過于自信的黑客,在發(fā)現(xiàn)自己竟然被反黑之后會怎樣?長久、尷尬的沉默,每次如此。
這名惡意黑客老在對我的網(wǎng)絡(luò)地址發(fā)起攻擊,試圖搞癱我的計算機和互聯(lián)網(wǎng)連接。不得已,前兩天給他發(fā)了封郵件,告訴他我知道他是誰,他是干什么的(新晉婚禮攝影師),他的名字(里克),乃至他剛剛?cè)⒌揭晃黄恋墓媚?。通常,這足以嚇退大多數(shù)黑客,但有時候,比如里克這樣的人,百折不撓。
在他的私密Tor即時消息頻道里,里克告訴他的同伴,他準備對我發(fā)起更大規(guī)模的DDoS攻擊。此前他一直用的是小兒科的黑客工具,但這次,他考慮花錢請專業(yè)的黑客服務(wù)攻擊我了。
DDoS攻擊可征用成千上萬臺無辜電腦和設(shè)備,投入到對目標受害者的攻擊中來,是一種破壞性很強,難以阻止的攻擊——不僅僅對我而言,對任何人,任何公司都是如此。數(shù)十上百億比特的持續(xù)惡意網(wǎng)絡(luò)流量可以將最大最有錢的公司(想想谷歌)踢下線。一旦開始攻擊,受害者面臨的可能就是斷網(wǎng)好幾天。
我切入了他的消息頻道,讓他停手。他在回復(fù)上的遲疑,讓我知道,我打了他個措手不及。他劈頭蓋臉地噴了一堆不雅詞匯,說我是他黑客論壇上的一個成員。我回復(fù)說不是的時候,他又來了一輪新的嘲諷,并說我會后悔切入他的私人論壇的。我很禮貌地請他停止對我的攻擊,因為我是真有事兒要干。
第二天晚上大約同一時候,從我互聯(lián)網(wǎng)連接的延遲都能看出,他威脅的DDoS攻擊開始了。如果我不趕緊做點兒什么,那我馬上就會面臨停工數(shù)天的狀態(tài)。于是,必須按時交差的怨念之下,我黑進了他的電腦。
我早已識別出他所用的計算機和軟件(黑客世界里這被稱為“指紋”),我還知道他用了個老舊防火墻來保護自己的系統(tǒng)。我最鐘愛的黑客技術(shù)之一,就是用目標以為會保護自己的軟件或設(shè)備突破他們。于是,利用該防火墻的一個已知漏洞,我侵入了他的電腦,修改了一個文件,留下了一個腳本。然后,我在他的消息頻道里留言,讓他自己去欣賞一下我干的活兒。
我留下的文件本可以在他重啟電腦時格式化他的硬盤,摧毀硬盤上的所有東西。我把腳本中的致命代碼行給注釋掉了,但我隨時可以刪除注釋標記,把無害的腳本重新改回死亡腳本,至少,對他的電腦而言是死亡腳本。
DDoS攻擊馬上就停止了。這位明顯謙遜許多的黑客小子重新回到聊天頻道中,難以置信地問道:“哥們兒,你怎么做到的?”終于,他開始像正常人一樣講話,不再隨便虛張聲勢了。我回復(fù)說:“里克,世界上有很多黑客都比你高明。別再作弄人了,用你的技術(shù)做點好事吧。多花點時間陪陪你的辣妹老婆。終有一天你會踢到鐵板。這只是對你的一個警醒。”
到此為止,我退出了聊天頻道,開始處理截止期限就在眼前的正職。這不是我第一次不得不反擊另一個黑客來獲得安寧,我也肯定不會是唯一一個有此技術(shù)的人。
事實上,我所知道的最聰明的頂尖黑客,都是很不錯的姑娘小伙,而不是毀壞我們數(shù)字生活的惡意地痞。我是個從業(yè)30年的計算機安全老手,一直奮戰(zhàn)在抗黑第一線,身邊戰(zhàn)友無數(shù)。我們的敵人,通常,沒有我們那么聰明。
這并不是說所有惡意黑客都很笨。情況并非如此。只不過,大多數(shù)惡意黑客確實不算太聰明,他們只是普通人水準的智商。一年之中,我或許會看到1到2個聰明的黑客,能干點兒前無古人的杰作。但我遇到的大多數(shù)壞黑客,既不聰明,也沒有創(chuàng)造性。他們僅僅是用用其他聰明黑客之前創(chuàng)建的工具、技術(shù)和服務(wù)而已。好萊塢電影里拉風(fēng)的黑客都是假的,絕大多數(shù)黑客都是平凡的矮矬窮,連編碼設(shè)計個表情符都不會。
如果你想見識真正聰明的黑客,不如去找網(wǎng)絡(luò)安全防御者。他們必須是自己技術(shù)領(lǐng)域里的專家,能夠搞定所有試圖搞破壞的威脅。他們是數(shù)字社會里隱藏的亨利·福特和愛因斯坦。媒體在將惡意黑客描繪成智商超群的天才的時候,防御者卻在收緊大網(wǎng),幫助阻止和逮捕他們。
