萨米不想成为每个人的英雄。他甚至都不想要新朋友。
但是由于几行巧妙的代码,在不到一天的时间内,他成为了当时最流行的在线社交网络上超过一百万人的“英雄”和“朋友”,我的空间。
大约在2005年10月4日午夜,在洛杉矶,当时19岁的黑客Samy Kamkar释放了后来被称为“ Samy蠕虫”的病毒,它可能是传播速度最快的计算机病毒。一次,这种病毒永远改变了网络安全的世界。
Kamkar于16岁高中毕业,并在17岁时创立了一家名为Fonality的软件创业公司。他说,他只是想打动他的技术朋友,仅此而已。一切都在一周前开始,坎卡尔告诉我。当时,MySpace为用户提供了许多自定义配置文件的自由,从而允许使用HTML代码,这导致了色彩丰富,而且查看配置文件通常很麻烦。
“一旦我能够做到这一点,我意识到我实际上可以在页面上做任何事情。”
但是,并非MySpace上的所有内容都是完全可定制的。例如,用户只能上传12张照片。有办法解决吗?Kamkar他开始四处游荡,试图看看他是否可以欺骗MySpace做网站不应该让用户做的事情。他很快找到了方法并上传了13张照片。
当涉及到“关系”字段时,用户也只有少数选择。有一个带有标准选项的下拉菜单:已婚,单身,恋爱中,还有其他几个选项。当时有个女朋友的坎卡尔(Kamkar)希望能够选择“亲密关系”。随着更多的黑客入侵,他也这样做了。
“当我能够做到这一点时,我意识到我实际上可以在页面上做任何事情,”他告诉母板,回忆起那个重要的夜晚。
SAMY KAMKAR在洛杉矶家中的计算机上工作。图片:主板
在接下来的一周中,Kamkar编写了一个脚本,该脚本对于任何其他用户都是不可见的,并将迫使所有访问他的个人资料的人将他添加为朋友。该脚本还将在该人的个人资料的“我的英雄”类别下添加一行:“但最重要的是,萨米是我的英雄。” Kamkar意识到,如果脚本只对页面的访问者有效,那么他将触及的人很少,因此,他对脚本进行了编程,使其也可以复制到访问者自己的个人资料上。
那时,他制造了一种自传播蠕虫。
他告诉我:“我认为一个月内我会得到100或200个朋友。” “其中有些人会抱怨,我将其删除,仅此而已。没什么大不了的。”
第二天早上,他醒来,有200个朋友请求。那是他“吓坏了”的时候,因为蠕虫的传播速度比他想象的要快。一小时后,请求数量增加了一倍,然后呈指数级增长。那时,卡姆卡说他以匿名方式向MySpace发送电子邮件,提醒他们该蠕虫以及一种阻止蠕虫的方法,但他没有回音,直到今天,他仍然“不知道”是否有人真正看到了该电子邮件。
到下午1:30,他已经积累了超过2500个朋友,并收到了6,000多个请求。
坎卡尔在当晚发表的博客文章中写道:“这已经失控了。人们向我发消息说,由于我的名字被列入了他们的'英雄'名单,他们已经举报我为'黑客'。” 发生了 “显然,人们之所以生气,是因为他们从朋友列表中删除了我,查看了其他人的页面甚至自己的页面,并立即被我再次感染。我统治。”
他补充说:“我希望没人起诉我。”
几个小时后,Kamkar在Chipotle买了墨西哥卷饼,然后回家再次检查他的MySpace个人资料。那时他有近一百万个朋友的请求。
KAMKAR的MYSPACE个人资料的屏幕截图,摄于2005年10月5日。图片:SAMY KAMKAR
他在博客中写道:“这是官方的。我很受欢迎。”
在MySpace崩溃之前的几分钟,这个数字攀升至超过一百万。该公司必须使站点脱机以查明发生了什么并清除蠕虫。
坎卡尔告诉我:“我感到非常糟糕。我真的很难过。” 但是那时他什么也做不了-一旦释放了蠕虫,就已经太迟了,因为蠕虫会自行传播。大约两个小时后,该站点恢复正常。他的个人资料已被删除。
KAMKAR在2010年于拉斯维加斯举行的BLACK HAT安全会议上发表演讲。
事件发生几个月后,Myal担任安全总监,库纳尔·阿南德(Kunal Anand)说,在萨米蠕虫病毒袭击时,该公司“几乎没有安全团队”,并且“不知道该怎么办”。
没有人能看到像Samy的蠕虫一样的东西。这是一个“行业分水岭的时刻,” Anand告诉我。
网络安全专家,WhiteHat Security公司的创始人Jeremiah Grossman说,Samy蠕虫是“该行业中的每个专家都在等待的时刻之一”。
Kamkar的蠕虫尽管迅速传播,但最终还是无害的:所做的只是与他成为朋友,并在感染者的个人资料上加上了几句话。但是,如果卡姆卡曾经是罪犯,或者怀有更狡猾的意图,那么他本可以接管他们的账目。正如格罗斯曼(Grossman)所说,坎卡尔(Kamkar)“有能力去做他想做的任何事情”。
