注册
登录
| 关键词: nbsp 米特尼克 但是 安全 黑客 一个 现在 一名 电话 凯文 |
(CNN)——曾几何时,凯文·米特尼克这个名字就和黑客画上了等号,一个毛头小子挑战权威的传奇故事。但是米特尼克说,那 些非负面的描述都有些言过其实,都变成不太真实的传奇故事了。 他说,为了满足自己的好奇心入侵商业电脑系统窃取源码,这些是事实。但是他否认了曾侵入NORAD——北美防空联合司令部,或 是曾监听FBI的传闻。 FBI在1995年逮捕了米特尼克,一系列的追踪报道,使他声名狼籍。因被指控进行网络与电脑欺诈而入狱服刑5年。2000年他刑满 释放,而今开了一家计算机安全公司。在和CNN记者Manav Tanneeru的电话采访中,米特尼克畅谈了,他的过去,美国现在的网 络安全状况,还有如何去把握他的名声意味着什么。 CNN:凯文·米特尼克的传奇故事路人皆知,但似乎你本人却对此不以为然。你究竟为何如此出名,还有具体到哪些不实的报道呢? 米特尼克:那些我窃听FBI或是其他类似的情景都来自于像是《战争游戏》、或是《国家公敌》等诸如此类的电影中。太多虚构的事 情与真实的事件结合在了一起,好比当我从摩托罗拉和诺基亚窃取程序代码,当还是名黑客的我窥探源代码时。我复制了一份拿 走,实质上是窃取,为 了一睹为快那些资料。那些在故事中的描述都是真的,那些都是事实……但是,掺杂了太多 不实的叙述…… 虽然我使自己陷入此种境地的,但是由于纽约时报的报道把我描述成一个极度危险的角色,政府加快了对此案件的审理。如果没有 那些故事,我认为,不会造成这种局面,我也许会被起诉,但是至少不会被单独拘禁达一年之久,只是因为惧怕我可能通过一部公用 电话发射核 导弹。 对此我无能为力,因为我得到的法律援助是预算非常有限的公共委派律师。所幸不少指控法庭上并没有成立。如果我入侵了北美防 空联合司令部或是监听FBI,我绝对会因此而遭到控诉。我陷入此种境地,自己是始作俑者。然而由于媒体的报道我被当作“Osama bin Mitnick”处理了(注:本拉登的名字是 Laden, Osama bin)。 CNN:你曾经是国内显赫一时的著名黑客典范。在从监狱释放后,被要求证明给参议院看,所以现在你运营着一家网络安全公司, 那么你更喜欢哪个身份呢? 米特尼克:这很有趣,因为黑客入侵是一种可以同时做用在犯罪行为或是合法行为上的技能,尽管我以前因对知识的好奇心和刺激 欲所驱动,擅闯雷池,但现在的我是作为一名安全领域的公众人物。我收入的1/4来自安全评估工作,这样人们可以雇佣我入侵他们 的系统,发现他们的安全问题,在被那些意存不轨的家伙发现之前打上补丁。 所以,这很妙,因为你还能在道德范畴上做出其他的犯罪行为吗?你不能无视道德,你不能违背道德。这是一种讽刺。但是值得了解 的是,我能用我的专业背景和技术知识切合实际的回馈社会。 CNN:你回到网络世界,特别是网络安全领域中这个既成的事实,可能会带来一些不安全感和猜疑。你的公司如果被人们接受呢? 米特尼克:在安全领域中是有一些人不信任我。他们是我的竞争者,有他们的处事方法。但是我可以肯定的是,我们公司没有接到 因为担心我的过去而打来的电话,相反的是,有不少联系我们的人,都和我们保持良好的生意关系。我还从未接到一个电话 说:“喂,因为这事、那事,我 们不能聘请你的公司。” 我不清楚到底占几成,但是确实有人由于不了解事情真相而不与我们公司合作。他们只是知道我是一名曾经入狱的黑客。 CNN:你作为一名违法黑客的时代,当时的环境,黑掉一台计算机有多简单呢?现在比较起来安全性增加了多少?你还能像以前那 样为所欲为吗? 米特尼克:现在在我被聘请侵入电脑时,有时居然比以前更容易。其实这是取决于客户本身,——或者你是在进行有道德黑客行 为,就取决于目标是谁。这是可易可难的。现在的环境,唯一有所变化的是技术上的问题,但是社会工程学方面,却始终如一。所 以,这都取决于业者、计算 机系统的操作员、计算机网络的警觉性,而且问题绝对不在于,我们是否生存在一个更安全的世界上? CNN:那么现在,普通用户有多么容易受到攻击呢?