事件
卡巴斯基安全實驗室在 2026 年 5 月發現,一款廣泛使用的虛擬光碟軟體 Daemon Tools 的某些版本被植入後門。研究人員觀察到數千次感染嘗試,至少 12 次確認成功的駭客入侵。受害者都是在安裝「被篡改的」Daemon Tools 版本後遭到攻擊。初步調查指向中文駭客集團。
為什麼這比直接駭客更危險
傳統網路攻擊需要駭客主動掃描、探測目標漏洞。但供應鏈攻擊反轉了遊戲規則:
1. 內在合法性:受害者是主動安裝軟體。防毒軟體需要較長時間才能標記為危險,因為初期看起來只是正常的軟體更新。
2. 信任稀缺性:在數億個軟體中,使用者只能信任少數幾個。Daemon Tools 是虛擬光碟的業界標準——就像 Windows 之於作業系統、Chrome 之於瀏覽器。這些樞紐位置一旦被破壞,影響面積成數量級跳躍。
3. 成本轉移:駭客不需要維護入侵工具的隱蔽性。軟體本身的正當性替他們做了。用戶會持續運行感染的軟體長達數週、數月,直到某個安全更新或防毒廠商出手。
4. 可否認性:即使事後發現,Daemon Tools 官方可以聲稱遭到駭客入侵,而非主動配合。真相難以追究。
生態系統的脆弱性
軟體生態像金字塔:頂層的通用工具(作業系統、瀏覽器、虛擬機、容器執行環境)被下層的數百萬個應用程式依賴。只要破壞頂層一個節點,可能波及整個塔基。
Ken Thompson 在 1984 年的 Turing Award 演講中預言過這種攻擊:駭客可以滲透編譯器本身,使得每個用該編譯器產生的程式都帶有隱形後門。40 年後,這個理論成為現實。
信任的數學困境
使用者面臨無法調和的選擇: - 完全隔離:不裝任何軟體,但無法工作 - 完全信任:安裝所有需要的軟體,但暴露於風險 - 部分信任:只裝「重要」軟體,但無人知道哪些才是真正安全
沒有第四種選項。