你的个人邮箱是你在网上做的所有事情的门户。如果邮箱被黑了,你所有的账户都会随之崩溃。

——马特·塔伊特,Ex-GCHQ信息安全专家

黑客攻击事件改变历史进程的例子十分罕见,而约翰·波德斯塔的邮件门就是其中的一例。

自从人类意识到跨时区的沟通的重要性之后,邮件就一直是异时区间网络沟通的命脉。但邮件有一系列的缺陷:缺少加密性,很难验证发件人身份,发件过程中存在被窃看的风险,也很难确认收件人是否收到和读过邮件。而其他的聊天系统能弥补这些缺陷,它们能提供加密验证功能,能显示消息发送状态以及收件人的阅读情况。尽管如此,电子邮件依然存活了下来。

如果你参加美国总统竞选,那你必定需要用到邮件。竞选是一项十分繁重的工作。竞选人在美国各个地方都需要建立自己的团队,并且各州、地区的情况也各有不同,需要专门成立相应的小组,同时还需要向媒体提供全方位的信息。早期阶段,竞选的斗争并不存在于不同的党派之间,而是主要针对同一党派的其他对手,所以竞选人需要巧妙调整信息和演讲内容来吸引选民的注意,重点不是那些在党派之间摇摆不定的选民。因此,协调好说辞十分重要。保密工作也十分重要,一旦竞争对手知道了你的计划,他们会提前准备好回应的方式,甚至直接在你宣布计划时击溃你。为了赢得这份象征着权力的工作,竞选人不惜投入数百万美元,这不是业余人士能参与的生意。

2015年1月,希拉里·克林顿雇用了刚满66岁的约翰·波德斯塔担任竞选总干事和参谋长,随后,她正式宣布参与竞选。他们彼此很熟悉,波德斯塔曾在1998年10月至2001年1月担任比尔·克林顿总统的白宫办公厅主任,处理大小事务,包括总统弹劾案的危机。之后,波德斯塔也曾服务于奥巴马总统,他同时还是乔治敦大学法学院的客座教授。总之,他经历了很多事情。

2015年4月,希拉里·克林顿通过YouTube宣布再次向民主党总统候选人发起挑战。经过一场惨烈的冬季竞选后,2016年2月1日在爱荷华州举行的第一次民主党初选上,希拉里陷入了和74岁的伯尼·桑德斯的拉锯战。

6周后的3月15日,希拉里在密苏里州、俄亥俄州、北卡罗来纳州、佛罗里达州和伊利诺伊州的民主党初选中获胜,但仅占微弱的优势。尤其值得注意的是,在密苏里州,票数差仅为0.2%。

而在3月22日,理论上说希拉里足够赢得提名了,但桑德斯在亚利桑那州、爱达荷州和犹他州的初选结果中仍占据优势。希拉里的压力空前剧增,这场竞选的结果扑朔迷离。

如果将数百人组成的竞选团队比作一家中型企业,希拉里就好比首席执行官,而波德斯塔则是负责各项事务顺利运行的首席运营官。以核心小组为中心,整个团队分为不同的地区小组和主题小组,进而形成复杂的互相关联的任务网络,最后朝着同一个目标努力—让希拉里当选美国总统。波德斯塔指导各项行动,包括要访问哪些州、促进哪些政策、淡化哪些举措,并收集从初期到后期的所有潜在对手的信息,进行对手研究。

选举团队内部存在着一定程度的代沟。高层人士见证了互联网的成长。互联网从一个学术怪胎成长为如今的奇迹,并在竞选和组织活动中扮演着愈加重要的角色。而底层人士大多生活在以互联网为大背景的智能手机时代。他们更习惯用脸书和Snapchat,邮件不是他们的强项。但是,竞选的构思与筹备都来自高层人士,来自那些参与且组织过竞选的人。

大家都知道安全的重要性。因此,2016年3月19日,星期六,波德斯塔的邮箱里弹出的邮件引起了人们的担忧。发件人显示是谷歌的官方发件人,地址是no-reply@accounts.googlemail.com,邮件主题写着“有人掌握了你的密码”。

内容更是引人担忧,“嗨,约翰,刚才有人试图用你的密码进入你的谷歌账户john.podesta@gmail.com”。邮件详细说明了请求访问的账户来自乌克兰,IP地址和乌克兰移动运营商的IP地址相匹配。“谷歌刚刚阻止了登录请求,请立即更换您的密码”,邮件提供了一个更换密码的链接。

