【51CTO.com快译自6月30日外电头条】Kevin Mitnick(凯文•米特尼克),世界公认的头号黑客,第一个被FBI通缉的电脑黑客,他的传奇故事不仅在于如何入侵FBI和Sun、Novel和摩托罗拉的网站,更出名是他和FBI的探员们玩的猫鼠游戏,Mitnick总能领先一步,在探员们搜查他的家之前成功出逃,并且留下恶作剧般的线索。
在与FBI周旋了三年之后,Mitnick于1995年最终被捕,他的电脑入侵和诈骗罪名被判成立,2002年从监狱中释放。然而,他的黑客名声使他获得了利润丰厚的演讲工作,并且开办了一个安全顾问事务所。现在他的工作获得了可观的合法收入,但似乎和以前让他入狱的那些工作非常相同。
现年45岁的Mitnick接受了我们的采访,谈到是什么让他对黑客产生了兴趣,如今的黑客和30年前有什么不同,还有雇用前黑帽黑客做安全工作是否是明智的选择。
问:你是什么时候开始当黑客的?
Mitnick:16岁或是17岁吧,那时我在高中,大概是1979年,那时候我还没有走到违法这一步。
【51CTO编者注】从整体发展情况看,黑客的年龄的确以年轻人居多,特别是处于十几岁到二十几岁的中学生和大学生。调查显示,80后已经成为中国黑客的主力军,而最近披露的案例成,17岁黑客月收入5万。)
问:你是怎么对黑客感上兴趣的呢?
我那时对电话系统非常有兴趣。我当时是一名业余无线电爱好者,还有一个小电台,中学上到差不多3年的时候我遇见一个学生,他的父亲也是一个无线电爱好者,而且能盗用电话线路打免费电话。他能够用电话系统做出令人惊叹的事情。他教给我怎样入侵电话公司的机电系统,并且使用电脑来控制它。我开始着迷,为了能进一步入侵电话系统,我需要熟悉电话系统的电脑。所以这是我涉足黑客的开始。
问:所以,你从盗用电话线路到黑客?
是的。我的第一次黑客攻击是在高中时。我遇见了另一名学生电脑高手,那时候还是Commodore VIC-20的时代。学校为高年级生开设了一个计算机培训课程,但我不是高年级生,他把我介绍给教授。那位教授开始不让我进入机房。于是我给他演示了我在电话系统上的各种技巧,他感到很惊讶,于是准许我进入课堂。我想他一定感到过后悔。
问:你当时能用电话做什么呢?
主要是呼入各种各样的系统。先用语音取得联系,然后用按键控制它们。我还能用我自己的业余电台联系电话系统并控制它们。这在当时是很令我骄傲的,因为那时候可没有今天那么先进的语音应答系统。
问:那么哪次黑客行动是你是最骄傲的?
你想让我说好的还是不好的(笑)?
你可能想听的是我侵入摩托罗拉那次。当时我联系了一位摩托罗拉的员工,说服她给我一份MicroTAC手机代码。我之所以对MicroTAC系列感兴趣是因为它看起来就像是星际迷航里的通话器。我知道他们整个公司都受SecurID的保护,于是我建立了一套复杂的社会工程方案,控制了电话网络,在内部建立回呼号码。因此,每次我都可以取得一个业务经理的RSA SecurID,然后就可以远程访问他们的内部网络。然后我陆续破解了开发服务器,找到各种手机的源代码。我的目的是想了解这些手机的详细工作,还有代码是如何控制处理器的。我不是有意出售源代码。
问:当时你知道这样做是非法的吗?
实际上在70年代没有什么法律是反对盗用电话线路或黑客行为的。在学校,我的父母和其他人实际上还鼓励我。当时如果你能侵入学校的计算机,你会被认为是一个天才。当然今天不同了,如果你再这样做,等着你的不是开除就是警察。
当我开始的时候这应该算是个智力游戏,只是后来他们定了罪而已。可我当时已经对这个冒险游戏上了瘾,即使它成为非法活动后依旧做了许多年。我觉得非常刺激。感觉就像是在走迷宫,怎样想办法绕过障碍。这就像一个巨大的游戏。
问:如果你能回到过去,你还会做相同的事吗?
当然不会,因为现在我变得理智了,我意识到我给网络和系统管理员带来了太多的麻烦。这是错误的做法。实际上我是对系统和安全特别着迷而已,但在当时学校里没有这样的东西来学。你不得不自学。我找到的自学道路是通过黑客,这是条错误的道路,我不会重复。
问:能不能谈谈你在监狱里的时间,你是怎么度过的?
