凱文·米特尼克:從「世界頭號黑客」到網絡安全「布道者」

昔日黑客成為了權力與資本的服務者,他為何轉型?又如何看待人工智能和互聯網去中心化?我們和他聊了聊。
國際 美國

54歲的黑客凱文·米特尼克(Kevin Mitnick)第一次到訪北京。他帶了這幾樣設備:兩個讀卡器,與身邊的人一掃而過就可以讀取對方的卡片資料;一個外接硬盤,插入蘋果電腦的接口,就可以輕鬆破譯開機密碼。

2017年8月15日,在騰訊舉辦的中國互聯網安全領袖峰會上,身穿西服的米特尼克彬彬有禮地向一位女士借用一張公司大樓的門禁卡,僅花了幾秒鐘就複製出了另一張,「我可以隨意進出你的辦公樓了」,米特尼克開心地對她說。憑藉這些設備,他可以破解美國各大銀行普遍採用的 HID 門禁控制系統。

「我希望告訴大家,我們處於一個多麼危險的資訊社會。」米特尼克這樣解釋他的惡作劇。他曾經是危險的製造者——世界最知名的黑客、FBI 的頭號通緝犯、《時代》週刊的封面人物和荷里活的銀幕主角。他曾「黑」掉了 IBM、摩托羅拉(Motorola)、諾基亞(Nokia)、網威(Novell)等高科技公司,亦曾「黑」進 FBI 的警報系統而獲知 FBI 對自己的追蹤計劃,還被指控入侵中央情報局。1995年,美國聯邦檢察院曾以25宗罪名起訴米特尼克,且在審判前就被關押了四年半,這是美國司法史上對一名高智商罪犯所採取的最嚴厲措施。

據聯邦檢察官推算,米特尼克盜走的各類程序和數據,總價值超過3億美金。但米特尼克卻一直聲稱他「竊取了軟件源代碼,卻從來沒有出售過它們」,「入侵了企業的電腦系統,卻並沒有破壞文件。」作為一名黑客,他堅稱自己「從未獲利」、「僅僅是為了自我挑戰」。

紐約時報稱他是「網絡空間的頭號通緝犯」,認為在互聯網剛剛興起時,米特尼克就引發了人們對虛擬空間的恐懼,因此罪孽深重。但他卻認為自己是為了追求自由,當發現以軍工企業為代表的大集團正在壟斷互聯網行業,以謀取更多的利潤和更強的權力,他便不由自己地想去闖進這個虛擬空間,打破這種秩序。

黑客凱文·米特尼克(Kevin Mitnick)曾被美國聯邦法院曾以25宗罪名起訴米特尼克,且未經審判就將他關押了四年半,於2000年1月21日才被釋放。
黑客凱文·米特尼克(Kevin Mitnick)曾被美國聯邦法院曾以25宗罪名起訴米特尼克,且未經審判就將他關押了四年半,於2000年1月21日才被釋放。

米特尼克自述,幼時父母離異,母親的新男友在執法部門工作,卻常對他暴力相向,這也讓他在少年時候就成了一個蔑視權威的人。他擁有無線電和電腦方面的天賦,記憶力超群(後來他的著作中提到所有的電話、代碼都是真實的,即便過了數十年他也依然不忘),便走上了黑客之路。

他的前半生窮困潦倒。他曾經歷數年逃亡:偽造身份、不斷更換居住城市、夜不能寐,甚至自制過一個警報系統,一旦有警務人員出現在他的生活區域就會自動報警。在他逃亡、入獄的過程中,妻子棄他而去,父親、弟弟和表姐相繼去世,母親則罹患癌症,他曾萬分悔恨沒有珍惜與家人共處的時間,反而帶給他們無限的創傷。

