54岁的黑客凯文·米特尼克(Kevin Mitnick)第一次到访北京。他带了这几样设备:两个读卡器,与身边的人一扫而过就可以读取对方的卡片信息;一个外接硬盘,插入苹果电脑的接口,就可以轻松破译开机密码。
2017年8月15日,在腾讯举办的中国互联网安全领袖峰会上,身穿西服的米特尼克彬彬有礼地向一位女士借用一张公司大楼的门禁卡,仅花了几秒钟就复制出了另一张,“我可以随意进出你的办公楼了”,米特尼克开心地对她说。凭借这些设备,他可以破解美国各大银行普遍采用的 HID 门禁控制系统。
“我希望告诉大家,我们处于一个多么危险的信息社会。”米特尼克这样解释他的恶作剧。他曾经是危险的制造者——世界最知名的黑客、FBI 的头号通缉犯、《时代》周刊的封面人物和好莱坞的银幕主角。他曾“黑”掉了 IBM、摩托罗拉(Motorola)、诺基亚(Nokia)、网威(Novell)等高科技公司,亦曾“黑”进 FBI 的警报系统而获知 FBI 对自己的追踪计划,还被指控入侵中央情报局。1995年,美国联邦检察院曾以25宗罪名起诉米特尼克,且在审判前就被关押了四年半,这是美国司法史上对一名高智商罪犯所采取的最严厉措施。
据联邦检察官推算,米特尼克盗走的各类程序和数据,总价值超过3亿美金。但米特尼克却一直声称他“窃取了软件源代码,却从来没有出售过它们”,“入侵了企业的电脑系统,却并没有破坏文件。”作为一名黑客,他坚称自己“从未获利”、“仅仅是为了自我挑战”。
纽约时报称他是“网络空间的头号通缉犯”,认为在互联网刚刚兴起时,米特尼克就引发了人们对虚拟空间的恐惧,因此罪孽深重。但他却认为自己是为了追求自由,当发现以军工企业为代表的大集团正在垄断互联网行业,以谋取更多的利润和更强的权力,他便不由自己地想去闯进这个虚拟空间,打破这种秩序。
米特尼克自述,幼时父母离异,母亲的新男友在执法部门工作,却常对他暴力相向,这也让他在少年时候就成了一个蔑视权威的人。他拥有无线电和电脑方面的天赋,记忆力超群(后来他的著作中提到所有的电话、代码都是真实的,即便过了数十年他也依然不忘),便走上了黑客之路。
他的前半生穷困潦倒。他曾经历数年逃亡:伪造身份、不断更换居住城市、夜不能寐,甚至自制过一个警报系统,一旦有警务人员出现在他的生活区域就会自动报警。在他逃亡、入狱的过程中,妻子弃他而去,父亲、弟弟和表姐相继去世,母亲则罹患癌症,他曾万分悔恨没有珍惜与家人共处的时间,反而带给他们无限的创伤。
转折发生在米特尼克获释2个月后,当时他收到了一位参议员的邀请,前往华盛顿作为证人出席一场信息安全的会议。他没想到,政府竟然希望听到他关于如何保护电脑系统的想法,简直“受宠若惊”。那场会议有电视台转播,并由闻名全国的参议员们向米特尼克提问。自那之后,米特尼克不断受邀去各种企业和大学演讲、亮相脱口秀,成为一位明星人物。每当发生一些和信息安全有关的新闻,他就会被 CNN 或 FOX 电视台邀去发表评论。
2001年,一位拉斯维加斯的商人怀疑自己的应召女郎电话呼叫系统被黑手党入侵,希望米特尼克能给出安全指导。这桩生意也成为他转型为“白帽黑客”(White Hat Hacker)的一个起点。
「白帽黑客」获利不菲。政府和互联网巨头都在招募「白帽黑客」。譬如 Facebook 和 Twitter 通过漏洞众测平台 HackerOne 开放自己的系统,让黑客在尊重隐私、不违反规则的前提寻找安全漏洞并报告。Facebook 会为每个程序故障付一万美金左右,Google 曾为漏洞付出15万美金的高价。
