电脑犯罪的历史与现状

我(Jeff Atwood)写过一篇文章“I Was a Teenage Hacker”(我10几岁时曾是一名黑客),描述了我在1980年代后期使用计算机做过的一些非法之事。我那时犯罪了吗?我真的是一名罪犯吗?我不这么认为。说白了,我那时还没有聪明到足以对社会构成威胁的程度。即便是现在,我也没达到那种水平。

不过,确实有两本经典图书描述了活跃在1980年代的黑客们,而这些人也确实聪明得难以置信。他们的聪明才智让他们变得很危险,足以构成犯罪威胁。这两本书中,一本是《The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage 》,另一本是《Ghost in the Wires: MyAdventures as the World's Most Wanted Hacker》。

                

Cuckoo(布谷鸟)是大约发生在1986年的一次恶意犯罪,它很可能是黑客攻击第一案,而且肯定是通过计算机黑客攻击从事国际间谍活动的首例知名案件。这本书在1989年最初出版的时候我就读过了,如今读起来,它仍然是一本扣人心弦的调查故事书。CliffStoll是一位富有远见的作家,他很早就认识到:对于真正厉害的罪犯来说,计算机和新兴互联网世界里的信任关系是很容易被攻破的!

布谷鸟又名杜鹃,体形大小与鸽子相仿,多数居住在热带和温带地区的树林中,叫声特点是四声一度——“布谷布谷,布谷布谷”——所以俗称布谷鸟。大约有35%的布谷鸟以寄生的方式养育幼鸟,它们自己不会做窝,也不孵卵,平均每年产蛋2~10个,却把产的蛋放在画眉、苇茑的巢窝里,让这些鸟替自己精心孵化。——译者注

对于Kevin Mitnick的所作所为,我不确信是否都是非法的。但不容置疑的是,他在当时绝对是世界上最高水准的电脑罪犯。

Kevin Mitnick(凯文·米特尼克),1963年出生于美国洛杉矶,被称为世界上“头号电脑黑客”。他入侵过北美空中防护指挥系统、太平洋电话公司的通信网络系统、联邦调查局的网络系统、以及多家世界知名高科技公司的电脑系统,也许他的技术并不是黑客中最好的,但是其黑客经历的传奇性足以让全世界为之震惊。凯文于19952月被捕入狱,2000121日假释出狱。之后他开始写书,著作有《欺骗的艺术》(The Art of Deception)和《入侵的艺术》(The Art of Intrusion)。凯文如今已是一名专业的网络安全咨询师。他还依然年轻,他的故事还远远没有结束……——译者注

到1994年,他已经成为FBI(美国联邦调查局)通缉的10大要犯之一。《纽约时报》还曾头版头条刊登过对他的追捕令。如果要问电脑犯罪和黑客攻击是何时进入公众视野、并且从此阴魂不散的,应该就是从那时开始的吧。

Kevin Mitnick在《Ghost in the Wires》一书里非常详细地讲述了他自己的故事。在一些科技类连环漫画中,你也可以看到关于Kevin的故事,只不过多了些艺术加工。我建议你还是去读一读Kevin的原著,毕竟那是来自当事人的第一手资料。我对这本书可谓爱不释手!早在好多年以前,Kevin就已经完全改过自新了。他还写了好几本书来记录他的黑客技术。他现在还做起了咨询顾问,帮助更多公司提高他们的电脑安全性。

这两本书记录了我们所知道的所有电脑犯罪的起源。当然,跟1985年比起来,我们现在面临的问题要大得多,哪怕只是因为如今有多得多的电脑、电脑之间的互联程度要高得多,这些情况已经远非那个旧时代的人们能够想象得到的了。然而,真正让人吃惊的是:自从1985年以来,电脑犯罪的技术却几乎没有什么改变。

关于现代电脑犯罪——所谓“现代”,我指的是2000年以后——最好的介绍性书籍当属《Kingpin:How One Hacker Took Over the Billion-Dollar Cybercrime Underground》。现代电脑犯罪更像是你在黑白电影里看到的那种经典犯罪——主要就是窃取一大笔钱。只不过如今已经不再像《邦妮和克莱德》里描述的那样暴力抢银行了,现在有了电子的方式,主要通过ATM机和信用卡来实施犯罪。