一开始,希拉里的竞选团队面临的最大问题,就是媒体持续报道的“邮件门”事件。2008年的总统竞选期间,希拉里在纽约的家里安装了私人电子邮件服务器。2009年,她被任命为国务卿,在那之后,她一直使用自己私人的服务器访问邮件,其中包括国务院的邮件。2013年,她的服务器迁到了新泽西的数据中心。2015年8月,希拉里一直使用私人系统处理官方和非官方事务一事昭告天下,FBI随即展开了调查。直到2016年春季的初选活动,这一调查行动仍在继续,前安全主管暗示一定是黑客导致了秘密的泄露。他们没有证据,但这一切过于明显。希拉里对此不以为意,声称自己没有在系统中存储任何敏感信息,也没有证据表明她有违规行为,但这依然给竞选带来了负面影响。直到FBI的调查结束前,报纸标题大多将“希拉里”和“邮件”连在了一起。

考虑到接下来的大选竞争形势势必空前激烈,竞选团队对任何与安全有关的字眼都格外敏感。竞争对手也一再提及这一点作为攻击,而希拉里的竞选团队真的不想要任何与邮件、黑客有关的宣传。

邮件弹出来的时候,波德斯塔正在睡觉。那时是旧金山的凌晨2点34分,下午他将去里根机场飞回华盛顿。

然而此时的东海岸,布鲁克林的希拉里团队总部早已热闹了起来。至少有3个人能进入波德斯塔的个人收件箱,其中包括他的办公室主任莎拉·莱瑟姆。出于担心,她将这封邮件发给了竞选团队的核心小组请求建议。若邮箱遭到侵入,后果将无法想象。又或者,这只是一封钓鱼邮件,有人试图用认证邮箱的方式骗取登录信息?

网络钓鱼有着漫长且并不光彩的历史。1995年9月,美国在线服务公司是当时美国最大的互联网服务提供商。首席执行官史蒂夫·凯斯曾自豪地宣布,公司目前拥有350万会员。但是凯斯也宣布了一些令人担忧的事情——用户需要定期更换密码,因为有黑客试图或者已经成功窃取了用户的登录信息。“有人会冒充美国在线的员工或者代表,随机向会员询问密码。”他解释道,“在任何情况下,美国在线都不会索要用户的密码。”

同时,这些黑客能精准筛选出那些刚接触互联网、还没从网络陷阱中获取教训的用户,从他们那儿捕捉用户信息。黑客对整个过程操作得十分娴熟。这些黑客会通过美国在线的即时通信软件或者邮件,假扮美国在线的员工,以一些模糊的系统层面的原因,要求用户确认他们的信息。通常是用户名跟密码,并额外要求他们提供姓名、住址、信用卡账号、银行账户和到期时间。

这种行为就叫“钓鱼”。网络钓鱼在严格意义上并不算黑客行为,因为黑客并没有篡改计算机,他们篡改的是用户对于计算机的期待。我们在潜意识中信任计算机,认为它一定会屏蔽掉虚假的信息,它也一定会辨别出伪造的邮件和网址,拒绝虚假的邮件或者网址进入电脑。但是,计算机其实只能执行设定好的任务,如果它收到一条欺骗用户的信息,它一定会尽职地将其呈现给用户。

美国在线竭力打击网络钓鱼行为,其重点就在于教会用户辨别真伪,不要上了假消息的当。对于任一优秀的Web前端开发工程师来说,复制任何登录页面的HTML都是很容易的,但是这样的操作需要使用入口域连接自己的采样点才能做到。SSL证书的使用确保了网站的安全性,并且浏览器也可以用SSL证书辨认出一个虚假的网站,但大多数人不知道应该注意哪些迹象。

网络钓鱼并没有消失。据加拿大政府估计,2015年,每天都会有1.56亿封钓鱼邮件发出,其中有1600万封会抵达用户的收件箱,有800万封会被打开。1/10的人,也就是80万人会点击邮件里的链接,这中间1/10的人会在钓鱼网站输入他们的详细信息。虽然成功率很低,但是每天仍会有8万人上钩。2017年,谷歌发布了针对暗网的研究,有人在那里贩卖安全凭证。黑客使用这些凭证能够伪装成Gmail、雅虎或者Hotmail登录,其中最受欢迎的一种安全凭证已经有2599名不同的黑客在使用,仅1年内就用其盗取了140万份用户的登录凭证。