轉折發生在米特尼克獲釋2個月後,當時他收到了一位參議員的邀請,前往華盛頓作為證人出席一場資訊安全的會議。他沒想到,政府竟然希望聽到他關於如何保護電腦系統的想法,簡直「受寵若驚」。那場會議有電視台轉播,並由聞名全國的參議員們向米特尼克提問。自那之後,米特尼克不斷受邀去各種企業和大學演講、亮相脱口秀,成為一位明星人物。每當發生一些和資訊安全有關的新聞,他就會被 CNN 或 FOX 電視台邀去發表評論。

2001年,一位拉斯維加斯的商人懷疑自己的應召女郎電話呼叫系統被黑手黨入侵,希望米特尼克能給出安全指導。這樁生意也成為他轉型為「白帽黑客」(White Hat Hacker)的一個起點。

「白帽黑客」獲利不菲。政府和互聯網巨頭都在招募「白帽黑客」。譬如 Facebook 和 Twitter 通過漏洞眾測平台 HackerOne 開放自己的系統,讓黑客在尊重隱私、不違反規則的前提尋找安全漏洞並報告。Facebook 會為每個程序故障付一萬美金左右,Google 曾為漏洞付出15萬美金的高價。

米特尼克稱自己想做一個「道德的黑客」——「使用自己的技術進行滲透測試,評估公司的安全防禦機制,識別物理設施、技術和人員的安全控制弱點,在這些弱點被壞人利用之前增強防禦。」越來越多的公司高價聘請他做安全顧問,他開了公司、僱了經紀人,現在的客戶有美國聯邦航空局、美國社會保障總署和曾經被他「黑」掉的 FBI。

昔日黑客,成為了他曾反對的公權力的服務者。

2003年,39歲的凱文·米特尼克(Kevin Mitnick)已變成著名的網絡安全指導。
2003年,39歲的凱文·米特尼克(Kevin Mitnick)已成為著名的網絡安全人員。

米特尼克公司僱用的大量黑客,將他們發現的零時差漏洞(編注:零時差漏洞,0 day exploits,指那些還沒有補丁的安全漏洞)出售給政府和商業機構,每個漏洞開價10萬美金以上。他曾對《連線》(Wired)雜誌公開表示:「我花一個價格從黑客手裏買來這些漏洞,再以一個價格賣給我的客戶,從中賺取差價。」

往昔的支持者對米特尼克大呼失望。畢竟,他曾是抵制政府強權的標誌性人物。在他入獄時,支持者將「Free Kevin」的字樣印在T恤衫和汽車保險槓貼紙上。而現在,米特尼克卻和政府、商業巨頭做起了生意。殺毒軟件公司 McAfee 的創始人 John David McAfee 曾公開指責白帽黑客,說他們發現安全系統中的漏洞而索取報酬是一種不道德的行為,「這和海洋學家發現海洋裏的微生物,而去索取賞金一樣。」而米特尼克曾辯解稱自己是有底線的,「從不會將漏洞出售給敘利亞政府或者非法組織。」

近年來,米特尼克的關注焦點從虛擬世界轉向現實領域,出版了暢銷書《欺騙的藝術》(The Art of Deception)、《入侵的藝術》(The Art of Instrusion)、《隱形的藝術》(The Art of Invisiblity)以及自傳《線上幽靈》(Ghost in the Wires)等,成為社會工程學的開山鼻祖。

社會工程學

在電腦科學中,社會工程學指的是通過與他人的合法地交流,來使其心理受到影響,做出某些動作或者是透露一些機密資訊的方式。這通常被認為是一種欺詐他人以收集資訊、行騙和入侵電腦系統的行為。在英美普通法系中,這一行為一般是被認作侵犯隱私權的。歷史上,社會工程學是隸屬於社會學,不過其影響他人心理的效果引起了電腦安全專家的注意。(資料來自維基百科,百科內容以 CC BY-SA 3.0 授權)

借米特尼克到訪北京的機會,端傳媒與他聊了聊黑客生涯、人工智能及互聯網去中心化的問題。以下是由文字由記者的採訪和米特尼克在中國互聯網安全峰會上的對話環節,整合而成。為閲讀流暢,部分文字有順序調整。

端傳媒(以下簡稱端):你還記得自己的黑客生涯是從何時開始的嗎?

