把頭泡在假訊息一個月,我的頭……

Posted on by T.H.

最近這個月,利用幾個場合談這個困擾台灣「網路社會」的嚴重問題。有些談的場合公開,有些則是茶餘飯後。有些稍微正式,有些閉門。有些談過的人常在電視出現,有些人則是某些議題的媒體寵兒。有些人已超過七十歲,有些才剛出社會。有些人讀到假消息亂竄,徹夜輾轉難眠,有些人勤於「打擊」,使用多種「查核」工具,樂此不疲。

假訊息蔓延的「嚴重程度」,可從好幾個構面進行頗析。但由於影響層面廣泛,幾乎都是人人「有感」,每個人都能談上感想一兩句。部分族群談的積極,或許可「歸咎」於2018年九合一選舉結束當晚的完全「失算」。有些人則是感受到社交媒體越來越不社交,越來越不朋友,純粹厭煩,決定退出綿密的特定社交網絡服務。

同一時間,我們看到輿論上談得最多的,多半屬於該如何「因應」的這一段。因應是動詞,但還要有「主詞」和「受詞」。是「誰」想主動因應,當然要搞清楚。主詞「聲量」最大的,當屬政府單位。其次是專家學者,再來是長年關心公共事務,佔那總人口比例可能永遠不會到千分之一的「有心」人士,最後就是免不了的媒體自己。選舉後的這段期間,不經意在網路說上一兩句話的「閱聽眾」,這部分的人口,或許佔了台灣總上網人口不到一成,也就是説,了不起可能是兩百萬,不會到三百萬人。

在過去一個月,我所聽到的各種問題,大致可歸類為兩種:

  • 我們可以做什麼?(佔99%
  • 到底發生了什麼事?(不到1%

第一個問題問得太早,也幾乎是沒辦法回答。這也是為什麼我會一連在好幾個場合提到《奇怪的戰敗》這本書的原因。這是一本由作者親身描述二戰時納粹德國強襲法國的歷史經典之作,我用在一場公開滿座的座談〈哲學星期五〉的活動引言,先做說明。

二戰時法國慘遭大幅進化的德軍,以閃電戰強襲攻擊,數週之內導致法國年鑑學派史學家馬克布洛克 (Marc Bloch) 所謂的「奇怪的戰敗」(L’Étrange Défaite)。他認為,戰敗之後法國人不知道為何亡國,而是法國整體社會在智識面、軍武面和認知面的全面潰散所致,戰敗的原因是從表層到深層,不只是物質層面,更是心理層面的問題。而21世紀的戰爭,許多國家即將進入到「奇怪的戰敗2.0」。因為網路空間 (cyberspace) 和社交網絡,已是無庸置疑的資訊戰戰場,這在遙遠的烏克蘭、法國和我們所關心的台灣都成立。然而,促使網路空間轉化為資訊戰場,卻有尚待各界探討的諸多關鍵因素。

台灣在2018的「九合一之公投綁大選」在網路空間之不實訊息、假新聞等疑似大量多層次系統性資訊戰作為流串,也在台灣的民主防衛上造成了無法抹滅的深遠影響。問題是,到底發生了甚麼事呢?除了獵巫、抓戰犯、決策錯誤等傳統因素之外,我們是否注意到更幽微的強大的戰場,是我們不曾注意的,如社交網絡是如何被武器化 (weaponize) 的?市場動力 (market dynamics) 在這裡扮演了什麼角色?我們無心的瀏覽、分享、留言和按讚等網路行為,又如何被精準打造,成為資訊戰場上的方陣快砲?跨國大型平台的特性,加上中國網路產業的龐大內需市場和經驗,如何影響讓訊息穿透台灣的網路空間?

什麼樣的族群在大選之後會感受到奇怪的戰敗?這當然不用我多說,但還有另外不同的族群,強烈感受的觸發點或許是奇怪的「戰勝」。所以我看這現象時,腦袋裡一開始想的,並不是如何要為幾個特定族群在未來「反擊」或是「求勝」。我心裡的疑問是。

到底在過去幾個月內,台灣的網路空間發生了什麼事,而造成某種普遍失真,失望,或是失信的集體意識狀態?

