向Barnaby Jack致敬

2016年7月，台灣第一銀行ATM被盜領8,327萬元台幣，震驚兩岸三地，有媒體甚至以「史無前例」來形容。但其實用「史無前例」一詞形容並不恰當，因為已故白帽駭客Barnaby Jack，早就提醒過大家壞蛋會有此一著。

黑帽駭客不顧法律後果的犯罪行為，灰帽駭客則遊走在法律邊界，但白帽駭客卻是說真相的人，他們會向人們展示他們研究出來的最新攻擊手法，目的是令大家有所警覺，從而改善資訊系統的安全。Barnaby Jack在駭客圈子內非常著名，生前經常發現不同公司產品的安全漏洞，但他從來沒有以此換取經濟利益，他只希望說服這些公司，從而改進產品的安全性。

Jack的成名作，必定要數到駭入ATM的超高技術。他在2010年的IT安全會議Black Hat Conference上，即場示範如何令兩台不同系統的ATM不斷吐出20美元鈔票，令台下的人目瞪口呆。可惜他的警告沒有被銀行和ATM廠家所重視，廠家沒有嘗試改善ATM設計，只是不斷阻撓他公開相關資訊。他表示早在2009年時就已經發現這個漏洞，但他想向大眾展示這項技術時，卻被ATM廠家阻止。他對ATM充滿熱情，家裡甚至放了兩台正常運作的ATM，一切始於童年時看過的一套電影。「我很喜歡Terminator 2裡的一個場景，John Connor走向一台ATM，把Atari接上讀卡機，然後從ATM裡領走現金。」

2011年，一篇關於Jack發現心臟除顫器(ICD)的論文，引起了他的注意。文中展示了如何迴避ICD的安全機制，向心臟發出137伏特的電壓。2012年底在美劇Homeland第2季第10集「Broken Hearts」中，更加出現類劇情。劇中恐佈分子取得了美國副總統的心臟起搏器序號，然後透過網路加大電壓。Jack看過這集後表示，要作出這種攻擊，根本不需要序號。任何一位對ICD有研究的人，只要一台筆記型電腦，都可令ICD發出800伏特的電壓致人於死地，令他有了公開這個漏洞的打算。

隨後他證實其他醫療設備也有相似的漏洞，更成功在90米外駭進一台胰島素幫浦(Insulin Pump)裝置，模擬向患者注射致死劑量的賀爾蒙。他原定於2013年7月31日的Black Hat Conference上，提出關於心臟起搏器和心臟除顫器的安全性議題。但就在大會召開前一星期的2013年7月25日，他在美國三藩市的一間公寓中離奇死亡，享年35歲，Black Hat Conference最後決定留空他原定的演講時間，以表哀悼。

用離奇死亡來形容他的死絕不為過，除了因為時間上太過巧合之外，致死原因也引起多方的猜測。在2014年公佈的驗屍報告中，他是因注射過量海洛因、古柯鹼、以及其他抗焦慮藥和抗過敏藥致死的。Jack的女友表示，他生前的確有服用這些藥物的歷史。但事發早上與他通電話商討晚飯地點時，卻沒發現任何異樣。一代天才的死將成為懸案，但他揭發真相的勇氣，將永遠留在人們的心中。

主筆
麥經倫