最近看了一篇很驚心動魄的文章： How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History 。整篇幾乎像是科幻間諜小說，卻是最近才剛發生的真實事件。文章很長，記錄的事件是伊朗精煉核燃料的工廠遭到電腦病毒破壞，這個電腦病毒被發現與追蹤的經過。

對這種主題沒有特殊嗜好的一般讀者可能沒有耐心看完，就算看完大概也感覺不出這件事驚人之處在哪裡。以Dan Brown式驚悚小說的標準來看，這篇報導欠缺了太多細節，只圍繞著Stuxnet這個病毒打轉，訪問到的相關人等也全是電腦安全專家描述追蹤解讀病毒的過程。除了病毒的分析之外，文章最後也談不上有什麼結論。

看起來Stuxnet的製作計畫非常驚人。除了計畫管理的專家之外，至少還需要幾組極端專業的人：

一．電腦保安與病毒專家：Stuxnet用了好幾個第一次被發現的Windows系統漏洞做為傳染途徑，這不是一般copycat駭客能做得到的。病毒載具上的偽裝，防追蹤與程式加密，也需要很專業的IT Security與防病毒的知識。

二．工業控制軟體專家：病毒的酬載部分主要目的是控制西門子的機械裝置引發故障，能寫這類低階driver的是特別的程式師，一般程式師沒有辦法。這組人裏頭還需要有人懂得核燃料廠管理與燃料精煉的專業知識，才有辦法寫出具有破壞力而又不容易被發現的控制程式。

三．間諜：偷到台灣電腦周邊設備製造廠的driver軟體digital certificate（這部分文章裏頭說沒得到求證是有人實際潛入廠房偷盜，還是駭客駭進這兩家廠的電腦網路取得的，但我猜實際偷盜或是賄賂內賊可能比較容易，成本也比較低），偷到伊朗核燃料廠操作控制的資料，以及施放病毒。

但是最困難的地方在於這投注了巨大人力物力的軟體計畫只有一次機會，如果軟體有任何bug或是偽裝與病毒傳播的設計有任何缺陷，這整個計畫就算報廢了。不像Microsoft能隨時的不停的出patch出service pack，這病毒一旦被發現以後，就再也達不到任何破壞效果。

因為看過太多千萬上億美元的軟體計畫草率執行與失敗的過程，我對Stuxnet計畫相當佩服。我相信這不是業餘人士一時興起的愛國者遊戲，因為需要的資源過於龐大，所需人才也過於頂尖與專門，只有國家等級的玩家才玩得起這種遊戲。我也非常佩服Symantec的那三個工程師，以這麼有限的資源而能揭發出這麼大的事件。

如果每個故事都要找到一些能稱為教訓的東西，我能想到幾點：

一．任何國防工業或國家安全相關的電腦系統不該用Windows作業系統：先不說Windows先天安全上的漏洞，我就不相信NSA之類的美國政府機構沒有要求Microsoft在他們的作業系統裏頭故意放進一些後門或是漏洞。同時我也相信128 bit encryption已經能被幾乎real time破解。以我的偏執觀點，我根本就不會相信任何一個我拿不到原始程式碼的軟體。

二．愈是方便好用的功能就愈有安全問題：Stuxnet的傳播途徑就是利用usb drive的autoplay功能，一如Microsoft諸多貼心的設計。

三．真實故事比小說精彩：我前幾年看了Dan Brown的Digital Fortress之後簡直要吐血，本來想寫一篇格文去一一指出他的謬誤，後來覺得我應該還沒無聊到那種程度。