凱文·米特尼克(以下簡稱米特尼克):當我還是小孩的時候。10歲的我對魔術非常感興趣,每個週末我都騎車到家附近的魔術品商店,希望學習一些魔術的技巧。我看到人們在被魔術欺騙時的開心神態,由此產生了人們「樂於被欺騙」的觀念,這是影響我生命歷程的一種潛意識。

後來,我遇到一個巴士司機,他是一位業餘無線電操作員,他可以用摩托羅拉手機收聽警用頻道,還能像變魔術一樣免費撥打電話到世界上任何一個地方。之後,我就開始學習電信知識,我十歲出頭時,就拿到了由聯邦通信委員會簽發的業餘無線電操作執照。

Apple 的創始人喬布斯在70年代曾製造神秘的「藍盒子」(Blue Box),通過模擬電話公司網絡上的特定音頻而實現免費撥打電話。喬布斯把這些「藍盒子」銷售到校園,從此創造了第一個「蘋果產品」,我以前也這樣做過。

後來我自學編程。高中的電腦課上,我寫了一個程序來盜竊老師的密碼。當老師登錄的時候,他就不是和操作系統對話,而是在跟我對話。當老師知道我破解了他的密碼之後非常驚訝,當時我使用了一個模擬器來竊取他的資訊,他知道具體原理的時候又露出了一絲微笑。

那時我就覺得非常新鮮,做黑客非常有趣,這就是最開始的故事。

端:那麼,講一講你印象最深刻的一次入侵吧。

米特尼克:最讚的一次黑客行為是在我16歲的時候,在麥當勞。

美國和中國的麥當勞不太一樣。在美國,大家都可以開車去買麥當勞。顧客開車經過麥當勞的窗口,下單點餐,窗口上有一個揚聲器,服務員會透過它回應顧客。

我通過改裝兩米波段無線電的方式,黑掉了揚聲器,讓我的聲音從揚聲器裏發出來。當警察來買麥當勞時,揚聲器就說:「我們今天不為警察服務!」有女士顧客來了,揚聲器就說:「給我看一下你的胸部,你的巨無霸就免費!」

麥當勞的經理趕忙跑出來查看情況,低頭仔細研究那個揚聲器,我用刺耳的聲音透過揚聲器大喊了一聲:「你在看什麼!」把那個經理嚇得跳起來。

這個惡作劇真的非常有趣。那時我還是個孩子,但那是我最喜歡的、記憶最深的一次黑客行動。

端:你25歲的時候被捕,等待審判,當時美國政府為什麼要把你單獨監禁?

米特尼克:那是我第一次被捕,當時在聯邦法院(編注:米特尼克曾經在未成年時犯法,當過「少年犯」。25歲被捕是他成人之後第一次入獄),法官旁邊有一個公訴人在胡說八道,說我可以造成核浩劫。這個公訴人說如果我碰了電話,就會用電話接通調制解調器,連接到北美空防司令部,發起一個攻擊,發射核導彈,從而掀起第三次世界大戰。

當時我在法庭上就笑了,但法官沒有笑。估計因為這個原因,我在監獄裏面被單獨監禁了8個月。

(在米特尼克的自傳中提到,單獨監禁的牢房僅有10英尺長、8英尺寬,他每日對着屋頂40瓦的電燈,連去淋浴都要帶着手銬和腳銬。)

2010年8月13日,凱文·米特尼克(Kevin Mitnick)在墨西哥城參加聖菲展覽中心的分享大會。
2010年8月13日,凱文·米特尼克(Kevin Mitnick)在墨西哥城參加聖菲展覽中心的分享大會。

端:你現在覺得互聯網還是不是自由的世界?

