今时今日，我们时时刻刻都热心而狂暴地违反这四条法则。其实，我们整个经济社会的幻境都建立在打破这些法则的基础上。我们想拥有最好的设备，我们想让它永远开着，我们想一直使用它。“实效”现在几乎就等同于“连接”了。不联网的手机，汽车，或市场？那全是无用之物。但是，每个人都连接的网络，却可以在未曾察觉的时候被操控。安全研究学者谢尔盖•布拉图斯（Sergey Bratus）领导的团队曾说过：“‘开发工程师’（礼貌的技术术语，指代黑客）会让你看到系统功能非计划性的极限。”黑客解开了新世界的危险漏洞，同时向我们展示了网络应该如何运行，并以迅雷不及掩耳之势揭露你家警报系统的局限。但坏消息是，最恶意的黑客（通常也是技术最好的、最娴熟的）为了证明自己技术娴熟，他会横扫了你的数据、存款，最后打乱了你内心的平静。他们的财运、安全与好奇心——三者交织在一起，促使他们渴望接触、挑动、破坏网络的阵脚。在连接广泛的世界里，他们比以往更强大，也更危险。因此，波斯特尔名言的对立面是：连接越多，风险越大。随着银行存款、喷气发动机设计和其他无价的数字数据的产生并流向连接的机器上，黑进这些系统所得的回报也增长了，增长速度大大快于破解的速度。

“越来越明显了，”安全专家菲利克斯•林德纳（FX Lindner）和桑德罗•盖肯（Sandro Gaycken）说，“‘计算机网络防御’的水平比其对手‘计算机网络进攻’的水平落后了10年以上。情报组织和军事组织一向被认为在防御基础设施方面做得最好，尽管如此，它们也是奋力抵御不同动机、技巧和资源的持续性猛攻。”美国政府安全方面的败笔不在少数，这些失败有着一个奇怪的数字逻辑：越重要的东西，政府越想保密，却越做不到。世界各国的政府发现，近年间，在要求获得市民隐私时，他们处于一个尴尬的位置，因为他们连自己的秘密都不能保守。2014年美国人事管理局被黑客入侵之后不久，政府行政主管向所有公务员发出了一封紧急信：请勿点开任何陌生邮件！而许多收件人从未打开这封信函，因为他们坚信这也是一种网络攻击。落后10年？那是翻盖手机和iPhone之间的差距。在科技高速发展的世界，这就像拿着激光武器和古代装甲步兵之间的战斗。这场逐渐输掉的比赛很容易落入唐纳德•拉姆斯菲尔德关于领先者与落后者的逻辑。我们会问：我们在更多计算机上安装的层、软件和应用是否超出了我们能保护的范围？我们制造的漏洞是否多过我们打的补丁？（答案都是：是的。）“攻击者不像自然界的灾害，”林德纳和盖肯写道，“他们能分析攻击目标。”

谢尔盖•布拉图斯是一位数学天才，出于兴趣转而研究计算机科学，现在任教于达特茅斯学院。他曾花费相当长的一段时间研究，当计算机或网络被黑客入侵时，究竟发生了什么。用软件破解者调侃的话来说，就是被“玩弄”（pwned）了。这个词的意思是，控制或“拥有”一个系统。这是一个误造词，是电脑游戏中杀死对手时幸灾乐祸的用语，源于一位玩家杀死另一位玩家时，急于庆祝他的胜利而打出想“I pwned you”的字样，然后这种笔误被沿用至今：信息安全方面的最高奖项就被称为“玩手”（Pwnie）。布拉图斯将被入侵的设备称为“中毒的机器”：计算机、传感器、无人机默默地被控制去做非原先所计划的事件，这变得很奇怪。

黑客行为其实是一种不合法的编程，包括潜入机器内部，给出其设计者未曾料想到它会接收的指令，从而驱使它去做原本不会做的事。布拉图斯发现，开发利用计算机的漏洞与最复杂的软件研究并没什么不同。黑客极其谨慎。他们中的高手构想了整个系统，就像最细致的数据架构师所构想的一样。这些黑客寻找特别的设计，他们善于将代码武装起来，并在总控之下坚持不懈地攻击。正如美国国家安全局数字情报部门负责人罗伯特•乔伊斯（Robert Joyce）在某次公共演讲中说道：“我们成功，是因为我们投入时间去了解网络。我们投入了时间，对网络的了解甚至比设计网络的人还多。”正常的机器只按你的指令做，但中毒的机器则按其他人的命令去做。yipindushu.com