即便如此,和那些因数据泄露而暴露的证书量(19亿份)相比,钓鱼邮件泄露的凭证依旧相形见绌。账户的密码大多可以通过用户名猜得出来,又或者是完全公开的,密码的字符组合都是有限的,用户也倾向于选择一些他们记得住的数字。

即便是加密过的密码也容易受到“字典攻击”,计算机会大量测试现有的单词和字符组合,然后运行加密密码的算法,寻找匹配的密码。高性能GPU的出现也为破解密码带来了福音,它们能够高速执行简单的程序。数以亿计的用户凭证在网上随处可见,并且考虑到用户使用密码的倾向,这些账户都可能遭受严重的数据泄露。这也意味着,一次成功的网络钓鱼可能获取用户多个账户的访问权限。

网络钓鱼有多种形式,包括“鲸钓”(针对企业高层管理人员)、“鱼叉网钓”(针对组织中特定职位的人)。像是假装组织内部的某个人,向目标发出带有恶意网站链接的邮件,或是给会计部门发送标题为“发票”的邮件,然而这些邮件其实都带有恶意软件……这些手段都是常见的攻击方式。

我们倾向于认为那些被钓鱼的人是傻瓜,但当你遭遇钓鱼的时候,才知道这是因为一时放松了防备,或者是服务提供商没能很好地拦截虚假登录。事实上,这都是因为我们的信用用错了地方。有时候,成功的网络钓鱼恰恰是因为其巧妙地攻克了人们的心理防线。2013年,在斯诺登泄密事件后,罗伯特·约翰斯顿开始在海军陆战队工作,他后来领导安全公司CrowdStrike对民主党国民会议的黑客事件进行了调查。他的团队发送了一封题为“海豹突击队成功完成追杀爱德华·斯诺登的行动”的钓鱼邮件。“这一标题惊人地有用,点击率空前上升。”他在采访中说。

现在希拉里竞选团队面临的恼人问题是:这是一场网络钓鱼,还是真的有人登录了波德斯塔的个人邮箱账户?

此刻的东海岸,上午9点29分,莱瑟姆将这封邮件转发给了IT服务台经理查尔斯·德拉文,他是IT团队里的二把手。半个小时内,他回复道:“这是一封合法邮件。约翰需要立刻修改密码,并确保账户的双重身份认证是打开的。”

双重因素认证是提供给只受用户名和密码保护的账号的一个附加安全层。当你试图用新的设备登录,它会给用户单独发送一个信任设备生成的代码。你可以选择输入信任设备或者App生成的一次性密码,或者输入原始密码和服务器发送的有效时间约为30秒的授权代码。通过这些方式,将新设备加入被信任设备的范围中。

一旦设置好,双重因素认证不会干扰你的任何操作,它不会干扰收发邮件,也不会阻拦你登录社交媒体或者其他账户。只要你在设备上做了这些事情,就代表你已经给出了许可。双重因素验证只会在你使用一个新设备的时候出来阻拦。

对你来说,这可能是有些麻烦,但对黑客来说这却是一堵难以逾越的墙。如果他们的设备无法接收一次性代码,想侵入该账户将会变得很困难。唯一的方法只剩下偷走对方的设备,或者想办法拿到验证码。

然而验证码并不容易拿到手。这个30秒验证码系统,也叫作“定时一次性代码”,其被越来越广泛地应用于双重因素认证系统中。用户登录服务器可以通过SMS向自己的手机发送验证码,或者由手机上的App生成验证码。SMS比较不安全,因为黑客可以不用偷走设备,而转为偷走手机号,那么含有验证码的短信就被拦截了。

用户通常通过扫描二维码或者输入字符序列进入App。用户试图登录账户时,App与服务器会同时使用预定的算法,在30秒内生成40位的代码,再将其换算成一个6位数的数字。只要输入验证码,你就能进入账号了。每隔30秒,就会换一个不同的号码。而验证码由登录服务器提供的种子号码生成,种子号码被存储在登录服务器上。不知道种子号码,你就无法预测下一组号码是什么。理论上,只要种子号码在服务器里是安全的,用户的身份就可以被确认了。

大体的流程就是如此。然而问题是,服务器允许设备计算的时间有微妙的误差,并且它不仅会算好现在的代码,而且会留下30秒前的代码,并算好30秒后的代码。这就给黑客预留了90秒的时间。而在这90秒内,伪装一个疑似请求登录代码的Gmail登录网页,再将这些传送给真的Gmail页面就容易得多了。这样的“中间人攻击”(man-in-the-middle attack),使得黑客可以验证用户的系统,获得用户的密码,进而获得任意时间码。