米特尼克称自己想做一个“道德的黑客”——“使用自己的技术进行渗透测试,评估公司的安全防御机制,识别物理设施、技术和人员的安全控制弱点,在这些弱点被坏人利用之前增强防御。”越来越多的公司高价聘请他做安全顾问,他开了公司、雇了经纪人,现在的客户有美国联邦航空局、美国社会保障总署和曾经被他“黑”掉的 FBI。
昔日黑客,成为了他曾反对的公权力的服务者。
米特尼克公司雇用的大量黑客,将他们发现的零时差漏洞(编注:零时差漏洞,0 day exploits,指那些还没有补丁的安全漏洞)出售给政府和商业机构,每个漏洞开价10万美金以上。他曾对《连线》(Wired)杂志公开表示:“我花一个价格从黑客手里买来这些漏洞,再以一个价格卖给我的客户,从中赚取差价。”
往昔的支持者对米特尼克大呼失望。毕竟,他曾是抵制政府强权的标志性人物。在他入狱时,支持者将“Free Kevin”的字样印在T恤衫和汽车保险杠贴纸上。而现在,米特尼克却和政府、商业巨头做起了生意。杀毒软件公司 McAfee 的创始人 John David McAfee 曾公开指责白帽黑客,说他们发现安全系统中的漏洞而索取报酬是一种不道德的行为,“这和海洋学家发现海洋里的微生物,而去索取赏金一样。”而米特尼克曾辩解称自己是有底线的,“从不会将漏洞出售给叙利亚政府或者非法组织。”
近年来,米特尼克的关注焦点从虚拟世界转向现实领域,出版了畅销书《欺骗的艺术》(The Art of Deception)、《入侵的艺术》(The Art of Instrusion)、《隐形的艺术》(The Art of Invisiblity)以及自传《线上幽灵》(Ghost in the Wires)等,成为社会工程学的开山鼻祖。
借米特尼克到访北京的机会,端传媒与他聊了聊黑客生涯、人工智能及互联网去中心化的问题。以下是由文字由记者的采访和米特尼克在中国互联网安全峰会上的对话环节,整合而成。为阅读流畅,部分文字有顺序调整。
端传媒(以下简称端):你还记得自己的黑客生涯是从何时开始的吗?
凯文·米特尼克(以下简称米特尼克):当我还是小孩的时候。10岁的我对魔术非常感兴趣,每个周末我都骑车到家附近的魔术品商店,希望学习一些魔术的技巧。我看到人们在被魔术欺骗时的开心神态,由此产生了人们“乐于被欺骗”的观念,这是影响我生命历程的一种潜意识。
后来,我遇到一个巴士司机,他是一位业余无线电操作员,他可以用摩托罗拉手机收听警用频道,还能像变魔术一样免费拨打电话到世界上任何一个地方。之后,我就开始学习电信知识,我十岁出头时,就拿到了由联邦通信委员会签发的业余无线电操作执照。
Apple 的创始人乔布斯在70年代曾制造神秘的“蓝盒子”(Blue Box),通过模拟电话公司网络上的特定音频而实现免费拨打电话。乔布斯把这些“蓝盒子”销售到校园,从此创造了第一个“苹果产品”,我以前也这样做过。
后来我自学编程。高中的电脑课上,我写了一个程序来盗窃老师的密码。当老师登录的时候,他就不是和操作系统对话,而是在跟我对话。当老师知道我破解了他的密码之后非常惊讶,当时我使用了一个模拟器来窃取他的信息,他知道具体原理的时候又露出了一丝微笑。
那时我就觉得非常新鲜,做黑客非常有趣,这就是最开始的故事。
端:那么,讲一讲你印象最深刻的一次入侵吧。
米特尼克:最赞的一次黑客行为是在我16岁的时候,在麦当劳。
美国和中国的麦当劳不太一样。在美国,大家都可以开车去买麦当劳。顾客开车经过麦当劳的窗口,下单点餐,窗口上有一个扬声器,服务员会透过它回应顾客。
我通过改装两米波段无线电的方式,黑掉了扬声器,让我的声音从扬声器里发出来。当警察来买麦当劳时,扬声器就说:“我们今天不为警察服务!”有女士顾客来了,扬声器就说:“给我看一下你的胸部,你的巨无霸就免费!”