米特尼克:你確定要在中國問我這個問題嗎?

我覺得,要談自由,就不應該有任何限制。但畢竟每個國家都有自己的法律。僅從互聯網角度來講,我認為,只要你能夠合法地進行互聯網瀏覽,那就是一個自由的互聯網世界。當然,這並不是說你有機會去利用漏洞。只要你能合法地(傳播)互聯網資訊而不受到限制的話,它就是個自由的邊界。

端:你現在在中國用什麼手機和郵件系統?

米特尼克:和你一樣,我用蘋果手機,iOS10.3.3 系統,以及最新的版本 Gmail。iOS 比 Android 安全,因為蘋果對 iOS 的安全性很重視,也願意(在安全上)投入更多資源,他們對找出 iOS 漏洞的「白帽黑客」最高會獎勵20萬美元。

端:「白帽黑客」一般在做什麼?

米特尼克:對於白帽黑客來說,我們做很多研究工作和測試,發現很多產品的 bug,再把 bug 報告給廠商,由他們來解決。

拿物聯網舉例。現在有很多智能城市、智能家電和智能汽車,其實我認為是「脆弱城市」、「脆弱家電」和「脆弱汽車」。因為所有的設備都有可能被黑客利用。政府應該專門成立一個部門,讓這些物聯網設備發布之前經過安全驗證,只有安全的產品才能銷售。

中國也是一樣,中國的物聯網應該更多地採取密碼的形式,而不是默認頻距的形式。之前出現的很多安全問題就是默認頻距造成的。對於物聯網廠商來說,不管他們在開發攝像頭,還是開發嬰兒監視器時,都應該把安全放在首位,不然就會被壞人利用。

但我現在沒有看到有效的激勵措施讓廠商去關心產品是否安全,唯一能夠想到的就是,如果媒體報導了產品安全的漏洞,就會給他們的產品形象帶來負面影響,他們才有動力去改善。畢竟,提升產品安全並不能給他們帶來直接利潤,並且智慧增加產品的成本。

並且我認為,應該讓這些廠商證明是不是開展了相應的代碼審查(Code Review)工作,是不是部署了最佳的安全實踐,當然,如果已經採取了相應措施,但產品還是有漏洞的話,就應該讓他們免予處罰或進行較輕處罰。但如果廠商(在安全檢查方面)無所作為,卻帶來了相關的不良影響,這就要負責任了。

端:能否回顧一些美國互聯網歷史上的黑客大事件,以及你覺得誰應該承擔責任?

米特尼克:惡意攻擊其實在我從事黑客職業之前就已經有了。我能想到的,包括勒索軟件及其他惡意攻擊,比如金融詐騙、銀行卡欺詐,以及竊取知識產權,都會造成公司巨大的損失;還有盜竊行業機密,這會給競爭對手帶來很大的損失。

2017年5月13日,席捲全球的WannaCry勒索病毒的影響仍在持續,目前至少有150個國家受到網絡攻擊。圖為台灣一名用戶電腦遭該病毒攻擊。
2017年5月13日,WannaCry 勒索病毒席捲全球。

為什麼 WannaCry 這麼出名?因為很多公司沒有做補丁。修復漏洞的補丁在之前已經發布,但被受害者忽略了。兩年之前,我就看到一些航空公司有這樣的漏洞;兩年之後,我做了一個測試,發現他們還有這樣的漏洞,依然沒有做補丁。

伺服器訊息區塊

伺服器訊息區塊(Server Message Block,縮寫為SMB)一種應用層網絡傳輸協定,由微軟開發,主要功能是使網絡上的機器能夠共享電腦檔案、印表機、串列埠和通訊等資源。它也提供經認證的行程間通訊機能。它主要用在裝有 Microsoft Windows 的機器上,在這樣的機器上被稱為 Microsoft Windows Network。經過 Unix 伺服器廠商重新開發後,它可以用於連線 Unix 伺服器和 Windows 客戶機,執行打印和檔案共享等任務。(資料來自維基百科,百科內容以 CC BY-SA 3.0 授權)