当然,侵入一个受双重因素验证保护的账户并不容易,如果网络钓鱼做得不好,就会引起服务提供商和用户的怀疑。总的来说,双重因素验证减少了账户超过90%的被黑概率。

即便如此,2016年5月对2000名成年人的调查显示,接近70%的邮件用户没有开启双重因素验证。超过半数的人不知道双重因素验证如何运作,41%的人完全不知道双重因素验证。

这意味着黑客只要能够找到未受保护的账户,并发送钓鱼邮件,若用户点击了假的页面、输入了登录信息,黑客就能成功侵入。

波德斯塔的个人Gmail账户就没有使用双重因素验证。

德拉文在给莱瑟姆的回复中打错了字,他想说这是一封非法邮件,而不是合法邮件。他的回复中包括一个重置密码的合法链接,并能打开双重因素验证。但是,被点开的并不是这个合法链接。

链接打开后显示的页面看上去是一个标准的谷歌登录页面,但那只是看上去而已。它是由bit.ly网址缩短服务平台创建的网站,其能将一个长的URL生成一个短的以bit.ly开头的版本,一个255个字符的URL能缩短至13个字符。当你点击bit.ly的URL时,浏览器会向服务器发出请求,服务器将检查数据库条目中的字符串,再定向至原始的URL。推特对每一个URL都使用同样的方法,通过将已识别的恶意URL添加至数据库,即可立即删除垃圾邮件和恶意链接。

乍一看,这似乎是个合法的网站,除了结尾的“tk”有些可疑,域名来自太平洋的托克劳。URL也经过仔细编码,所以那个模仿谷歌登录界面的网站,已经预先填好了波德斯塔的邮件地址和个人资料照片。对那些粗心的人来说,它看上去十分正常,会毫不犹豫地输入密码。

上午10点10分,账户的双重因素验证启动了。但是,太迟了。波德斯塔所有在谷歌线上存储的邮件归档(可追溯至2009年),遭到了一群来自俄罗斯的黑客的访问,这些黑客叫作奇幻熊或者APT28,他们下载了全部邮件。

然而,一些微妙的迹象其实已经表明了发给波德斯塔的邮件是不合法的。主题栏本身就存在问题,“有人掌握了你的密码”(Someone has your password),“某人”和“密码”词里的字母O似乎不是同一种字体。为什么要这么做呢?最好的解释是为了躲开谷歌的垃圾邮件和钓鱼检测系统,否则一封来自非谷歌官方的地址发出的“有人掌握了你的密码”的邮件将会被屏蔽,黑客小组可能在此之前已经做过多次实验了。

一家网络安全公司Secure Works密切关注着黑客在网上的行踪。Bit.ly网站让用户设立账户,并以此监视用户点击的网站的内容。这也让跟踪调查的人了解到有多少人点击了网站、原始的URL是什么以及账户缩短了哪些网站。

近3900人都收到过类似链接,他们都成了垃圾邮件的目标。

Secure Works发布了一份报告,对黑客从2015年10月至2016年5月建立的19000个恶意链接进行了分析,其中第一组链接是2016年3月10日发送的。大多数网络钓鱼都失败了,尽管有些人点击了链接,但并不代表他们输入了密码。就像发给波德斯塔的信息一样,原始的URL经过预先的编码,定位了用户的邮箱,然后假的登录界面上就有了他的个人信息。

第二天,第二轮攻击开始了,此次主要针对希拉里竞选团队的核心圈子。域名为hillaryclinton.com的邮件使用了谷歌的系统,并开启了双重因素验证,如果他人掌握了密码,用户能收到警告。一些钓鱼邮件试图伪装成内部成员,让他们发送验证码,因此希拉里竞选团队也意识到了这次黑客行动瞄准的是他们。

从3月持续到5月,网络钓鱼行动主要针对的是希拉里的竞选团队和民主党国家委员会,尽管后者已经被黑过了。分析人士也认为,一共有两组人在活动,他们目标相同、分开作业。Secure Works还注意到,黑客广泛撒网,目标不仅限于在布鲁克林的民主党团队。Secure Works于2016年6月发布的一份分析报告表示,从3月到5月,黑客创建了213个链接,瞄准了108个后缀为hillaryclinton.com的邮件。无论是负责差旅的初级工作人员,还是财务经理,都成了黑客的目标。但竞选团队的安全意识也相当强,只有20个人打开了链接,而且这并不代表他们都输入了验证码。有人点击了很多次链接,这意味着怀疑要多于轻信。在对竞选团队成员的采访中了解到,大多数人态度都很坚定,并且也意识到了这是在钓鱼,不会轻易上当。