当然,这取决于他们安装了多少安全设备,但假设他们已得到最有效的安全保 障,还有多容易呢? 米特尼克:去年我和今日美国报社以及在旧金山的另一家公司合作做了一项研究,我们建立了一个实验网络,由运行着不同操作系 统的六种网络所组成。为了监测这些系统在没有任何防御下多长时间会被入侵,我们把该网络接入旧金山的一条DSL线路。令人乍 舌的是,其中一台计算 机在接入网络4分钟后就被侵入了。 CNN:你之前提到社会工程学。这一项事情对你而言意味着什么? 米特尼克:社会工程学是利用、影响和蒙骗一个人的方法,一名企业中可信任的内部人员,完成一个要求,而这个要求通常会泄露 信息或者是完成某种对入侵者有利的事情。它能够使需要黑客用技术漏洞访问网站这样复杂的事情,变得像打一个电话那样简单。 CNN:当时的黑客他们是如何利用社会工程学的? 米特尼克:嗯,以Paris Hilton为例吧。她曾在手机上遭到此事,有两个套路让她中招。一个是因为T-Mobile网站本身,另一个是用 她的电话号码在T-Mobile网站上申请重置密码服务,通过短信得到她的新密码,因为表面上手机只在机主手中。 接下来他们做的是,用一个称作来电身份欺骗的技术,能够改变其电话在来电显示上显示的电话号码。因此,他们假扮T-Mobile客 服,给她拨了一个电话,在来电显示上显示的是T-Mobile客服号码,接着他们告诉她说:“网络调整,你有收到一条关于重置密码的 短信吗?请您告诉我们短信的内容?” 而她毫不犹豫地照做了,这就是为什么那些人能得到她的T-Mobile好友信息,电子邮件,等任 何东西。 举另外一个例子,国税局的调查员用办公室的电话做一项安全调查打给100名记录在册的IT业管理者,有35个人毫不犹豫的在电话 中将用户名和密码全盘托出。 所以,这是很大的威胁。一家公司可以花大钱,在网络防火墙、监测系统、加密和其他安全技术上,但是如果一名蓄意攻击者给公司 内部某个可信任的人员打了个电话,而这个人相信照做了,然后攻击者成功侵入,那么花在技术层面的资金完全就一文不值了。 CNN:你有多信任在线银行,以及在线使用信用卡? 米特尼克:我相信在线银行。你知道为什么吗?因为如果有人入侵我的帐号,从我的信用卡和在线银行帐户中欺诈我的钱,猜损失 的是谁?是银行,而不是我。 CNN:那么其他方面呢?你会在线支付或是在线购物吗?我只是好奇凯文·米特尼克是否担心帐户被盗? 米特尼克:有一次曾经有人盗用我的身份申请手机号码。这很糟。我倒希望十年前当我还是个逃犯时他们来盗用我的身份——那才 叫酷。被骗了400美元,他们用的是我母亲在拉斯维加斯的地址,而当时我以本名居住在加州。那其实很简单,因为你要做的只是窃 取某人的社会福利编 号。这又不是火箭上天。 但是,我毫不担心在线使用信用卡。有可能会被截取,但是把我作为个体而言,这不太可能。攻击者的目标可能性较大是银行。这样 他们才能得到很多用户的姓名和密码,获得很多帐号的访问权限,而不是仅仅得到我的。我相信在线使用信用卡比在Macy's百货公 司更 安全,在那里的雇员可以很容易得到信用卡号,或是比进到一家可以得到你信用卡号的酒吧、餐馆消费更安全。 CNN:你现在也算是明星了,至少是被崇拜的人,甚至是作为一名黑客出现在电视剧双面女间谍(Alias)中。你是如何看待自己的 名人效应的? 米特尼克:这很意思,因为我经历了当作威胁性危险人物的经历,并成为黑客标榜人物,导致在犯罪司法体系中带来了负面影响。 但是今昔非比,人们对我的技术感兴趣,如今我臭名昭著的名号在生意上给了我不少帮助。不是因为我过去做过什么,而是因为我 的技术能力众人皆知。 CNN:在此历程中你有所失吗? 米特尼克:不,没有,我并无所失。我很喜欢现在的生活。我很遗憾过去少不经事的我犯下很愚蠢的错误。我很庆幸再次得到机会, 可以用我的能力回来馈社会。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