年轻的黑客使用的技术称为跨站点脚本攻击,通常缩写为XSS,攻击者将恶意代码注入网站,诱骗该站点以及用户的浏览器来执行代码。据格罗斯曼称,了解网络安全的人们都知道,可以像坎卡一样攻击大多数站点,但是直到Samy蠕虫之前,没有人认真对待这一威胁。
“(萨米)永远改变了这个行业。”
格罗斯曼在电话中告诉我:“当时,这是一种非常令人赞赏的漏洞。我们知道每个站点都存在该漏洞,但没有人真正展示出您可以使用该漏洞做什么。” “萨米做到了,他永远改变了这个行业。”
Grossman认为,在发生Samy蠕虫时,80%到90%的网站容易受到类似攻击。这个问题引起了人们的极大关注,以至于Open Web Application Security Project致力于为站点创建API,以使用户可以使用其页面上的代码而不会暴露于XSS漏洞(它们称为AntiSamy Project)。
根据WhiteHat的安全机构2015年收集的数据,十年后,只有47%的网站可能具有相同的漏洞。如果没有Kamkar蠕虫引起的注意,也许这仍然是一个更普遍的问题。
在未来的几年中,网站和浏览器将增强其针对跨站点脚本攻击的安全性,但是仍然存在一些值得注意的攻击。例如,在2013年,由于类似的漏洞,几个Yahoo用户的电子邮件帐户被劫持。去年,黑客在Tweetdeck中发现了一个XSS错误,使他们能够强迫讨厌的弹出窗口。今年早些时候,由于XSS漏洞,可以用一个注释来接管WordPress博客。
尽管他的意图是无害的,并且他发表的博客文章解释了为什么他发射了Samy蠕虫,但Kamkar最终还是在法律上遇到了麻烦。
在他释放蠕虫病毒六个月后,特勤局和LAPD的电子犯罪工作组一起获得了搜查他的公寓和办公室的命令。当局查封了他的笔记本电脑,三台台式计算机和其他电子设备,例如硬盘。根据加利福尼亚州的刑法,洛杉矶地区检察官正在追捕他,指控他犯有计算机犯罪,特别是用病毒感染计算机系统。
坎卡尔回忆说:“这有点吓人。” “我什至没有高中文凭,所以我真的很担心他们是否试图从我身边夺走计算机。计算机是我唯一的东西。”
“计算机是我唯一拥有的东西。”
整整一年,卡姆卡尔的律师和检察官来回走访,商讨辩诉交易。Kamkar从未被捕,最终认罪,被判处三年缓刑,几乎没有计算机访问权限。坎卡尔说,他只允许使用一台在当局注册的计算机,而不能访问互联网。
他仍然能够在公司的起步阶段担任管理职务,甚至还被邀请参加有关蠕虫的会议和演讲。在2007年,他在OWASP&WASC AppSec会议上遇到了格罗斯曼,格罗斯曼和他的朋友罗伯特·汉森(Robert Hansen)在那儿出现了定制的T恤,上面写着“萨米是我的英雄”。(类似的衬衫仍然可以在线购买。)
Grossman告诉我,由于他在网络安全领域的影响,Kamkar参加类似活动时无需支付任何费用。
他说:“我们在一起10年后,我认为他不必为喝酒付费。”
蠕虫感染三年后,2008年,卡姆卡尔(Kamkar)回到法院,并解除了缓刑。坎卡尔回忆说,他所做的第一件事是前往圣莫尼卡苹果商店并购买笔记本电脑。然后,他去了最近的星巴克,将其打开并连接到互联网。
但是离线三年后,“我什至都不知道要去哪里,”他说。因此,他访问了几个网站,而不是MySpace,他笑着说,他们花了十分钟在互联网上,然后去看了一些朋友。
Kakmar说,在Samy蠕虫之前,他“非常内向和害羞”,因此“离开计算机的三年实际上对我来说真的很有益,对于一直一直使用计算机的人来说,它使我可以做其他事情。”
但是,一旦回到网上,Kamkar就有了一些可以破解的新东西和一些新技术的想法。他在2010年在拉斯维加斯著名的黑客大会DEF CON 上的首次演讲中展示了其中的一些产品。
从那以后,他离开了自己的创业公司,并进行黑客入侵,揭露Google,Apple和Microsoft如何跟踪客户,以及创建自动劫持无人机,解锁汽车和车库门的设备,所有这些都是以促使公司进入更注重安全性并保护客户。他的出色表现,以及即使使外行人士也能轻松实现黑客和信息安全的天赋诀窍,使他在黑客社区中家喻户晓。
今天,如果他能回到过去,Kamkar说他可能不会释放该蠕虫,尽管远离计算机三年是一种积极的经历,而蠕虫是他成名的号召。
但是,由于Samy蠕虫,互联网的状况可能会更好。因此,从某种意义上说,萨米可能仍然是英雄。