黑客的目标并不限于竞选的核心团队,广泛的网络钓鱼也瞄准了区域团队,例如3月底,芝加哥相关工作人员的邮件也遭到了侵入。民主党国家委员会的普拉特·威利在2015年10月—2016年3月曾遭受了15次网络攻击。同时,钓鱼活动还瞄准了与竞选团队合作的公司,270个战略公司、与希拉里结盟的竞选组织、希拉里基金以及一个由比尔·克林顿创立于1997年的慈善组织都受到了攻击。一位与竞选团队密切合作的受访者表示,波德斯塔的账户可能在3月前就泄露了,而且也无从得知早期的钓鱼邮件后来是否经过数据转储备份。

希拉里的竞选团队被盯上不足为奇。问题是,幕后主使是谁?竞选团队中潜伏着一股不安的暗流。尽管他们的竞选团队共有几百名员工,但在网络安全这一块却没有专门的负责人员,这一疏忽也让年轻的成员感到不满。团队的IT部只有4名全职员工,而且没有一个是专门负责网络安全的。

2016年4月,民主党国家委员会的人意识到他们的邮箱被黑了,甚至可能在几个月前就已经被侵入了。FBI连续6个月都在警告他们,他们的服务器可能在被黑客攻击。

5月中旬,希拉里竞选团队采取了重要的行动,让所有成员使用一款叫“信号”的端对端加密App。它会向请求验证的电话号码发送文本、语音和视频呼叫验证,能够有效屏蔽欺诈行为,且不会在服务器上储存任何数据。团队成员也被告知,不要在邮件里谈论任何敏感的话题,一切有争论的话题,尤其是关于竞选对手的内容,都要通过信号进行沟通。

6月10日,星期五,民主党国家委员会的领导让100余名员工上交他们的电脑。虽然没有说明原因,但网络安全公司CrowdStrike证实了民主党国家委员会的服务器遭到了破坏。一旦发现可疑的黑客踪迹,该组织就会进行记录以作为证据,CrowdStrike很自信地断言,一切都是奇幻熊做的。

6月12日,星期日,维基解密的创始人朱利安·阿桑奇在英国电视新闻节目《佩斯顿星期日》的采访中说,“有一件好事是,我们很快会有和希拉里·克林顿有关的泄密。对于维基解密来说,这将是很好的一年”。他是指民主党国家委员会的邮件,抑或是波德斯塔的邮件?

阿桑奇对希拉里有很深的成见,因为希拉里在执掌国务院期间,曾因阿桑奇在2010年公开了美国外交电报而对他进行了威胁。2012年6月,阿桑奇因在瑞典被指控强奸而躲在厄瓜多尔驻伦敦大使馆寻求政治庇护,他很担心会被引渡到美国。

6月14日,星期二,民主党国家委员会宣布电脑被黑客侵入了,黑客源在俄罗斯,CrowdStrike表示共有2个俄罗斯团体参与其中。

24小时之内,一个叫“Guccifer 2.0”的线上黑客发布了一些新闻网站、文件和邮件,并声称“攻击民主党国家委员会的是我们”。这个名字参考了另一位黑客“Guccifer”,他是一位失业的罗马尼亚出租车司机,在2013—2014年黑掉了美国和罗马尼亚诸多政客的邮件。后来他被引渡到美国,并于2016年5月被起诉。他声称曾黑过希拉里·克林顿的电子邮件服务器,但没有提供任何证据。2016年9月,他被判入狱4年多。

Guccifer 2. 0在自己的博客中宣称,尽管CrowdStrike公司的报告中称侵入民主党国家委员会的是“富有经验的黑客团体”,但这并不是什么难事,“Guccifer可能是第一个侵入希拉里·克林顿和民主党服务器的人,但他不会是最后一个,其他的黑客也可以轻易黑进民主党国家委员会的服务器”。Guccifer 2.0自称罗马尼亚人,并一再坚持自己是在单干。

