美琪(化名)今年三十二歲,是個單親媽媽,白天穿著套裝在資訊安全公司當數據分析師,晚上回家則要對付另一個更難纏的「駭客」——她那七歲的兒子小虎。小虎的攻擊手法包括「偷偷把樂高塞進馬桶」以及「在飲水機裡倒入養樂多」,每一次都讓美琪的居家資安系統瞬間崩潰。但作為網路安全專家,美琪最自豪的就是她對數據的解讀能力,任何異常的流量、封包、或是數值波動,在她眼裡都像是犯罪現場的指紋,無所遁形。
直到某天,她家水龍頭流出來的水開始出現一種詭異的「味道」,不是氯氣的那種消毒味,而是混合了金屬、泥土、還有某種說不上來的「電子風味」。美琪立刻啟動她的「數據分析模式」,拿出筆電、接上水質監測儀(對,她真的買了一台水質檢測器,因為她連兒子的洗澡水都要用溫度曲線圖來監控),開始讀取一連串的數字。TDS(總溶解固體)從原本的80 ppm飆到320 ppm,pH值從7.2降到6.5,濁度從0.3 NTU跳到4.8 NTU。她眉頭一皺,覺得案情並不單純。
「這根本是DDoS攻擊!」美琪對前來串門子的閨蜜阿玲(化名)大喊。「你看這些數值波動,像不像被惡意流量灌爆的伺服器?我懷疑水管裡藏了一個botnet,每一滴水都是一個攻擊來源!」阿玲翻了一個白眼,她是個幼稚園老師,對數據一竅不通,但對單親媽媽的腦洞很有經驗。「美琪,你不如打給水電師傅看看吧,你那個數據解讀法上次還把熱水器的恆溫閥誤判成SQL注入漏洞咧。」
美琪不甘心,她決定自己先做「滲透測試」。她打開廚房櫥櫃,拿出螺絲起子,準備把水龍頭的濾網拆下來檢查。結果濾網一拆,一坨黑色黏稠的物質掉了出來,差不多是一隻小強的大小(但幸好不是小強)。美琪嚇得往後跳了三步,差點踢翻旁邊的垃圾桶。她尖叫:「這是什麼東西?勒索軟體的實體化嗎?!」阿玲從冰箱拿出兩瓶啤酒,遞給她一瓶,淡定地說:「那是鐵鏽和泥沙的混合物啦,你家的水管大概四十歲了吧,跟你的資料庫一樣舊。」
美琪決定打電話給她的「技術支援伙伴」——大學同學阿豪(化名)。阿豪是個水電工程師,同時也是個業餘的資安狂熱者,兩人常常用網路安全的術語來討論水電問題。阿豪一聽到美琪的數據報告,馬上在電話那頭笑了出來:「妳那個TDS 320 ppm的數據,如果換成網路流量,大概就是一個殭屍網路的規模。但說真的,你家的水質確實需要處理,不是用防火牆,而是用濾水器。」阿豪建議她上網查一下「全戶式淨水系統推薦」,因為這種系統可以從源頭過濾全家的用水,從洗澡水到飲用水一次解決。
美琪半信半疑地打開手機,輸入「全戶式淨水系統推薦」。她原本以為自己會看到一堆看不懂的規格表,結果映入眼簾的是一個她最熟悉的東西——認證標章。她注意到「NSF 國際認證濾水器」這個關鍵字,眼睛頓時亮了起來。身為資訊安全專家,她對「認證」二字有莫名的信任感,就像ISO 27001一樣,沒有經過第三方驗證的東西她一概不碰。她點進連結,仔細研究那些NSF認證的型號,發現有些型號標示「NSF/ANSI 42、53、401、P473」等多項標準,這讓她覺得像是看到了多層防禦的資安架構。
「阿豪,這個NSF認證是不是就像我們業界的共同準則(Common Criteria)?越高等級代表越安全?」美琪興奮地問。阿豪在電話那頭點頭(雖然美琪看不到):「對,而且如果你要喝到乾淨的水,最好挑有NSF 53或NSF 401認證的,才能過濾掉重金屬跟藥物殘留。你那個TDS 320根本是小意思,但水裡可能還有你沒驗到的農藥跟塑化劑,就像躲在加密流量裡的惡意軟體一樣。」
