得的資訊,現在可能開個google打關鍵字就找到了。從當事人的生日年齡住址電話手機學歷到交友狀況全部都一把抓。用比較簡單的說法,就是並非以前人都不人肉,只是現在網路發達,讓人肉搜索的成本大幅下降,自然助長這種風氣。

也就是說這是一種不可逆的必然現象。我們只能接受這件事的存在,並且警惕自己「不想被搜到的隱私,就不要擺到網路上」。畢竟連google創立者之一當年在newsgroup上耍小白的舊文章都曾經被後人挖出來恥笑啊XD

可是要阻止這種行為?這種想法就太過了。你不能禁止別人看你臉書頁的好友列表,你也不能禁止你的好友在他的FB頁上擺上跟你去高雄打歐噴將的頭的照片,那就算你沒在你的首頁放照片,別人還是可以從你的朋友的FB頁取得你的照片。而你應該譴責誰呢?

如果我們不能認定「向鄰居打聽某一戶人家的下落」是不該做的行為,那我們也不能認定「向網友打聽某一個帳號的下落」是不該做的行為。而這其實都是社交工程會做的事。

正因為社交工程的本質,是將一連串合法無害的社交行為串在一起,並從這些行為取得的資訊做連結篩選,以取得自己真正要的資料。所以如果要從法律面禁止社交工程,要嘛是「將任何可以取得資訊的合法社交行為改訂為非法」,要嘛是「規定利用合法社交行為取得的資訊,如果不是看後即丟,而是做其他的應用,則違法」。這兩種手段,不管哪一種,都只會箝制人身自由,都只會入人於罪。

你不希望隨便一個人知道你的手機,你應該做的是不要把手機號碼印在名片上,而不是要政府規定交換名片違法,或是規定收到名片的人讓名片被第三者看到違法。至於目前對人肉搜索的法律爭議,我覺得其實還好,畢竟現在別人隱藏起來的資料你去竊取算違法,被搜錯的人也可以用妨害名譽的罪名告人自保。要做更多的限制都是不必要的事情。

你可以不喜歡人肉搜索被濫用,但你必須接受它已經成為現代人生活的一部份。

在〈人肉好吃嗎〉中有 6 則留言

  1. >>這兩種手段,不管哪一種,都只會箝制人身自由,都只會入人於罪。

    很糟糕的是,這年頭鄉民只會要求政府管制這個禁止那個,他們正在一丁一點地把他們自己的自由跟權力交給政府……

  2. 呵呵,樓上應該是著名的「宅男困境」。
    會稱自己是宅男==>很大比例其實不是。
    會和人辯解自己不是宅男以及爭論宅男在日本以及台灣的定義==>很大比例其實是。(:D)

  3. 在這鬼島宅男的定義已經氾濫到穿邋遢一點、頭髮有點亂
    或帶台PSP等車、休息時打打,就會被叫宅男(grim)(grim)
    最幹的就是還有些怪胎自詡為宅男,要畫清界線還很難

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。