Guccifer 2. 0宣称自己进入民主党国家委员会的系统已经超过1年了,并且展示了窃取的文件,其中包括希拉里团队对竞争对手可能存在的优势和弱点的分析,“我把主要的几千份文件、邮件都给了维基解密,他们很快就会公开这些信息”。

不过,这些文件并不全部可信,有些经过了人为的篡改,其中一些细节也引起了人们的怀疑。Guccifer 2.0声称自己是罗马尼亚人,却不懂罗马尼亚语。一些邮件元数据显示,他使用了在俄罗斯很流行的VPN服务。他使用的微笑表情是括弧而不是冒号,这也是使用西里尔键盘才会出现的常见用法。人们在不同的机器上打开这些文件,元数据显示出了俄文字母和西里尔字母。甚至还有痕迹显示该黑客曾使用盗版的Office 2007来处理文件,这在俄罗斯也很流行。为什么业余黑客和商业黑客想侵入民主党国家委员会的服务器呢?那里没有钱,有的不过是政治秘密。

网络安全专家托马斯·里德当时在伦敦国王学院战争研究系工作,他表示这个时机“对黑客来说过于顺利了”。Guccifer 2.0一定程度上转移了人们的视线,为其他黑客打了掩护。他同意CrowdStrike公司的意见,Guccifer 2.0不一定是奇幻熊的一员,但一定存在着某种关系。

6月底,Guccifer 2.0又向The Smoking Gun网站发送了一份文件,内容是一名民主党国家委员会在芝加哥地区的员工3月22日前的邮件详情。这也让他的“与奇幻熊没有关系”的言论愈加站不住脚,不过这也表示了一些竞选团队的员工确实存在使用邮件不当的问题。The Smoking Gun网站转载了一系列邮件,内容与希拉里将参加的拉斯维加斯的公众集会密切相关。《华盛顿邮报》也报道了这一泄密事件,并评论道,“这更加说明了,希拉里更偏爱在虚幻中竞选,她很少接受记者团的提问”。其实其他的竞选者也是如此,只不过他们的邮件没有被暴露出来而已。

7月22日,星期五,就在大会确认希拉里为民主党候选人之时,维基解密公开了22000封民主党国家委员会的邮件,其中包括党派成员贬低伯尼·桑德斯的内容。民主党高层和桑德斯的支持者很快又开始互相指责,民主党国家委员会主席被迫辞职。

竞选进入了一个新的阶段—信息战。对希拉里来说,这次黑客事件再次解释了为什么新闻头条的“希拉里”总是会和“黑客事件”、“邮件”绑在一起。但这些邮件也有些奇怪的地方,其中一些似乎并不来自民主党国家委员会。

《名利场》的尼克·比尔顿在2016年8月写道,电子邮件给人们留下了两个选择,要么删除所有东西(希望服务器里的东西也被删除了),要么双手合十,许愿一切顺利。

十月惊奇

“十月惊奇”已经成了美国总统竞选活动的惯例,在投票日的前一个月必定有一位候选人会爆出大新闻。事实证明,2016年的大选也没有错过这一惯例。

10月7日,星期五,正式投票的四周前,注定是个繁忙的日子。下午2点左右,美国国土安全部(DHS)和国家情报局(ODNI)发表联合声明:

美国情报界断定俄罗斯政府指示攻击美国个人和机构(包括美国政治机构)的电子邮箱。我们认为,考虑这些事情的范围和敏感度,只有俄罗斯的高级官员才能批准这些活动。

一般情况下,美国情报机构(包括联邦调查局、中央情报局和国家安全局)发布的明确指向俄罗斯黑客的报告必定会成为接下来几天的头条。

但是在当天下午4点,《华盛顿邮报》报道了一个更为离奇的故事:大选的参与者曾对女性进行性骚扰,并用自己的权力将这一丑闻压了下来。这个故事就像炸弹一样在网络上炸开了。

而在这一事件公布不到1个小时之内,维基解密公布了波德斯塔的2060封邮件和170份文件。这些内容显示,2015年希拉里为了迎合俄罗斯的利益,支持俄罗斯收购名为“铀一号”的加拿大铀矿公司。

大量的推特账号聚焦至波德斯塔的邮件事件,推特后来暂时封了那些账号。位于圣彼得堡的互联网研究机构(IRA)根据散布的虚假信息判断,有上千名工作人员曾打着其他国家国民的幌子写博客和发推文。

