在这个世界上,有一批人被上帝亲吻过
人们通常用“天才”来形容他们。
在网络的世界中,有一位神一般存在的人
他曾在20世纪80年代,通过网络攻击使美国五大企业遭受巨额损失;
他因网络犯罪入狱三次,全世界黑客联盟声援请求释放他;
他的传奇事迹被好莱坞拍成电影,被撰写成书;
他曾是世界第一黑客,却让无数网络安全研究专家顶礼膜拜;
他现在是一名杰出的网络安全咨询师,却仍是天下黑客心目中最钦佩的大神。
他的名字叫凯文·米特尼克(Kevin Mitnick)。
一、天才少年的成神之路
凯文·米特尼克1964年出生在美国西海岸的洛杉矶,在那个网络安全和黑客这两个词还没有被很多人所提及的时候。米特尼克的父母在他三岁时就离异了,他与母亲一起生活。不知是天才的独特预兆,还是家庭的影响,米特尼克从小沉默寡言。 但他却很喜欢计算机。 相传,米特尼克小时候喜欢玩当时的一款热门游戏“滑铁卢的拿破仑”。根据很多专家的尝试,这款游戏最快需要78步能使拿破仑杀出重围到达目的地——巴黎。令人吃惊的是,米特尼克很快便带领拿破仑冲出了包围圈 。两天以后,米特尼克只花83步就让拿破仑逃过了滑铁卢的灭顶之灾。 而一周后,米特尼克就达到了与专家一致的水平——78步。随后,米特尼克便将“拿破仑”扔进了储物箱里,并淡淡地对母亲说:“已经不能再快了。”当时米特尼克年仅4岁。 后来的事情就如许多能人志士小时候的叛逆事迹一样,米特尼克用社区小学俱乐部的电脑联入其他学校的网络系统,被发现后遭到了退学。但是这又怎么能阻挡他体内的“洪荒之力”呢?随即,他又使用社区的网络分别入侵了一些企业、大学和政府部门的网络系统。米特尼克怎么想的我们不知道,但是从他接下来试图破解美国高级军事密码的行为来看,他对于网络入侵的野心可不止于此。 他当然成功了。在成功闯入“北美空中防护指挥系统”之后,米特尼克又把目标转向了美国著名的“太平洋电话公司”的通信网络系统。他更改了这家公司的电脑用户中一些知名人士的号码和通讯地址。结果,太平洋公司不得不作出巨额赔偿,然而在这个时候,太平洋公司还以为是自己公司的电脑系统出了问题。 米特尼克做这些事情的时候,不过十几岁。
二、三进三出,博弈FBI
都说米特尼克是史上第一个因为网络攻击犯罪而入狱的人,有趣的是,在别人口口相传他的这个经历的时候,“入狱”仿佛变成了一个褒义词。事情还是要从太平洋公司说起,当太平洋公司经过多番排查,发现公司的电脑并没有任何故障的时候,终于有人后知后觉,可能是遭到了网络攻击!与此同时,米特尼克也找到了新“玩具”:联邦调查局的网络系统。他在FBI的网络中发现他们正在调查一名黑客,而且这个黑客正是他自己!然而米特尼克并不认为这个能由自己在其网络中自由出入的联邦调查局能弄出什么名堂来,所以并没有放在心上。不久,FBI找到了米特尼克。由于当时网络犯罪很新鲜,法律也没有先例,法院只有将米特尼克关进了“少年犯管所”,而且没过多少时间就被保释了出来。他当然没有改掉之前的坏习惯,在很短的时间里,接连进入了美国5家大公司的网络,破坏其网络系统,并造成这些公司的巨额损失。1988年他因非法入侵他人系统而再次入狱。由于重犯,这次他连保释的机会都没有了。米特被处一年徒刑,并且被禁止从事电脑网络的工作。等他出狱后,联邦调查局又收买了米特尼克的一个最要好的朋友,诱使米特尼克再次攻击网站,以便再次把他抓进去。结果——是的,米特尼克上钩了,但毕竟身手不凡,在打入了联邦调查局的内部后,发现了他们设下的圈套,然后在追捕令发出前就逃离了。通过手中高超的技术,米特尼克在逃跑的过程中,还控制了当地的电脑系统,使得以知道关于追踪他的一切资料。后来,联邦调查局请到了被称为“美国最出色的电脑安全专家”的日裔美籍计算机专家下村勉。下村勉开始了其漫长而艰难的缉拿米特行动。他费尽周折,马不停蹄,终于在1995年发现了米特尼克的行踪,并通知联邦调查局将其捉获。1995年2月,米特尼克再次被送上法庭。在法庭上,带着手铐的米特尼克看着第一次见面的下村勉,由衷地说:“你好呀,下村,我很钦佩你的技术。”这一次,米特尼克被处4年徒刑。在米特尼克入狱期间,全世界黑客都联合起来,一致要求释放米特尼克,并通过为不断的攻击各大政府网站的行动来表达自己的要求。这群黑客甚至还专门制了一个名为“释放凯文”的网站。1999年米特尼克终于获准出狱。出狱后他便不断地在世界各地进行网络安全方面的演讲。
三、弃暗投明,由“黑”变“白”
黑客也分为很多种。
所谓“黑帽”黑客指的就是大家传统理解上的黑客,他们往往利用自身技术,在网络上窃取别人的资源或破解收费的软件,以达到心理或者金钱上的获利。而“白帽”黑客指的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。
1999年米特尼克出狱后,正式变成了一名白帽黑客,进而成为了今天的网络安全咨询师。在网络安全领域,攻与防像是太极的两端,对于米特尼克的攻击才能来说,角色转变为防护者也仍然是神一般的存在。
由东软网络安全事业部副总经理张泉,业务拓展总监于江、车联网安全研发中心主任陈静相组成的东软NetEye精英团队,在今年的RSA Conference世界顶级信息安全峰会中有幸遇到了米特尼克本人。
于江说,很早就知道这个大神,可以说是偶像级的人物,也曾一度把自己的QQ昵称改叫米特尼克(虽然他被下村勉逮到进过监狱)。看过他写的《欺骗的艺术》,他在安全技术及社会工程造诣非常人所及,是值得一生仰望的偶像。
东软NetEye团队与米特尼克合影
偶像给予我们的力量是惊人的。
如果米特尼克是上天派来开拓网络安全在这个地球上的发展进程的,那么我们则是在他的道路上添砖加瓦的人。
带着对网络安全事业的一份赤诚,作为领先网络安全产品及服务供应商的东软NetEye,还有很长的路要走。
在观看米特尼克演示如何通过多途径信息关联查询到个人隐私信息之后,更加意识到了网络安全之路上我们任重道远。东软NetEye业务拓展总监于江在RSA Conference结束后,一直在思考“什么是安全”。这个问题,至今也并没有一个准确的答案。
这个问题是我们需要一直去探索和思考的问题,
也许它的答案永远都在变,
也许我们永远不可能给它一个完整的定义。
但是我们会带着技术与责任,一直奔跑在寻找答案的路上。