【導讀】:凱文·米特尼克是第一個被美國聯邦調查局通緝的黑客,有評論稱他為“世界頭號黑客”。他在15歲時就破解北美空中防務指揮系統成功,在他16歲時就被逮捕,他也因此而成為了全球第一名網路少年犯。破譯太平洋電話公司的密碼,修改上萬美國家庭的電話號碼,被電腦資訊跟蹤機跟蹤並第一次被逮捕。現職業是網路安全諮詢師,出版過《欺騙的藝術》、《入侵的藝術》兩本書。
問:你入侵電話系統與電腦系統的動機是什麼?
答:僅僅是惡作劇,我只是覺得有趣,而且對這類事也很好奇。我想要知道這些系統都是怎樣工作的,特別是作業系統。我讀了他們的原始碼,但並沒有把這些資料出售或是四處 散播。
你原本會認為,如果一個人入侵了一家大公司,那麼他肯定會偷些什麼東西,甚至可能會把這些東西向全世界曝光。但米特尼克並不是這樣的人,他僅僅是想要讀一些原始碼,然後弄明白它們到底是如何工作的。顯然,聯邦調查局認為他的學習手段比起他的自由,價值更高一些。
“我所入侵的公司從來沒有哪家因為我的入侵而報告自己遭受了重大損失。Sun公司沒有停止使用Solaris系統,DEC公司也沒有停止使用VMS系統。”
然而,聯邦調查局卻估計由於凱文的入侵與閱讀程式碼而造成約3億美元的損失。他們估算的總值不僅僅包含了入侵所帶來的直接損失,同時還包括了開發與研究作業系統的全部費 用。他們這樣做是偏激和不公平的,但這樣做是為了傳遞一個資訊給凱文和像他一樣的這類人,告訴他們這樣的行為是不能被容忍的。
法庭審判讓傳遞的資訊變得更加嚴重,儘管並沒有造成什麼實際的損失。沒有任何人,包括凱文自己會說他所做的事情是正確的,但是懲罰必須和所犯的罪行匹配。
“我做的事情是不合法的,早就應該被懲罰,但是這個懲罰應該考慮到我真正造成的那些損失。”
問:這本《線上幽靈》的出版目的是什麼呢?你希望這本書能發揮什麼作用?
答:這本書寫的是我自己的故事,並且我也希望自己的故事能廣為人知。我想讓人們知道真實的故事,已經有太多關於我的虛構與錯誤的資訊了。
問:是“釋放凱文運動”這個組織幫你支付了律師費用嗎?
答:不是的。這一運動只是告訴人們我所受到的不公平待遇,其中包括單獨囚禁、誇大的指控、未充分行使辯護權,以及偏激的過高的損失估計。
問:那你是怎麼付的律師代理費呢?這筆錢一定給你帶來了很大的壓力吧。
答:我有一名法院指派的律師,而且法院並不想在為我指派律師時花太多錢,所以我沒有經過法庭審判就坐了超過4年的監獄,並且其中有大約一年的時間是單獨囚禁的。
問:我聽說包括你在內的很多黑客都被診斷為患有阿斯伯格綜合徵。你對這件事情怎麼看?
答:我的確被診斷患有這種病,不過我想這是律師為了幫助我辯護所做的努力吧。這顯然在我的案子上沒有起到什麼作用。我不認為自己有這個病。我聽說阿德里安•拉莫(Ad rian Lamo)、加里•麥金農(Gary McKinnon)、約翰•德拉浦(John Draper)都患有這個病。我相信約翰•德拉浦可能是真的,不過至於其他人或是Lulz組織的那些傢伙是否患有這個病,我就不清楚了。
問:你真的能通過吹聲口哨就能登入我們的核武器庫麼?
答:當然不能。這是在惡意地誇大事實,就是這樣的一些事情使我被單獨囚禁。因為有一些這樣的指控,他們根本就不允許我使用電話。
問:有沒有哪次入侵是你最喜歡的?