麦当劳的经理赶忙跑出来查看情况,低头仔细研究那个扬声器,我用刺耳的声音透过扬声器大喊了一声:“你在看什么!”把那个经理吓得跳起来。
这个恶作剧真的非常有趣。那时我还是个孩子,但那是我最喜欢的、记忆最深的一次黑客行动。
端:你25岁的时候被捕,等待审判,当时美国政府为什么要把你单独监禁?
米特尼克:那是我第一次被捕,当时在联邦法院(编注:米特尼克曾经在未成年时犯法,当过“少年犯”。25岁被捕是他成人之后第一次入狱),法官旁边有一个公诉人在胡说八道,说我可以造成核浩劫。这个公诉人说如果我碰了电话,就会用电话接通调制解调器,连接到北美空防司令部,发起一个攻击,发射核导弹,从而掀起第三次世界大战。
当时我在法庭上就笑了,但法官没有笑。估计因为这个原因,我在监狱里面被单独监禁了8个月。
(在米特尼克的自传中提到,单独监禁的牢房仅有10英尺长、8英尺宽,他每日对着屋顶40瓦的电灯,连去淋浴都要带着手铐和脚铐。)
端:你现在觉得互联网还是不是自由的世界?
米特尼克:你确定要在中国问我这个问题吗?
我觉得,要谈自由,就不应该有任何限制。但毕竟每个国家都有自己的法律。仅从互联网角度来讲,我认为,只要你能够合法地进行互联网浏览,那就是一个自由的互联网世界。当然,这并不是说你有机会去利用漏洞。只要你能合法地(传播)互联网信息而不受到限制的话,它就是个自由的边界。
端:你现在在中国用什么手机和邮件系统?
米特尼克:和你一样,我用苹果手机,iOS10.3.3 系统,以及最新的版本 Gmail。iOS 比 Android 安全,因为苹果对 iOS 的安全性很重视,也愿意(在安全上)投入更多资源,他们对找出 iOS 漏洞的“白帽黑客”最高会奖励20万美元。
端:“白帽黑客”一般在做什么?
米特尼克:对于白帽黑客来说,我们做很多研究工作和测试,发现很多产品的 bug,再把 bug 报告给厂商,由他们来解决。
拿物联网举例。现在有很多智能城市、智能家电和智能汽车,其实我认为是“脆弱城市”、“脆弱家电”和“脆弱汽车”。因为所有的设备都有可能被黑客利用。政府应该专门成立一个部门,让这些物联网设备发布之前经过安全验证,只有安全的产品才能销售。
中国也是一样,中国的物联网应该更多地采取密码的形式,而不是默认频距的形式。之前出现的很多安全问题就是默认频距造成的。对于物联网厂商来说,不管他们在开发摄像头,还是开发婴儿监视器时,都应该把安全放在首位,不然就会被坏人利用。
但我现在没有看到有效的激励措施让厂商去关心产品是否安全,唯一能够想到的就是,如果媒体报导了产品安全的漏洞,就会给他们的产品形象带来负面影响,他们才有动力去改善。毕竟,提升产品安全并不能给他们带来直接利润,并且智慧增加产品的成本。
并且我认为,应该让这些厂商证明是不是开展了相应的代码审查(Code Review)工作,是不是部署了最佳的安全实践,当然,如果已经采取了相应措施,但产品还是有漏洞的话,就应该让他们免予处罚或进行较轻处罚。但如果厂商(在安全检查方面)无所作为,却带来了相关的不良影响,这就要负责任了。
端:能否回顾一些美国互联网历史上的黑客大事件,以及你觉得谁应该承担责任?