这种系统是如何产生的？导致中毒机器的软件漏洞，就像计算机安全编码失败一样简单，有点像离开家时随手关门一样，或从编程的角度看，就是这台机器不能处理意料之外的输入。例如“模糊化处理”技术，是使一台正常的机器中毒的有效方法。无论何时，当我们输入用户名和密码进入一个封闭式的数字系统时——假设我们在登录银行或办公邮箱，计算机获取这些信息，并将其与储存在内部受保护的数据库里的数据相匹配，这就等于向机器给出所有的拼图碎片来拼出你的图像。计算机有一个程序可以将所有拼图碎片拼在一起，如果拼出的图像确实是你，它就会让你进入。模糊化攻击会向机器输送某些它未曾预料到的东西。例如，多一块拼图，或者输送填字游戏而不是拼图。如果你在用户名栏输入“joe@usecom!@@”而不是正常的机器可以识别的电邮地址“joe@ usecom”，那么后面的“!@@”会把机器迷惑住，就像它正在拼图然后发现多了一块。如果你有一个程序可以同时从两个不同的地方向机器输送拼图，那么你会导致很多计算机发生故障、系统崩溃。机器会想：“他怎么可以同时出现在两个地方呢？”它们“迷糊”了。而在它们迷惑的时候，它们可能瘫痪，或进入一个死循环，或思考：“反正我解不开这个问题，所以我就开门吧。”现代黑客可以很容易使机器出现以下情况：本应是拼图却让填字游戏通过；允许你出现在两个或20个不同的地方。而这种错误会在一秒钟之内发生几千次。因此，对于一个恶意的黑客来说，这种局限性是诱人的：计算机仍然需要人来告诉它们该做什么，不该做什么。如果你走到银行柜员面前喊道：“Glookie！”她一定会以为你疯了。但如果你对电子银行系统这么做，因为机器未被告知如果有人喊“Glookie”的时候该怎么办，那它很有可能就这么让你进入保险箱了。

近年来的设计者将系统设计得越来越复杂，用以防止出现这类问题，但这类问题的出现也是由他们自己代码里的这类漏洞导致的，这种花费不菲的后果使其饱受诟病。“你不能完全了解你的程序如何工作，直到它被破解。”布拉图斯说过，这种情绪是很多程序员和他们突然受害的用户都曾体会过的。你不了解自己，直到自己被“玩弄”了。这些无尽的小故障能完全被修复的概率是零。黑客们会继续使用经典的破解手法，例如模糊化、后门程式和Rootkit隐藏软件，同时黑客会开发新的复杂手段盗取计算机的正常思维。这场掌控权争夺赛是一场短跑冲刺，但又不是不需动脑的。黑客越靠近计算机程序或网络的核心，就会掌握越多的控制权。掌握系统核心意味着掌控系统接收的所有信息及其如何决策。这种黑客行为就像一位外国间谍当选了美国总统，将整个美国政府变成中毒的机器。这种即时的、高级别的、完全受信任的准入权是软件破解者的黄金准则。

这些最危险的、同时也是价值诱人的攻击被称为“零日攻击”（zero-day exploits）。当“零日攻击”被发布并在某些倒霉的网络或机器上疯狂衍生的时候，它们带来的危险才会变得明显。初次意识到这个安全漏洞时就像被诊断为癌症的第一天，然后变成了寻找治愈疗法的速度比赛。这种脆弱性代表着计算机防火墙上的裂痕，这是制造商、系统工程师和安全专家经常无法注意到的。黑客、间谍、软件破解者的梦想就是这种被称为“高级持续性威胁”的把戏：机器中隐藏的后门程序，可以在更新升级、安全监测和系统清理中保存好几年，迫使已经中毒的计算机去做用户不知道的事情。例如，将每一次击键的副本发送到另一台机器上，自动向其他机器发动攻击，同时表现得像一台完全正常的机器一样。

最厉害的“零日攻击”不是把恶意软件偷偷放入计算机中，而是利用已有的、受信任的代码，找出其中微小的漏洞，将之扩大为巨大的通道，从中盗取数据。这种攻击依赖偶然遗留在计算机系统里的错误，或看起来无害但可能变得很危险的某些特性。所有的计算机工程师和软件设计师知道他们的系统很脆弱。数学家们证明了，人们永远无法完全肯定一台联网的计算机是安全的。例如，一部手机包含了超过1000万行的代码。系统运行着大量的云计算空间（而谷歌或亚马逊云计算空间更大），每天更新并解决超高速运转的数据海啸。就算是最好的程序员也会在100万行代码中遗留四五个错误。

软件和硬件制造商往往疲于将这种漏洞进行保密，直到他们研究出修正方法，但这通常都不管用，秘密还是泄露了。就算补丁开发出来，也需要好几周甚至好几个月的时间才能广泛安装，这种情况并不少见。因此，在宣布新发现的漏洞后的几小时内，利用这个漏洞进行攻击便会在全网爆发。成千上万的黑客企图利用这一薄弱之处攻击系统的防火墙，将它们列入修补或重启的名单；或只是削弱它们，然后留给智商不够用的系统管理者，但他们还不知道这串特别的代码将使其成为开放捕食的目标。“心脏流血”（Heartbleed）是一种零日软件，允许黑客通过网络浏览器的漏洞溜进你的计算机。2014年4月7日，它向世界揭开面纱，而那时距离它因编程错误而被放入系统中已过去了两年多。因为偶然，工程师过度疲劳，还是故意？因为某位国家安全特工？没人知道（或者没人表态）。“心脏流血”漏洞发布后的两天内，在所有计算机完全安装上补丁之前，各种攻击还是将漏洞从每小时几十个蔓延至每小时几百万个的程度，因为黑客们拼命地从不安全的网络上吸取数据。