竞选团队成员的心情仿若坐过山车,有人说这是他们所经历过的最为疯狂的一段日子。关于如何获得电子邮件转储的消息,人们怀疑这可能发生在民主党国家委员会被侵入之后,黑客扩大了网络钓鱼的范围。波德斯塔和他的通信团队坐下来开会,他们意识到新闻头条里将持续出现“希拉里”和“邮件”的字眼。但是,他们无计可施。

媒体的叙事以自己的方式进行。由于能看到波德斯塔的邮件,媒体也开始了自己的节奏。“约翰的大多数邮件都很……无聊,”希拉里在《发生了什么》中表示,“他们揭露了竞选工作的细枝末节。”希拉里没提到她的个人邮件,但她对人们对邮件内容的曲解表示了明显的愤怒,她认为一些舆论存在着明显的虚假性,但这完全无法阻止舆论的扩散。

阿桑奇在大选前每天都会发布一部分邮件,并精心挑选出波德斯塔的部分,着重揭发希拉里不好的地方。

波德斯塔的邮件确实包含了一些希拉里的负面信息,其中有她在高盛集团的演讲稿。托马斯·弗兰克10月底向《卫报》表示,“忘掉FBI所发表的相关信息,波德斯塔的邮件才能真正显示出美国是如何运转的”。他对邮件泄露的内容表示愤怒,“在维基解密上输入‘葡萄园’ [1] ,你就会意识到你和其他人完全身处不同的世界”。

而关于大选竞争对手的邮件却没有发现什么大问题,但这仅仅只是因为与其相关的邮件并没有公开而已。随着FBI从2017年开始调查与俄罗斯有关的勾结行为,这一情况也发生了部分改变。

在改用信号App后,竞选团队的网络安全问题完全得到了解决。然而他们依旧面临着一个问题——舆论头条新闻中“希拉里”与“邮件”、“黑客”绑在了一起。因为这三个词总是一起出现,以至于一般人无法搞清希拉里到底是私人邮箱被黑(关于这点,希拉里已于7月被免罪,证明并没有证据表明她遭到了黑客的侵入),还是商业邮箱被黑。

《时代周刊》的头条标题是“希拉里·克林顿的邮件泄密所揭露的竞选真相”。《华盛顿邮报》则这么写道,“被黑的邮件内容呈现了希拉里拒绝公开的演讲稿”。

大选的进程受到了阻碍,竞选团队试图回避这一话题,并发布了一些自相矛盾的声明,“我们不会去确认朱利安·阿桑奇公布的被偷邮件的真实性,阿桑奇想要抹黑希拉里·克林顿的意图十分明显”。而格伦·卡普林则表示,“被偷”一词也间接证明了邮件的真实性。

卡普林得到了一份不太光鲜的任务,他需要从波德斯塔的邮件里找到可以用来对付希拉里、她的幕僚以及民主党的内容。他的团队围着一块可移动的白板工作,从邮件中提取“丑闻”内容,并试图推测出他们的官方辩驳。同时通过建立语料库,从邮件中寻找旧的评论、讨论,进而引发新的一波僵尸式的新闻热潮。

波德斯塔和他的团队成员都把邮件当作一个完全安全的区域,可以自由交换他们的意见,可现在这些内容却在最为尴尬的时间段被公之于众。试图否认邮件的真实性、暗示它们是伪造的都于事无补,因为谷歌通过一个叫作DKIM(域名识别邮件)的反垃圾邮件系统对这些邮件的真实性进行了有效验证。

DKIM包括了邮件各个部分的密码散列(一种单向计算),它能创建一个唯一的字符串,包含在电子邮件的标题中,而电子邮件中用于计算散列的部分则取决于DKIM的特定实现方式。

所以为什么谷歌的DKIM系统没能发现最初发给波德斯塔的钓鱼邮件是假的呢?为什么服务器没有拒绝那封邮件,或是将其丢弃到垃圾邮件的文件夹中去呢?问题就在于DKIM的范围是有限的。如果服务器没有内置的DKIM系统,就没法简单地生成散列。

在人们认为事态不会更糟糕的时候,更糟的事情发生了。有一份邮件泄露了波德斯塔iCloud的密码。社交平台Reddit的子版块里,一位用户表示他能登录、定位并消除波德斯塔iPhone的个人信息,讨论版一下子炸开了。他们还黑了波德斯塔的推特账户,并发布了一条支持大选敌对竞争者的消息,“这个历史时刻将正式宣布希拉里的竞选生涯的失败”。

最后倒计时

最终,希拉里在大选中以微弱的差距落选了。

FBI局长詹姆斯·科米在大选前一周重新启动了对希拉里的调查,这又一次把她推上了风口浪尖。和2008年奥巴马的“是的,我们可以”相比,希拉里缺乏强有力的竞选口号,这也在一定程度上带来了阻碍。同时,俄罗斯的媒体报道也迅速影响着社交媒体的导向。以上的因素究竟哪一项推动了竞选天平的倾斜呢?