例如,WannaCry 襲擊了一家公司,這家公司有一個培訓中心,其中一部電腦連接到這家公司本地的網絡,這個時候 WannaCry 就進入到了培訓中心,最後造成了整個公司的問題。所以必須要有很好的補丁、很好的防火牆,不能有 SMB 的暴露。很多時候你也需要讓你的商業合作伙伴也要進行安全風險分析,看看一些服務是否能夠和外網進行分享。

端:我看到你今年出版的新書《隱形的藝術》(The Art of Invisibility),是教給普通人如何才能在互聯網世界裏隱形,裏面包括了一些非常具體的做法。但我們很多資訊都存放在 Google、Facebook 這些平台上,普通人有可能拿回自己的資訊資產嗎?

米特尼克:我寫這本書是受斯諾登事件的影響,想幫助普通大眾更好地保護自己的資訊資產。因為美國政府可以自由地攔截和竊取用戶的個人資訊,我希望能夠告訴大眾如何保護自己的隱私,在他們使用電子郵箱或打電話時,應該怎麼進行更好的防護。

我舉個例子,美國政府會利用一些系統的 bug 進行去匿名化處理,這樣能夠查詢到用戶真實的 IP 地址。關於如何實現去匿名化,這是一個秘密,政府不願意公開。之前,政府抓了一個讓兒童接觸不良資訊的罪犯,但最終放棄起訴他,因為要在法庭要立案,政府就必須先公布是怎樣抓到這個人的;另外,政府也會有情報專員入侵到相關的公司、機構體系中來檢查其中是不是有犯罪嫌疑人。

Google、Facebook、Amazon……他們提供給大眾的是免費產品,比如 Gmail,你是可以免費使用的。之所以不需要付錢,是因為你的個人資訊就是商品,你的個人隱私就是錢。當你去讀他們的用戶許可協議時,肯定就會看到這一條,把自己的隱私資料作為交換使用它的服務,如果你沒有讀這些就不知道,如果你讀的話就知道它是有這個協議的。

端:人工智能時代,網絡安全問題會產生變化嗎?解決方案還是傳統互聯網安全的那一套嗎?

米特尼克:其實我還沒真正接觸過。我認為,到目前都還沒有真正符合人工智能核心工具和技術的產品,所以我不能給用戶提供建議和推薦。我認為目前所有的人工智能產品都是「假的」,也許會有一些「真的」產品,但我們還沒有進行相應的評估和分析。

其實我本人在加州有個公司,這家公司專門開發人工智能工具,我們會在社交網站上去看有哪些魚叉式網絡釣魚(Spear phishing,指只針對特定目標進行攻擊的網絡釣魚攻擊)的工具,然後給用戶提供各種防護建議,它主要是機器學習方式。當然,現在這個工具的開發處於初始階段,我本人也沒有真正參與到人工智能的開發過程當中。所以,在人工智能安全領域,我的參與是比較有限的。

編輯推薦

讀者評論 6

會員專屬評論功能升級中,稍後上線。加入會員可閱讀全站內容,享受更多會員福利。
  1. 錯別字:「並且智慧增加產品的成本」中「智慧」應為「只會」。近期多次看到錯別字,這種問題應該是可以避免的。

  2. 部分赞成楼上。个人感觉访谈内容不够深入,最后几个问题颇有浅尝辄止之感。

  3. 引言騙人!根本就沒談到「互聯網去中心化」的問題。

  4. 端:你现在觉得互联网还是不是自由的世界?
    米特尼克:你确定要在中国问我这个问题吗?
    高端黑……

  5. 麻煩注意一下減少文中錯別字。謝謝…

  6. 看這個採訪,彷彿美国大片中的人物…