《邦妮和克莱德》又名《雌雄大盗》,它无疑是亡命者公路电影的经典之作。这部电影根据真人真事改编而成。Bonnie Parker Clyde Barrow是美国历史上著名的一对雌雄大盗,在1930年代横行德州,持枪抢劫银行,最后被警方击毙,是耸动一时的社会新闻。——译者注


《Kingpin》同样是一本引人注目的书,作者是Kevin Poulsen——又一位很有名的、而且已经洗心革面的黑客。这本书我已经读了两遍,它写成于故事中的主人公在2002年出狱之后。我发现书中的下面这段文字最具启发意义:

Kevin Poulsen(凯文·普尔森)与Kevin MitnickAdrian LamoJonathan JamesRobert Tappan Morrisgeek并称为“世界五大黑客”。他们都曾经从个人喜好出发,攻击过众多国际性大公司或者组织。——译者注

Max以前的一个在硅谷的客户想要资助他,给了他一个5000美元的合同,任务是为客户公司的电脑网络做渗透测试。这个公司很赏识Max,他们其实并不指望他能有所突破。但Max却不这么想,他很认真!Max对公司的防火墙连续攻击了数月,期望通过一次快速胜利来让自己蜕变成“白帽黑客”。但他惊奇地发现,这事没那么简单。因为公司提升了安全防御水平,他以前熟悉的攻击点都无效了。他始终无法突破客户的网络。面对这仅有的一个客户,他百战百胜的骄人纪录受到了挑战……

Max越是发力,越觉得自己无助而失落。最后,他尝试了新的方法。与其在固若金汤的服务器上寻找突破口,不如把目标转向内部雇员。

这种“客户端”的攻击正是如今大部分人司空见惯的黑客攻击——一封垃圾邮件进入你的信箱,邮件里有一个貌似贺卡或趣图的链接;如果你点击它,并且你忽略相关的警告信息,那么一个可执行的(恶意)程序就会被悄悄下载……

黑客并非都是黑的,那些用自己的黑客技术来做好事的黑客们叫“白帽黑”。他们测试网络和系统的性能,来判定它们能够承受入侵的强弱程度。世界上的五大白帽黑客包括Stephen WoziakTim Berners-LeeLinus TorvaldsRichard StallmanTsutomu Shimomura—译者注

说得太对了!当今的黑客没人愿意采取正面进攻的方式。那样做胜算实在太小!恰恰相反,他们大都采用迂回战术,瞄准了所有公司的软肋——那就是公司内部的用户。《Kingpin》里提到的Max甚至自诩道,“我自始至终都对我100%的成功率很有信心!”这是一种新形式的黑客攻击。真的是这样吗?

《Ghost in the Wires》给我们揭示了很多惊人的内幕,但最惊人的不是KevinMitnick作为一名电脑黑客技术有多么厉害(尽管他的技术确实很棒),而是他通过随意交谈的方式从别人那里套出关键信息是多么有效、极具破坏性。他有几百种微妙、聪明的方法,使得他屡屡得手。无论是在1985年还是2005年,当使用电脑的那些人懵懂无知地点击“跳舞兔”的时候,不管你的电脑系统达到了多高的军事安全级别都是无济于事的。“社会工程”(socialengineering)是有史以来最可靠的、很有生命力的黑客技术。它会比我们所有人活得都长!

如果要找一个2012年的例子,那就看看MatHonan的故事吧。它绝不是罕见的个案!

在下午450分,有人登录了我的iCloud账号,然后修改了我的密码,因为我收到了一个关于密码重置的确认消息。我的密码有7个字母和数字混合组成,而且我在其他地方从没使用过这个密码。我在很多年前设置这个密码的时候,这个密码在当时算得上是相当安全的。但在使用了这么多年之后,它现在已经不再安全了。我猜他们使用了“蛮力攻击”获得了我的密码,然后又修改了我的密码,以达到损害我的设备的目的。

我最早是在Twitter上看到这个故事的。我最初的反应是怀疑,因为我不认为有谁会大动干戈地使用“蛮力攻击”,而“蛮力攻击”是为傻瓜准备的。(参见作者的另外一篇文章“Brute Force Key Attacks Are for Dummies”)。猜猜看,到底是怎么回事?来吧,猜一猜!

你有没有碰巧想到“社会工程”——一种恢复用户账号的流程?你猜中了!