我被关了5年,还有1年的单独禁闭,只因为有一位联邦检察官告诉法官,只要我拿到一部电话,就可以连接到北美防空司令部并且莫名其妙的发射一枚洲际导弹。因此法官显然是参考了电影“战争游戏”里的情节给我判了单独禁闭。我在被关押的四年半的时间里从来没有正式审判。我花了大量的时间学习辩护和阅读案例,并担任律师的助理。最后我意识到所谓公正就是做生意,谁赢谁输还是靠钱来说了算。
我承认我的确做了黑客,但我的目的决不是诈骗,我只是为了挑战。另外我把自己的手机克隆到别的用户也不是进行免费通话,而是要给探员们抓我制造点麻烦。而他们声称我的所有非法入侵造成了3亿美元的损失。他们说我复制的那些代码价值3亿美元,就好像那些早已不再使用的代码从不会贬值一样。
他们告诉我的律师说,如果我不合作认罪,我的案子会旷日持久。所以,我签署了协议,承认造成500万到1000万美元的损失。我不是真心签署的,只是不想坐牢了。我真的不相信我的行动能够造成那样的损失,因为至今也没有公司宣称因为我复制的那些代码而让它们受损。肯定有损失,那就是他们花去的调查和安保的时间,也就是几千美元而已。这是真正的损失。这也是我感到愤怒的原因,我并不是因为我所做的收到处罚,而是做了政府打击黑客活动的替罪羊。
【51CTO.com编者注:黑客造成的损失历来都有争议。据中国国家计算机网络应急中心的估算,目前中国“黑客产业”的年产值已超过2.38亿元,造成的损失则高达76亿元。但也有专家估计,对于企业而言,由于黑客的攻击牵涉到企业机密,很多企业往往选择息事宁人,而不愿意将损失公诸于众。】
问:现在你觉得你的黑客生涯在某种程度上有了些积极的变化?
是的。现在我可以在世界各地演讲,可以尽情的去做深度渗透测试,各种公司请我去测试它们最机密最敏感的数据。我享受着作为一名白帽黑客的工作。因为这是光明正大的,而且还能得到不少报酬呢。
【51CTO.com编者注:就像西部牛仔英雄一样,黑客实际上也有白帽和黑帽之分。白帽黑客是合法的黑客,其现实生活中的身份就是安全专业人士,他们的工作是寻找、测试和修补危机计算机的漏洞,让狂野的互联网更加安全。参见51CTO.com安全频道此前文章《如何当好白帽安全工程师》。当然了,黑帽黑客的吸引力也是巨大的,无论是刺激性还是真实的收入。51CTO此前发表的《当雷锋还是当供货商?黑客的艰难抉择》一文,就介绍了对黑客来说的一些问题和诱惑。】
问:给年轻的黑客们提些建议?
好啊,不要走我的老路,不要违法。如果你喜欢做黑客,热衷于系统安全和渗透测试,如今有许多条正路可以走。不像七八十年代的老黑客,那时候一台哑终端也要卖到2000美元,我们必须要到别人的机器上才能自学成材。今天这已经成为一个巨大的市场了。
问:有人说不应该雇用前黑帽黑客。你是怎么想?
我一直在雇用前黑帽黑客。到目前为止还没什么问题。你应该评估的是他们的技能,成熟度,和他们之前做了什么。他们做黑客的目的是为了盗取信用卡号码在网上买东西,还是为了自己的好奇心入侵系统?你不能把黑帽黑客一棒子打死。有无数改邪归正的例子,比如Frank Abagnale,他是一个最好的例子。还有Steve Wozniak(苹果公司创始人),他早先不也入侵过电话线路吗?
【51CTO编者注】黑客做安全工作的事例层出不穷:黑帽大会和Defcon黑客以及安全会议创始人杰夫·莫斯被任命为国土安全部顾问委员会16个成员中的一员;韩国举办黑客大赛,为政府招揽人才。就在前不久,新西兰18岁少年黑客被该国第二大电信公司雇佣为网络安全顾问,也成为雇用黑客的最新案例。】
问:你现在在做什么呢?
顾问、作者、公众演讲者。我去世界各地演说。这是我的主要工作:白帽黑客、渗透测试、系统强化、培训和教育。另外我正在写我的自传,预计在2010年春天出版。
【编辑推荐】
【51CTO.com译稿,非经授权请勿转载。合作站点转载请注明原文译者和出处为51CTO.com,且不得修改原文内容。】
原文:Q&A: Kevin Mitnick, from ham operator to fugitive to consultant 作者:Elinor Mills