米特尼克:恶意攻击其实在我从事黑客职业之前就已经有了。我能想到的,包括勒索软件及其他恶意攻击,比如金融诈骗、银行卡欺诈,以及窃取知识产权,都会造成公司巨大的损失;还有盗窃行业机密,这会给竞争对手带来很大的损失。
为什么 WannaCry 这么出名?因为很多公司没有做补丁。修复漏洞的补丁在之前已经发布,但被受害者忽略了。两年之前,我就看到一些航空公司有这样的漏洞;两年之后,我做了一个测试,发现他们还有这样的漏洞,依然没有做补丁。
例如,WannaCry 袭击了一家公司,这家公司有一个培训中心,其中一部电脑连接到这家公司本地的网络,这个时候 WannaCry 就进入到了培训中心,最后造成了整个公司的问题。所以必须要有很好的补丁、很好的防火墙,不能有 SMB 的暴露。很多时候你也需要让你的商业合作伙伴也要进行安全风险分析,看看一些服务是否能够和外网进行分享。
端:我看到你今年出版的新书《隐形的艺术》(The Art of Invisibility),是教给普通人如何才能在互联网世界里隐形,里面包括了一些非常具体的做法。但我们很多信息都存放在 Google、Facebook 这些平台上,普通人有可能拿回自己的信息资产吗?
米特尼克:我写这本书是受斯诺登事件的影响,想帮助普通大众更好地保护自己的信息资产。因为美国政府可以自由地拦截和窃取用户的个人信息,我希望能够告诉大众如何保护自己的隐私,在他们使用电子邮箱或打电话时,应该怎么进行更好的防护。
我举个例子,美国政府会利用一些系统的 bug 进行去匿名化处理,这样能够查询到用户真实的 IP 地址。关于如何实现去匿名化,这是一个秘密,政府不愿意公开。之前,政府抓了一个让儿童接触不良信息的罪犯,但最终放弃起诉他,因为要在法庭要立案,政府就必须先公布是怎样抓到这个人的;另外,政府也会有情报专员入侵到相关的公司、机构体系中来检查其中是不是有犯罪嫌疑人。
Google、Facebook、Amazon……他们提供给大众的是免费产品,比如 Gmail,你是可以免费使用的。之所以不需要付钱,是因为你的个人信息就是商品,你的个人隐私就是钱。当你去读他们的用户许可协议时,肯定就会看到这一条,把自己的隐私信息作为交换使用它的服务,如果你没有读这些就不知道,如果你读的话就知道它是有这个协议的。
端:人工智能时代,网络安全问题会产生变化吗?解决方案还是传统互联网安全的那一套吗?
米特尼克:其实我还没真正接触过。我认为,到目前都还没有真正符合人工智能核心工具和技术的产品,所以我不能给用户提供建议和推荐。我认为目前所有的人工智能产品都是“假的”,也许会有一些“真的”产品,但我们还没有进行相应的评估和分析。
其实我本人在加州有个公司,这家公司专门开发人工智能工具,我们会在社交网站上去看有哪些鱼叉式网络钓鱼(Spear phishing,指只针对特定目标进行攻击的网络钓鱼攻击)的工具,然后给用户提供各种防护建议,它主要是机器学习方式。当然,现在这个工具的开发处于初始阶段,我本人也没有真正参与到人工智能的开发过程当中。所以,在人工智能安全领域,我的参与是比较有限的。
錯別字:「並且智慧增加產品的成本」中「智慧」應為「只會」。近期多次看到錯別字,這種問題應該是可以避免的。
部分赞成楼上。个人感觉访谈内容不够深入,最后几个问题颇有浅尝辄止之感。
引言騙人!根本就沒談到「互聯網去中心化」的問題。
端:你现在觉得互联网还是不是自由的世界?
米特尼克:你确定要在中国问我这个问题吗?
高端黑……
麻煩注意一下減少文中錯別字。謝謝…
看這個採訪,彷彿美国大片中的人物…