他15岁时仅凭一台电脑和一部调制解调器成功入侵北美空中防务指挥系统,20岁时攻破五角大楼,30岁时登上美国《时代》周刊的封面,他的名字就是黑客的代名词。如今,他一个华丽转身,由“世界头号传奇黑客”蜕变成世界顶级安全专家,曾经被FBI通缉的头号黑客现在摇身一变成为FBI安全顾问。他的故事被黑客们视为教科书般的神话,他就是凯文米特尼克(Kevin Mitnick)。

这位在黑客界响彻云霄的人物于8月15日悄然来到中国,惊喜现身第三届中国互联网安全领袖峰会(Cyber Security Summit 2017,简称CSS2017),带来了以《One-on-One with the Legend》为主题的精彩演讲,揭秘当初走上黑客之路的轶闻趣事,现场展示了其出神入化的社会工程攻击技术,并在当天下午的《网络“大杀器”的安全之道”》圆桌讨论上,与中、美、俄顶尖安全大咖进行了一场“世界安全技术尖峰对话”。

当天,能容纳数千人的会场内座无虚席,先前持续数小时的网络安全问题探讨让会场氛围稍显严肃,但当主持人“TK教主”于旸介绍凯文米特尼克即将登场时,整个会场立即被粉丝们充满热情的欢呼声、鼓掌声所淹没。于旸说道,当年他正是追随着米特尼克的步伐进入了安全行业,虽然已在这个行业历练了15年,今天见到米特尼克也要尊称一声前辈。这就是被年轻黑客们视为精神领袖、引领无数人踏进安全行业的米特尼克。

米特尼克在CSS2017的演讲以与主持人“TK教主”于旸对话的形式展开。同为世界顶级黑客的于旸,自然深谙如何撬开米特尼克的“话匣子,在他循序渐进地引导下,米特尼克现场爆料自己成为传奇黑客的一些有趣经历,包括最难忘的攻击事件、被美国FBI单独监禁的原因等等,其中不乏一些十分有趣的故事。

米特尼克表示,自己当初走上黑客之路是因为童年时对魔术产生的浓厚兴趣。年仅10岁的米特尼克每周末都会骑车到魔术商店,盼望能从中学习一些神奇的魔术技巧。后来,通过自己的摸索成功破解了固线电话,可免费将电话拨打到世界任何一个地方。那时的米特尼克将这些破解技术认为不过是进阶的魔术技巧,也许,后来的几大著名黑客攻击事件也是他在互联网构建的魔术世界。

谈到自己最喜欢的一次黑客攻击行为,竟然不是入侵北美防空指挥系统、攻破五角大楼这些被大家广泛传颂的事件,而是中学时一次黑掉麦当劳点餐系统的经历。当然,头号黑客这样做并不是为了自己免费吃汉堡,而是为了恶作剧免费让别人吃汉堡。就像米特尼克自己说的那样,做黑客不是为了钱或者是造成损害,主要是好奇,他更在意的是入侵的过程,而非结果。

提起被美国政府单独监禁的原因时,米特尼克在现场回忆:“第一次被捕时,当时联邦法庭认为我对国家安全是一个非常大的威胁,一定要确保我在监狱不要接触到电话,他们认为一旦让我接触到电话,就会利用这个电话拨打调制解调器的号码,发起另外一个攻击,可能会启动第三次世界大战”。其实,公诉人的担忧也绝非向壁虚构,当时的米特尼克可谓美国史上最危险的黑客,随意出入多个世界级公司的计算机系统,摧垮全球金融秩序,无人能阻挡他的进攻。由于对米特尼克的强大攻破能力感到害怕,美国政府将其在监狱中单独监禁了一年。当被问起是否还在从事黑客活动时,米特尼克表示,“这是一个最好的时代”,随着互联网的普及,各大公司对信息安全越来越重视,很多公司会高额聘请他来做安全系统测试,今天依然有黑客活动,但现在是合法地去做。

作为“世界头号传奇黑客”,光说不练假把式,自然要以“技”服人。米特尼克现场花式演绎三波入侵,直接将当天会场的氛围推向了最高潮。

在第一波演示中,米特尼克向大家展示了一张特制读卡器,通过该读卡器可以轻松读取三英尺之内的目标用户信息,将这些信息克隆到另一张空白卡片中便可以完全复制一张门禁卡,从而轻而易举破解被美国各大银行广泛采用的HID门禁控制系统,这样就可以自由出入各大企业了。

进入到企业后,如何在电脑普遍设有密码保护的情景中成功入侵员工电脑?米特尼克紧接着开始了第二波演示,拿出自己的MacBook Air,还原了破解电脑密码的方法,向现场观众展示了通过笔记本电脑的硬件接口破解读取内存当中的密码有多容易,即使电脑处于锁屏状态。

第三波演示不仅同样颇具看点,还与此前肆虐全球的Wannacry勒索病毒有关。米特尼克在现场还原了用户是如何一步步中招的。米特尼克以当天的CSS2017为例,演示自己收到一封大会邀请邮件,邮件里需要确认是否参加会议,用户自然会点开确认参加的连接,而这个过程就是进入到攻击者伪造的虚假网站的过程,整个步骤、网站颜色都和Go to meeting是一样的。而这个时候, WannaCry勒索病毒已绕过防火墙,绕过防病毒软件开始运行了。

正如米特尼克在现场演示的攻击一样,黑客攻击的手段变化多端,攻击的范围无所不及。提升用户的安全意识迫在眉睫,当被主持人“TK教主”于旸问到究竟该如何提升用户的网络安全意识时,米特尼克强调,网络安全应该成为一个主流的事情,全民网络安全意识的提升可以从以下三点入手:首先,政府机构可以通过媒体等舆论阵地,宣传网络安全的重要性,尽可能避免公众成为黑客攻击的受害者;其次,应该针对企业进行网络安全培训,教会企业如何应对钓鱼攻击,避免因网络攻击而带来的经济损失;最后,要在学校进行网络安全教育,要让学生从小培养网络安全意识。此外,米特尼克还在当天下午的圆桌论坛上坦言,因为网络攻击而遭受巨大经济损失的企业或受害者的数量远远比新闻报道中多,而对付攻击最好的办法是主动找出漏洞、部署补丁,防患于未然。

头号黑客凯文米特尼克的此次现身,无疑是CSS2017最令人期待的环节,甚至堪称今年中国安全界最振奋人心的重磅消息。这位平日里只能从传奇故事里听说的黑客不仅来到中国,还为现场观众准备了500份礼物。相信其传奇的人生经历将激励更多年轻的追随者投身至安全行业,而其攻破神技也警示我们提高全民网络安全意识的重要性与必要性。腾讯希望以本届CSS安全领袖峰会搭建的平台为契机,有越来越多的全球顶级黑客,安全企业到这样一个情报共享、技术协同的合作平台中来,分享信息安全尖端技术,共同探讨网络安全新形势,连接数字经济发展的新机遇。

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

作者 admin

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注