目前黑客行為幾乎是零風(fēng)險
就像20世紀初的持槍劫匪一樣,今天的黑客也是非常成功的。數(shù)字社會財富的積累速度,遠超安全防護的發(fā)展速度。網(wǎng)絡(luò)犯罪被發(fā)現(xiàn)的幾率相當小,罪犯被逮捕的概率就更小了,幾乎為零??梢哉f,黑客幾乎可以無風(fēng)險盜取千萬美元。
實地搶劫一家銀行,你可能會搶到8000美元鈔票,然后被捕(最新FBI統(tǒng)計數(shù)據(jù)顯示,2014年,55%的銀行劫匪被發(fā)現(xiàn)并逮捕。),再到監(jiān)獄里蹲個幾年。風(fēng)險/收益比實在令人沮喪,導(dǎo)致美國每年發(fā)生的搶銀行數(shù)量不足4000起。
與之形成對比的是網(wǎng)絡(luò)犯罪。FBI稱每個月都會收到超過2.2萬件網(wǎng)絡(luò)犯罪投訴報告,實際發(fā)生的網(wǎng)絡(luò)犯罪只會更多。報告的平均損失在6500美元左右,而26.9萬件犯罪投訴中,只有1500件會被立案,交付司法流程。盡管FBI最新的年度報告并未提及定罪率,其2010年報告,投訴和交付案件數(shù)量差不多的情況下,僅有6起案件被定罪。也就是說,每5萬個受害者,才會有1個網(wǎng)絡(luò)罪犯入獄,而這還僅僅只是報告給FBI的案子呈現(xiàn)出來的比例。
網(wǎng)上盜取100萬美元,卻可以幾乎不用擔(dān)心地享受這白來的財富。法律證據(jù)的收集難度,管轄區(qū)問題(俄羅斯和中國短期內(nèi)都不會理會美國搜查令和逮捕請求),司法部門網(wǎng)絡(luò)犯罪執(zhí)法能力不足,讓網(wǎng)絡(luò)犯罪成為了一項低風(fēng)險高收益的活動。而且,如我上文所說,成為成功的黑客,并不需要多高的智商。小孩子和犯罪團伙都能做這事兒。你所需要知道的,只是這行當里的一些技巧而已。
黑客活動的秘密
黑客活動的秘密就是沒有秘密。黑客活動跟普通工作沒什么兩樣,就像水管工和電工,會用幾個工具,知道幾個技巧,剩下的就是實踐和堅持。大多數(shù)黑客會查找打漏掉的軟件補丁、錯誤配置、漏洞,或者對受害者展開社會工程攻擊。一旦成功,同樣的手法可以復(fù)制千萬次。這太容易太常規(guī)了,以致很多專業(yè)滲透測試員都會在數(shù)年工作之后選擇辭職——因為不再感到有什么挑戰(zhàn)存在。
在我30年的專業(yè)滲透測試生涯中,聘請我的每家公司,我都能在3個小時之內(nèi)就黑進去。聘請我的公司中包含了銀行、政府機構(gòu)、醫(yī)院和各類商業(yè)公司。我只能算是高中畢業(yè),上個野雞大學(xué)都只有0.62的績點而慘遭退學(xué)。真不是塊學(xué)習(xí)的料。
如果按10分制,10分為最佳的話,我可能在6到7分,但我能侵入幾乎任何東西。我與10分黑客一起工作,他們幾乎都覺得自己只是個普通人。他們可以列出他們認為是10分的人。諸如此類。也就是說,很多人都能黑進想黑的系統(tǒng)。全球黑客數(shù)量沒有官方統(tǒng)計,但近10萬大概是有的。幸運的是,他們中大多數(shù)站在正義的一邊。
黑黑客的人
對戰(zhàn)黑客及其惡意軟件的人,從事計算機安全工作,包括滲透測試員、修復(fù)師、決策者、培訓(xùn)師、產(chǎn)品開發(fā)者、安全審計員、作家、密碼學(xué)家、隱私倡導(dǎo)者、安全員、威脅建模者,還有其他各個領(lǐng)域的計算機安全人員。
下面簡要介紹一下幾位非常有趣的計算機安全防御者。
1. 布萊恩·克雷布斯(Brian Krebs)
因挫敗網(wǎng)上幾大臭名昭著的犯罪團伙,而蜚聲網(wǎng)絡(luò)的老牌著名調(diào)查記者。他經(jīng)常揭露匿名惡意黑客的身份,往往導(dǎo)致這些黑客被捕。克雷布斯學(xué)習(xí)了俄語,因而可以追蹤報道俄羅斯網(wǎng)絡(luò)犯罪公司或集團。他在報道犯罪團伙方面實在太成功了,以致黑客經(jīng)常給他寄毒品、假幣或者誣告他綁架人質(zhì),希望他被特警突襲逮捕。他的暢銷書《裸奔的隱私:你的資金、個人隱私甚至生命安全正在被侵犯!》,是對俄羅斯垃圾郵件產(chǎn)業(yè)的重大打擊,揭露出我們的合法公司有時候也會因為經(jīng)濟利益而故意放任網(wǎng)絡(luò)犯罪發(fā)生??死撞妓箤懙臇|西都值得一讀。