這個盤繞在心頭揮之不去的「疑問」,或許有點像是2006年美國和英國政府,在發掘透過日益普遍的網路所進行之新型態資訊攻擊時,要開始重新打破自我對新型態攻擊過去認知的挑戰。其中一位赫赫有名者,即是美國空軍上校 Greg Rattray,也就是「高級持續威脅 APT (Advanced Persistent Threat)」一詞的發明人。我們用 Wikipedia 上面的這段描述來和大家說明什麼是 “APT”

高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。

APT發起方,如政府,通常具備持久而有效地針對特定主體的能力及意圖。此術語一般指網絡威脅,尤其是指使用眾多情報收集技術來獲取敏感信息的網絡間諜活動,但也適用於傳統的間諜活動之類的威脅。其他攻擊面包括受感染的媒介、入侵供應鏈、社會工程學。個人,如個人黑客,通常不被稱作APT,因為即使個人有意攻擊特定目標,他們也通常不具備高級和長期這兩個條件。

到這裡為止,可能有些朋友會有新的疑問。我們談的是假消息 (disinformation),這和假新聞、大眾媒體、社交媒體、媒體識讀有關。怎麼會扯到什麼電腦駭客和電腦侵入?我的電腦好好的啊?我也沒有遇到駭客啊?

這些朋友問的沒錯,事實上,這也是我過去一個月以來見到n個人談到假消息的直接反應。如果各位有興趣,我們試著回想,圍繞在「假新聞」的媒體報導、輿論和各種因應作法,在2018年整年,尤其是在1124日之前,是不是有絕大比例,都是將假消息當成是「新聞媒體惡意求快」和「閱聽眾個人素養不足」等兩大方向來設想?

我們在這邊試著描述在台灣絕大多數的大眾媒體,在談假新聞現象時,心裡面普遍揣摩的「流程」:

  • 有「敵對勢力」在監測台灣社會議題
  • 有「網軍」針對特定議題,進行媒體宣傳和操作
  • 有「網軍」在特定社交網絡平台上操作
  • 有人系統化在製造假消息和內容
  • 有人利用不同的人頭帳號,傳播假消息
  • 有人相信假消息
  • 有人轉傳假消息
  • 更多人看到假消息
  • 不同議題重複上演,讓社會大眾對議題的認識,淪落到「失真」「失信」,而影響了大選的結果

這個流程當然不是很精確,流程也不一定是從第一步走到最後一步。不過為了利於討論,我們先就此簡單定調。那麼,在這個流程下,有什麼我們應進一步探討,例如那些不容易察覺的「預設認知」呢?

我的揣摩是:

  • 「網軍」來自境外
  • 「網軍」具有正規編制
  • 「網軍」屬於軍隊系統
  • 製造假消息的人具有惡意
  • 傳遞假消息的人是受騙上當
  • 「轉傳」這個動作,是假消息快速在社交媒體得以傳播的助力
  • 在行為方 (actors) 部分,有:發動者(網軍)、傳播平台(社交媒體)、閱聽眾(朋友網絡)、受害者(大眾)等角色

這個「預設的認知」不一定是「事實」,但能越詳細描述是越好。這點我們後面會回到這個問題再談。

聰明的讀者可能會發現,這邊所用的詞彙,即使我們嘗試先從「偏愛」傳播媒體的銓釋角度,而不是「網路資訊安全」的「威脅角度」,或是「資訊戰」的「滲透」角度來談,也會不自覺得用到了「網軍」這樣偏向軍事衝突的詞彙。當然,絕大多數所謂的「閱聽眾」不會管這麼多,但對於瀰漫「戰敗」「敗選」感受的利益攸關者而言,在「我們趕快來做什麼事情」的情緒催促之下,是否能精確的描述整個假新聞操作流程和背後的預設認知,就成為了決定各種「因應措施」是否「有效」的關鍵因素。

如果,我們以羅秉成所帶領的小組所提出的「防制假訊息危害」專案報告來看,那個預設認知大概會是如此:

  • 假訊息來自於有組織,有系統的攻擊方(暫時不揭露)
  • 「受害方」是民主與法治,以及保有這樣價值的社會(例如:台灣)
  • 受害方在「境內」

因此,以台灣政府角度而言,解決的途徑之一是:

  • 「法律問責的必要性」是「反制」的主要措施
  • 假訊息的屬性 (attributions) 是:意圖惡(動機面)、損害危(損害面)、虛假構(特質面)
  • 反制策略有兩個維度,一個是自律和他律,另外一個是識假和破假(屬於自律)、抑假和懲假(屬於他律)