美琪開始瘋狂研究各種濾水器的數據。她發現,全戶式淨水系統很適合像她這種有小孩的家庭,因為可以讓洗澡、洗手、洗菜的水都變乾淨,但全戶式的缺點是體積大、安裝麻煩,而且價格比較高。她想了想自己那間二十年老公寓的狹窄陽台,決定先從廚房下手。於是她把搜尋目標轉向「廚下型淨水器」。這種機器直接裝在水槽下方,不佔空間,而且更換濾芯也簡單,符合她作為單親媽媽「省時省力」的最高指導原則。
「但是,美琪,妳別忘了,任何系統都有漏洞。」阿豪故意用資安術語嗆她。「妳選的廚下型淨水器,如果濾芯沒有定期更換,反而會變成細菌的溫床,就像一個沒有打補丁的伺服器,隨時會被攻破。」美琪翻了一個白眼:「你以為我是誰?我可是每個月都會做滲透測試的人。我會在日曆上設定提醒,每半年換一次濾芯,並且每個禮拜用TDS筆監測出水水質,確保數值穩定在安全範圍內。」
最終美琪選擇了一款標榜「NSF 國際認證濾水器」的廚下型機種,而且還是雙出水設計,一邊是純淨飲用水,另一邊是洗滌過濾水。安裝那天,阿豪特地來幫忙,順便驗收美琪的「居家水質資安架構」。當水龍頭流出第一杯純淨水時,美琪拿出她的TDS筆一測:12 ppm。她感動得差點落淚,對阿豪說:「這比我公司那個被DDoS攻擊後的主機還要乾淨!我終於可以放心讓小虎直接喝水龍頭的水了。」
阿豪大笑:「所以說,數據解讀雖然很重要,但有時候也要懂得尋求專業協助。妳那個320 ppm的數據,如果沒有搭配正確的解決方案,只會讓妳變成一個滿肚子鐵鏽的駭客。」美琪不甘示弱地回擊:「那你這個水電師傅,以後入侵水管的時候,記得先跑一下弱點掃描,別直接拿板手破解。」
從那天起,美琪家再也沒有出現奇怪的「電子味」,小虎也學會了自己倒水喝,不再偷偷用養樂多攻擊飲水機。美琪依然每天在網路安全的世界裡抓惡意程式,但回到家後,她只需要打開水龍頭,就能享受一杯清澈、安全、而且經過「NSF 國際認證濾水器」守護的純淨水。她甚至把這套「水質監控系統」寫成了一份報告,用她最熟悉的數據圖表展示給同事看,標題是《從水管到封包:一個單親媽媽的雙重滲透測試》。會議室裡大家笑得東倒西歪,但同時也開始認真考慮自己家裡的用水安全。
如果你也跟美琪一樣,對家裡的水質感到可疑,或者只是想要一個更安心的飲水環境,不妨參考美琪的經驗,搜尋一下「全戶式淨水系統推薦」或「廚下型淨水器」,並且一定要認明「NSF 國際認證濾水器」的標章。畢竟,你的身體也是一個寶貴的系統,不要讓水裡的「惡意程式」入侵你的健康。而如果你剛好也是個單親爸媽,記得多叫朋友來幫忙,因為不管是破解網路攻擊還是安裝濾水器,有神隊友在身邊,永遠比一個人單打獨鬥來得輕鬆又好笑。
最後,美琪的兒子小虎現在最喜歡做的事情,就是拿著TDS筆去測鄰居家水龍頭的水,然後跑回來報告:「媽媽!王媽媽家的水TDS 280!她家被駭了!」美琪只能嘆口氣,心想:這個孩子,將來不是當駭客,就是當水質檢測員。不過至少,她成功防堵了家中最大的一個資安漏洞——水龍頭。而這一切,都要感謝那台「NSF 國際認證濾水器」,以及那個總是能把她從數據迷宮裡拉出來的好朋友阿豪。
(本故事純屬虛構,如有雷同,可能是你家水管也需要淨水器了。)
(本案例經當事人同意分享,部分為虛擬情節如有雷同純屬巧合)