2. 布魯斯·施奈爾(Bruce Schneier)
作為多個可信加密密碼的創(chuàng)造者,施奈爾被認為是現(xiàn)代計算機密碼學(xué)之父。他是計算機安全領(lǐng)域頂級杰出人物,經(jīng)常給國會做報告,在大型媒體上發(fā)表文章。如今,施奈爾主要關(guān)心計算機安全事件背后人的問題。任何計算機安全教育培訓(xùn)中,都應(yīng)該強制閱讀施奈爾的文章。
3. 桃樂西·鄧寧博士(Dr. Dorothy Denning)
作為美國海軍研究生院榮譽退休的教授,鄧寧是早期計算機安全先鋒,在計算機加密、入侵檢測、網(wǎng)絡(luò)戰(zhàn)和訪問控制方面做了很多開創(chuàng)性的工作。她發(fā)明了格安全模型,這是很多現(xiàn)代訪問控制模型的基礎(chǔ)。早在網(wǎng)絡(luò)戰(zhàn)概念出現(xiàn)之前,她就在研究網(wǎng)絡(luò)戰(zhàn),撰寫網(wǎng)絡(luò)戰(zhàn)方面的文章。
4. 凱文·米特尼克(Kevin Mitnick)
全球最著名黑客,一度甚至連電話都被禁止使用,不過,米特尼克早已出獄,現(xiàn)在是一名合法人士。如今,他是自己的計算機安全防御公司CEO,經(jīng)常撰寫社會工程和隱私侵犯威脅方面的文章。很多前惡意黑客都不可信,但米特尼克是個例外。
5. 邁克爾·霍華德(Michael Howard)
安全軟件編程方法“安全開發(fā)生命周期(SDL)”的創(chuàng)造者,該方法如今為全球上千家公司所用,持續(xù)減少著軟件中可被黑客利用的漏洞。大多數(shù)SDL的早期批評者,也在數(shù)年觀察之后選擇了采用該方法。
6. 喬安娜·魯特克絲卡(Joanna Rutkowska)
波蘭計算機安全專家,因為公布其藍色藥丸( Blue Pill )攻擊細節(jié)而聞名。該攻擊方法具有獨創(chuàng)性,難以阻止或檢測,防御者們很慶幸黑客還沒使用該方法。她認為自己無法信任任何公開操作系統(tǒng)的安全性,所以她創(chuàng)建了自己“還算安全”的操作系統(tǒng),名為QubesOS。全球最有才的間諜和隱私倡導(dǎo)者都使用她的操作系統(tǒng)。
7. 蘭斯·施皮策(Lance Spitzner)
蜜罐之父。蜜罐就是純?yōu)闄z測惡意黑客活動而設(shè)置的虛假計算機資產(chǎn)(比如:電腦、路由器、打印機等等)。蜜罐被認為是公司企業(yè)可為早期預(yù)警檢測部署的最佳防御之一。當下,施皮策為全球最可信計算機安全組織SANS工作,教授公司企業(yè)快速響應(yīng)惡意計算機入侵的方法。
8. 科馬克·赫爾利(Cormac Herley)
計算機安全研究員,其對數(shù)據(jù)的渴求正在使計算機安全產(chǎn)業(yè)的發(fā)展成為可能。他采用真實數(shù)據(jù)駁斥長久以來的一些安全定勢,比如復(fù)雜長口令的有效性。赫爾利證明,采用冗長復(fù)雜且經(jīng)常更換的口令并沒有多大幫助,這種口令造成的問題比解決的問題還多。他的研究和結(jié)論都是顛覆性的,可能我們要到10年之后才能看到他的建議被采納吧。
9. 邁克爾·杜賓斯基(Michael Dubinsky)
常被攻擊的以色列,是全球皆知的計算機安全軟件強國。杜賓斯基,就是該國以檢測不可檢測之惡意軟件而聞名的高級產(chǎn)品開發(fā)者。他的產(chǎn)品能檢測出追逐公司企業(yè)核心機密的潛藏黑客,而且動作比攻擊者快得多。
這些聰明的防御者,只是“白帽子”黑客大軍的一部分。白帽子們的存在,讓惡意黑客活動一年更比一年難。關(guān)鍵防御群體正在壯大,未來10年,在線網(wǎng)絡(luò)罪犯可能會像傳統(tǒng)銀行劫匪一樣罕見。當然,他們?nèi)詫⒗^續(xù)存在,但人數(shù)會少得多,也更容易被曝光并逮捕。