羅秉成的這份專案報告,並不是針對「攻擊情境」做描述,而是直接從「防制」的角度下手,所以和前面所談到的,在大眾輿論上能察覺的預設認知,當然是有所差異的。原因很簡單,因為羅秉成代表的不是單純的第三人,是政府。這層出不窮的假消息事件看似在「境內」屢次發生,政府當然要想辦法「保衛」自以為豪的「民主與法治」的價值(或標籤)。羅不是代表軍事系統,所以不會在這個場合和小組談「攻擊構面」,只會談「防衛構面」,也被賦予在各種途徑選擇的模擬之中,先挑選了法律途徑來發展。

聰明的讀者可能暗自竊笑:「這我都知道,但這和 APT 攻擊還是沒有關係啊?還要你說嘛?」

APT 還是有關係的,請先別急,我們繼續看下去。

我們剛才不是提到2005年美國空軍上校發明了 “APT” 一詞之後,資安界開始驚醒,原來過去遭受到的這種新型態,有組織,系統性的潛伏攻擊, 所造成的「威脅」是如此的不單純啊!那麼,在網路時代的資訊安全領域,到底是如何了解「奇怪的戰敗」呢?是「誰」要去了解呢?

這兩個問題很有趣,我們回到上一段所談的假消息。試問兩個問題,或許別急著回答,先放在心裡:

  • 我們是如何了解假消息的?
  • 是誰去了解的?

在網路資訊安全領域,簡單來說,負責分析的角色就是「分析師」。分析師很多種,但就像是工程師、醫師、律師等「師」字輩的角色一樣,專業度不低,訓練期也非常之長。高階分析師和剛入行的,在分析 APT 型態威脅攻擊性態,洞察攻擊方意圖和分析所得情資的水平,兩者是天差地遠的。APT 之所以被稱之為「高級持續威脅」不是沒有道理的,由於潛伏期不定,攻擊型態和步驟不一,造成的威脅和實際損傷規模之估算方式,各個團隊之間的認知也是南轅北轍。也因此很多分析師在分析時非常頭痛。由些攻擊潛伏的週期達到五年以上,連分析師在不在同一個崗位都不知道了,更何況是追蹤和監測威脅?分析師到底遇到了什麼問題呢?

希望有系統性,可重複使用的途徑(方法),進而:

  1. 針對具有組織型態威脅的情報,分門別類
  2. 在威脅不斷演化時,能持續監測
  3. 將一次和另外一次威脅分開檢視
  4. 找出因應、反擊和反制之道

聽起來很簡單嗎?一點都不。或許網路資訊安全比較難理解,但我們以大家耳熟能詳的社會議題來看,一個「社會議題在網路上發酵,被假新聞操作到扭曲事實」這樣的表述,到底說了什麼?對於想初步分析的人而言,至少會問更多類似以下的問題:

  • 社會議題是什麼意思?
  • 這些議題牽涉到什麼專業領域?
  • 對於某一個社會議題進行假訊息製造的團體是誰?
  • 製造假訊息的成本是?
  • 製造假訊息的意圖是什麼?
  • 這些訊息我們如何得知是假訊息?
  • 這些訊息是如何被識別為假訊息?
  • 假訊息的傳遞途徑是?
  • 透過哪些平台開始傳播?
  • 透過平台上的什麼機制傳播?
  • 在什麼時間點在特定平台上,訊息的傳播路徑被放大?
  • 用什麼方式放大「聲量」?
  • 訊息在24小時內有多少人接收到?
  • 接收到假訊息的人,受了什麼傷害?
  • 如果收到假訊息的受眾可以稱之為受害者,那麼受害者的面貌是?
  • 這個議題所帶出來的假消息和下個議題即將被帶出來的假消息,兩者之間的操作有關係嗎?

我們先在這裡停住,不再問下去。這並不是說因為我們不想認真看待,而是我們即使想要解決一個因為社會議題A所捲起的假消息攻擊(或威脅)活動,至少要先對現況有基本的瞭解。「社會議題透過假新聞在社群媒體上發酵」或是「網軍因為幾個帳號的操作把聲量放大」等類似描述,對於理解實際的「現況」,不只是無濟於事,而且還會持續的阻礙對於「戰況」的了解。

再想想,我們問十個不一樣的人,十個問出來問題的順序都會不一樣。以假消息來說,姑且稱這十個人都是具有「分析」意願的個人,但因為拋出的問題都不盡相同,這十個人背景也相當分歧,再加上在假消息似乎也還沒有「分析師」這樣明顯的角色或職能的誕生,所以要回答這些問題,每一個解答都是困難的。十個人就算同一個時間全部湊在一起,並不會讓這些問題被解決得更快。更多時候,每個人的推敲和解答,只能說是見解,絕大比例都是源自於個人使用社交媒體的經驗,也就是每一個個人所看到的,所感知道的,預設的認知,都是碎片化後的資訊。