当黑客无意中发现了我的Twitter账号之后,他便悄悄地开始研究起来。我的Twitter账号连接了我的个人网站,在那里他发现了我的Gmail地址。Phobia猜测这也是我为Twitter使用的email地址,于是他转向了谷歌的账号恢复页面。他其实并没有尝试恢复账号。这只是一次侦查任务。

因为我并没有打开谷歌的双重认证功能,当Phobia输入我的Gmail地址之后,他可以看到我为账号恢复而设置的另一个email地址。尽管谷歌把那部分信息做了模糊化处理,把很多字符串都显示成了“*”,比如m****[email protected],但黑客还是得到了足够的信息。他中了头奖!

既然他已经知道了我的email地址,他只需再知道我的账单地址和信用卡的最后4位数字,他就能让苹果公司的技术支持人员给他重新发送一个账号密码。

那么,他是怎么获得那些关键信息的呢?其实很简单,他根据我个人网站的域名做了一次“主人是谁”的搜索,轻轻松松就获知了我的通讯地址。如果被攻击对象没有域名,黑客也可以到SpokeoWhitePagesPeopleSmart上去查找他的信息。

获取信用卡号码就需要费一些周折了,但它同样利用了公司的后端支持系统……首先,你打电话给亚马逊,告诉他们你是某个账户的主人,你想给那个账号追加一张信用卡。你需要提供的信息仅仅是账号的名字、关联的email地址和账单地址。然后,亚马逊会允许你输入一张新的信用卡。(Wired网站就使用假的信用卡号码,这些号码由某个网站产生,并且完全遵从行业内公认的信用卡有效性自检算法。)然后,你就可以挂电话了。

www.wired.com是一个美国科技新闻网站,专注于发布关于技术的热点事件、新闻评论和对技术的未来展望,以及技术在社会各个方面的应用。——译者注

接下来,你再打回去,告诉亚马逊你忘记了账号的登录密码。只要你提供名字、账单地址以及你在前一次电话里给他们的新信用卡号码,亚马逊就会允许你为你的账号追加一个新的email地址。然后,你可以去亚马逊的网站,把重置过的密码发送到新的email地址。这样你就能看到这个账号关联过的所有信用卡,尽管不是完整的号码,而只是最后4位数字。但是,据我们所知,苹果公司只要求那最后4位数字。

Mat Honan文中提到的Phobia只是一个未成年人,他做这事只是为了好玩。他的一位朋友是一名15岁的黑客,他曾经盗用了一个叫“Cosmo”的账号,也正是他发现了上述通过亚马逊获取信用卡信息的方法。这年头,10几岁的黑客到底都是些什么人啊?!

Xbox游戏玩家相互之间是通过他们的玩家标签认识的。在年轻的玩家中间,拥有一个简单如“Fred”的标签显得酷很多——没人喜欢“Fred1988Ohio”。在微软加强安全措施之前,在Windows Live上获得一个重置过的密码仅需提供账号名字以及关联信用卡的最后4位数字和过期日期。(通过这种方式,玩家可以抢劫一个很酷的标签。)Derek发现,拥有“Cosmo”玩家标签的那个人在Netflix上也有一个同样的账号。Derek最终变成了Cosmo……

“我给Netflix打了电话,这太容易办到了!”Derek沾沾自喜地说,“他们问,‘你叫什么名字?’我说,‘我叫Todd(瞎编的)。’”Derek还给了他们他的email地址,然后他们说,“好的,你的密码是12345。”然后就可以成功登录了。Derek看到了信用卡的最后4位数字。于是他来到Windows Live密码重置页面,输入信用卡主人的姓名、最后4位数字和过期日期,轻松搞定!

这种方法至今仍然有效。Wired有人打电话给Netflix,仅仅被要求提供了账号的名字和email地址,他们就说出了同样的重置后的密码。

所用的方法惊人地相似!Cosmo和Kevin Mitnick之间的惟一区别,只是他们出生在不同的年代。如今的电脑犯罪已经大不一样了,但所用的技术和方法却和1980年代那时候的几乎一模一样。如果你想从事电脑犯罪,你不必浪费时间去学习“忍者”级别的黑客技术,因为电脑不是容易被攻破的薄弱点,人才是

忍者既是武士又是刺客,接受日本忍术的训练(即秘密行动的技术)。忍者像日本武士道和日本武士一样,遵循一套自己引以为荣的专门规范(忍术),与大众的想法相反的是,忍者专门从事间谍活动而不是暗杀。——译者注

你可能感兴趣的:(Coding,Horror)