標籤:

網路釣魚秘聞(一)頭號電腦黑客的社會工程學

05-20
網路釣魚秘聞(一)頭號電腦黑客的社會工程學

來自專欄 一土茶舍

所有的事情都開始於兩個普普通通的單詞Phone和Fishing。單從字面意思看,這兩個單詞是那麼的純良無害,可誰能想到,一旦把它們結合起來就成了人們深惡痛絕的Phishing——網路釣魚。不光是我們,在這個詞的起源地,美國人民被網路釣魚禍害的年頭更長、對社會產生的影響也更深遠,就連喬布斯、沃茲、希拉里?柯林頓這些大名鼎鼎的人物都與這個詞有著千絲萬縷的聯繫。

我們還是從Fishing說起吧。不得不承認,這種隱藏陷阱,誘使他人落入圈套的手法用釣魚來形容再貼切不過了,可惜這並不是Fishing的真正由來。讓我們把目光投向90年代初的美國,那時的網路聊天室還是一派喧囂熱鬧的景象,每天都有大量撩妹和侃大山的網路少年混跡其中,其中也不乏盜版軟體交流團體和兜售被盜賬號的黑客。為了抑制這類交易,違禁詞檢測系統上線了。就好像我們用拼音和星號代替帖子中的某些字眼一樣,盜版團體和黑客開始用「<><」符號替代竊取賬戶活動的措辭,這個看起來像條魚的符號就是Fishing的由來。

早期的網路釣魚技術手段有限,黑客們做的最多的事情是研究人們的心理弱點,然後通過假冒、欺騙、交換等手段直接從用戶那裡套取密碼。後來有位「業內精英」把這些手法歸納成一套理論,這套理論叫做社會工程學,這位精英就是「世界頭號電腦黑客」凱文?米特尼克。

凱文?米特尼克

米特尼克是世界上最著名的黑客,是第一個被FBI懸賞捉拿的黑客,也第一個因網路犯罪而入獄的人。除了推動美國的法治進程以外,還為好萊塢的電影事業做出過貢獻。

有關米特尼克的「傳奇」至今仍在流傳,但是其中有很多是外界虛構出來的。因為無論是計算機網路還是黑客,在當時都是新鮮事物,普通人對此充滿了好奇和想像,為了迎合大眾的需求,媒體自然要竭盡所能的渲染。就好像我國首次發現計算機病毒不久,《電腦報》就詳細解釋了其中的原理,但是「病毒」這個詞還是給了老百姓太多的想像空間,經過短時間的口耳相傳和添油加醋後,很多人就開始帶著口罩操作電腦了。

當然了,即使拋去杜撰的成分,米特尼克的經歷依舊精彩。

  • 出生於猶太家庭的米特尼克從小和母親生活,12歲那年用一台打孔機騙過了洛杉磯的公交票務系統,小小年紀就開始享受「老年卡」待遇。
  • 17歲時在別人的慫恿下黑入方舟計算機系統,複製了美國數字設備公司的操作系統源代碼。同年破解了太平洋貝爾電話公司的系統訪問許可權,為此獲得了體驗少年犯管教所的機會,以及強制心理輔導的名額。
  • 少管所的生活沒能讓米特尼克消停下來,緩刑期間他和朋友黑進了南加州大學的計算機系統,在列印含有賬號密碼的郵件時再次被抓。有意思的是,在他列印的郵件里有一個五角大樓工作人員的校園賬號,這個細節被媒體得知後便出現了後來流傳甚廣的「15歲少年闖入北美防控司令部的計算機,翻遍美國核彈頭資料。」(當時的米特尼克18歲)

電影《戰爭遊戲》劇照

  • 23歲時米特尼克侵入了太平洋貝爾電話公司的所有交換機,並藉此第一次監聽到美國國家安全局的電話。
  • 25歲的米特尼克由於再次入侵美國數字設備公司而被捕,在法庭上,聯邦檢察官指控他對著電話吹口哨就能從北美防控司令部發射出核彈。由於這項指控,人們開始把米特尼克當做電影《戰爭遊戲》中的人物原型。還是因為這項指控,大眾對他的看法從「迷失在網路世界的小男孩」,變成了「讓米特尼克手裡有電話,就像給暴徒手裡一把槍一樣危險。」(電影《戰爭遊戲》上映於1983年,那時候米特尼克20歲,該電影可能受到了他的啟發)

電影《戰爭遊戲》劇照

  • 被關押期間,一個哥倫比亞毒梟許諾給他500萬美金,條件是入侵聯邦監獄的計算機系統並修改記錄將毒梟釋放。米特尼克沒接這個差事,因為守衛不允許他靠近任何電子設備。
  • 1991年米特尼克被釋放了,這讓踏實沒多久的FBI感覺到了不安,於是特工們制定了一個計劃,那就是買通一個黑客誘使他重操舊業。特工們不知道的是,這時候的米特尼克正躺在家裡給特勤局、土地管理局、緝毒署、煙酒槍支管理局和FBI的話務系統充當接線員,「親自」接聽並答覆特工們的電話。
  • 在一次「例行」監聽中,米特尼克聽到早就對他恨之入骨的太平洋貝爾電話公司正在開會討論如何給他設置陷阱,對此他只在心裡表達了智商方面的同情。但是當他在另一次監聽中發現FBI的特工開始討論如何獲得針對他的搜查令,並且已經給他預定好了檢察官和牢房後,害怕了的米特尼克開始了逃亡生涯。

追捕米特尼克的通緝令

  • 逃亡期間的米特尼克開始有點狼狽,不過很快他就利用專長在一家國際律師事務所找了份工作,然後以私家偵探的身份進入到州人口統計局,光明正大了的給自己開具了幾十個不同身份的證明文件。由於相處融洽,走的時候統計局的工作人員紛紛和他擁抱告別,並希望他以後常來玩。

米特尼克的名片

  • 在丹佛上班的同時,米特尼克忙裡偷閒入侵了Sun和Novell公司的系統,大量複製軟體和操作系統代碼。接著又從摩托羅拉、諾基亞和NEC公司獲取了各種新款手機的系統代碼,克隆了上百個手機卡。
  • 1994年,米特尼克開始入侵聖地亞哥超級計算機中心,並戲弄了在此工作的日裔計算機安全專家下村努。這次米特尼克終於遇到了宿命中的對手,兩人由此展開了一場你來我往、驚心動魄、纏綿悱惻……的較量,這場較量後來被拍成了電影,名字略顯俗氣,叫做《駭客追緝令》。

米特尼克的故事遠沒有結束,但是我今天的工作結束了。想知道後事如何別忘了訂閱一下,咱們下篇見。

推薦閱讀:

真的能做到在手機旁邊說話都可以監聽到?
請問如何成為入門的黑客宅,不用像美國大片中的黑客那麼牛?
想成為網路安全技術愛好者(可能是黑客)的話,需要看什麼書?
物聯網安全拔「牙」實戰——低功耗藍牙(BLE)初探 疑問?
若爆發全球性的黑客大戰,哪個國家能贏?

TAG:網路安全 | 信息安全 | 黑客Hacker |