一切都难以确认。在复杂的竞选系统中,每一个因素都能产生影响,微小的输入偏差都能造成巨大的输出变动。毫无疑问,2016年的美国总统选举是混乱的。

选举结果出来了,而网络钓鱼却还没有结束。在大选结束之后不到6个小时,美国智库和非政府组织收到了5批网络钓鱼邮件,声称附件和链接里包含了“令人震惊的”选举结果分析。安全公司Volexity基于这些文件安装的恶意软件,识别到这是奇幻熊做的。

12月29日,美国国土安全部和FBI联合发布了分析报告,直接将矛头指向了俄罗斯。然而,联合分析报告的结果却派不上用场。

联合分析报告并没有提供审计跟踪,没有时间,没有名字,没有解释结论是如何得出的,这使得这份报告的内容没有可信性。

艾伦·巴尔和波德斯塔一样有过邮件被全网公开的经历,因此他也密切关注了这件事:

如果我有机会和他谈话,我们一定能有很多共鸣,有太多在内部讨论过的话题是不能告诉其他人的。全部内容公之于众,每个人都能看到并进行解读,你只能看着他们讨论你是什么样的人,而不能加以辩解,可能有太多东西是你完全没意料到的。(他停顿了一下)并且在公共场合,你也无法左右舆论的走向。

然后会怎么样呢?

我不想承认,也不想保持沉默。我希望能有一个公开讨论,针对我的邮件,尤其是那些有争议的内容。我想听他们的赞成或反对声,并参与辩论。我宁愿这样,也不愿沉默。但事实是,沉默确实是处理问题的最好途径。

在2017年5月的讲话中,波德斯塔表达了他的沮丧之情,因为FBI的调查给竞选活动蒙上了很大的阴影。尽管竞选活动很快就结束了,但FBI在竞选前几天启动调查这一事实依旧令人震惊。“如果一切能重来,我不会把邮件退回国务院。”波德斯塔告诉《明镜周刊》,“我会直接公布这些邮件,也许这样就能结束整件事。”

事态虽然事与愿违,但这却是个不错的想法。起码有一点是对的,希拉里的竞选活动本身并没有被非法侵入,双重认证系统跟信号App守住了他们的秘密。波德斯塔的个人邮箱里全是网上商店的特别优惠活动、他的教职工作的相关安排以及其他的琐碎信息,这些统统都被侵入了。一些地区的员工也是这样,但核心小组的员工毫发无损。希拉里·克林顿的竞选服务器没有被黑客侵入,她的电子邮件也没有。

小结|约翰·波德斯塔黑客侵入事件

了解网络钓鱼是什么。对有关黑客的警告信息,要时刻保持怀疑的态度,不要点击电脑上的链接或输入URL。

确保企业和个人的邮箱账户都启用了双重认证,因为每个人都可能成为公众的焦点。

不要依赖文本消息认证系统。如果有人拿走了你的SIM卡或者电话号码,就能仿冒并劫持你的个人信息。要使用能生成代码的App或者物理设备。

不要以邮件形式发送其他账号的密码。邮箱可能被黑,这样你的其他账号也面临风险。

如果可能的话,尽量不使用邮件。例如信号这种能提供即时通信的App,也能发送附件,它比邮件更加安全、好用。

做好心理准备,你的邮箱可能在将来的某个时间被黑客侵入了,并将你的私人信息广泛传播开来。如果你的邮件被公开,一定要确保那些内容无懈可击。

媒体与社交网络会根据泄露的数据编故事,尤其是邮件,他们以此为生。你无法以一己之力扑灭火苗,不如集中精力描绘另一个故事。

基于这一点,如果你面临这样的困境,不妨通过检查那些你认为已经被黑了的内容,设想最糟糕的情况。然后考虑可能发生的状况,预先设想与客户、供应商和媒体打交道的策略。也可以看看你公司的主管是否接受你的做法。如果不,他们会如何应对?