這個窘境,在過去一兩個月各大小座談會上,我們都體驗到了不少。這可能和15年前網路資訊安全領域有高度的相似,只是顯然更為複雜,連怎麼談都不知道怎麼談。談完了也什麼事都不會發生。傳播學界談自己的,法學界也談自己的,政治系統談政治,國安系統躲躲藏藏,也不知道他們到底知道什麼事。事實查核類的工具服務受到高度關注,行政院,國會系統則分別有不同的聲音,而傳統電視媒體的談話節目,當然就扯得更遠了。每個人都是受害者,所以每個人都成了分析師。但問題還是如此分歧,到底要怎麼樣才能讓我們把過去和現在看得更清楚?

我舉幾個實際的例子:

  • 某君A:這個國安系統有人在看,法律有政委在處理,社交媒體平台也都有溝通,這樣應該夠了吧。不然你覺得應該怎麼做比較好?
  • 某君B:歐盟有很好的案例,你看那個網站,上面有超多資訊,我花了很久的時間研究,我們也開過很多次會。網站上面都是權威單位,這樣應該很夠了吧。
  • 某君C:我們不涉入真實的查核,我們只是提供一個參與的機制,這個機制很重要,人人都可以參加,至於事實,不是我們所強調的。
  • 某君D:我們要的就是要聲量極大化。
  • 某君E:我們參考國外具代表性的事實查核機制,並輔以我國的傳播生態需求,依循專業、透明、公正的原則,執行公共事務相關訊息之事實查核。期能抑制不實資訊的負面影響,提升公眾的資訊素養,裨益台灣的民主發展。
  • 某君F:我們就學學網路行銷公司是如何操作內容行銷的,以其人之道,快速反制!

這樣問題林林總總,問一百個人會有一百種針對要如何解決的見解,只是,我還是存在一個巨大的疑問:

假消息的威脅行為和活動,到底如何更細緻的分類,如何持續監測(或預警),將不同的威脅事件,快速分開、分解、分析,進而持續累積經驗,發展出短、中、長期的因應之道?

如果「受害者」如此之眾,甚至其嚴重性已經到了威脅「國家安全」層級,那麼我們總能在自己的主客觀環境條件的允許之下,做點什麼事吧?我相信這個問題其實是很多人心裡想問的第一個問題。可是,連哪裡受傷了都不知道,怎麼傷到的也不清楚,而且到底誰是受害者?是「長輩」才是受害者嗎?我不看新聞就不會直接受害,不是嗎?有些人明明在選舉就是受益方啊?某些候選人是哪裡受害了?

好消息是,網路資訊安全領域畢竟發展了數十年,近年來由於網路普及,讓此領域,累積了不少或許在假消息肆虐的時代,也能派上用場專業經驗,例如:

  • 威脅獵捕 (threat hunting)
  • 事件跡象 (indicators)
  • 狙殺鍊 (kill chain)
  • 情報分享標準化框架等模型

當然我這邊的意思不是説,只有網路資訊安全的專業,才能在面對 disinformation 發揮效果。各種專業都是需要的,但要知道還有其他專業的具體存在,是在解決整個台灣社會所面臨的威脅所不能或缺的。若有人認為「撿到槍就可以開始戰」的因應方式,是可以大量鼓勵的,那麼法軍在二戰初期莫名其妙被德軍閃擊滅了的歷史教訓,顯然我們還學得不夠。

重新回到上面過去 APT 領域所累積的寶貴經驗,讓我們再次真切回憶,不少分析師在2013年,希望有一種系統性,可重複使用的途徑(方法),這可以讓他們:

  1. 針對具有組織型態威脅的情報,分門別類
  2. 在威脅不斷演化時,能持續監測
  3. 將一次和另外一次威脅分開檢視
  4. 找出因應、反擊和反制之道

2011年和2013年,分別有兩種分析模型被提出,以解決分析師所遭遇的各種問題。一個是源自於 Lockheed Martin 的網路狙殺鏈 (Cyber Kill Chain),另外一個是入侵分析的鑽石模型 (Diamond Model of Intrusion Analysis)。我們下次找時間,再來一起了解這些原本不是被套用在 “combating disinformation” 情境之下所發展出來的模型,探討是否有派上場讓我們更了解歷史和現況的機會。

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.