答:入侵麥當勞的通訊系統。那真是太有趣了。
方法是這樣的:顧客會把車停到那個不用下車就能點餐的汽車通道里,排成隊然後向廳裡的售貨員打招呼並且點餐。售貨員也能聽見顧客的聲音,並且給顧客反饋。黑客們可以用 一些改裝的CB無線電裝置或者電話裝置,進入快餐店所設定的無線電頻段中。
“有一個傢伙被弄得非常不高興,於是他出來到汽車通道的揚聲器,想看看到底是怎麼回事。當然,這時候我就在街道對面看著。”
問:現在哪種攻擊威脅是主流的呢?好像純正面的攻擊頻率正在下降。
答:如今成功的攻擊都是混合式的。黑客們將社會工程學與針對性釣魚攻擊聯合起來,從而威脅網路和系統的安全。
這類混合型攻擊技術中的一種叫做“廠商代理攻擊”。這種攻擊方式是冒充軟體服務廠商,找一個公司裡不太會疑心的人,向他要公司正在使用的軟體版本。黑客們除了要這些信 息之外,還會要一個電子郵箱地址,然後就會傳送一封綁有惡意程式碼附件的郵件,目的是植入一個攻擊載荷,這樣黑客們就可以進入公司的內部網路了。
問:從這次訪問中,你好像告訴我們沒有什麼完美的防禦方式,可以把我們在黑客入侵中保護起來,是這樣的麼?
答:可以這麼說。你的系統不可能百分之百安全。你所能做的就是儘可能做好自己的防禦,儘量減少做自己可能受到威脅的操作。你永遠也不可能消除所有威脅。例如,若你在工 作中收到一封帶有附件的電子郵件,那麼你就有風險了。但如果是你的顧客需要傳送這個附件,那麼你就不得不接受這個風險。
問:你最近在幹些什麼呢?
答:我仍然是一位黑客,我現在靠這個賺錢。我以前從來沒有因黑客手段獲得過任何利益。我現在乾的和以前乾的事情,最主要的區別就是我現在做的事情是經過授權的。
問:你用的什麼作業系統?
答:我用的是蘋果Mac系統。這並不是因為它比別的作業系統更安全,實際上它比Windows更不安全。但我用它,是因為它還不在攻擊者的目標範圍內。人們寫惡意程式碼 ,是想用他們的投入來獲得最大的利潤,所以他們的目標是Windows作業系統。需要用到Windows作業系統的時候,我會在虛擬機器中跑。
問:你用Linux麼?
答:是的,我用Ubuntu和Gentoo。
問:你最喜歡的作業系統是哪個?
答:是VMS系統。我一直都很喜歡它。
問:最安全的作業系統是什麼呢?你推薦哪個?
答:我不認為存在著安全的作業系統。8年前,我就已經百分之百地成功滲透測試過所有的作業系統。等下,還有ChromeOS,ChromeOS是目前最安全的,因為它 只有非常有限的攻擊面,幾乎沒有什麼地方可以被攻擊。
問:你還能再告訴我一些關於這本《線上幽靈》的事情嗎?裡面還有什麼你沒有揭露的祕密?
答:是的,在每一章的開頭,我都為讀者設定了一個密碼。如果他們能夠把密碼都解碼出來,那麼我就會記下勝利者的名字,並且為他們提供在聯邦調查局關於我的卷宗中的一些 證據。我想這對於一個對黑客入侵感興趣的人來說,是一個非常酷的紀念獎品。你可以通過閱讀本書來解開這些密碼。我正在為這件事情設立一個網站。
問:你有沒有向一些對你做過錯事的人追要補償,或是做過什麼報復呢?
答:沒有,對任何人都沒有。對於我來說,最好的報復就是這本書能夠馬上在暢銷書榜上排到第八位,這樣我的生意能夠非常紅火,還有我的家庭能夠幸福美滿。
問:你能這麼想真是太好了。不幸的是,我不能像你這麼明智,也不像你這麼寬容。但我很高興你是站在我們這邊,並且用你的力量來為社會做好的事情。