电脑犯罪的历史与现状

我（Jeff Atwood）写过一篇文章“I Was a Teenage Hacker”（我10几岁时曾是一名黑客），描述了我在1980年代后期使用计算机做过的一些非法之事。我那时犯罪了吗？我真的是一名罪犯吗？我不这么认为。说白了，我那时还没有聪明到足以对社会构成威胁的程度。即便是现在，我也没达到那种水平。

不过，确实有两本经典图书描述了活跃在1980年代的黑客们，而这些人也确实聪明得难以置信。他们的聪明才智让他们变得很危险，足以构成犯罪威胁。这两本书中，一本是《The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage 》，另一本是《Ghost in the Wires: MyAdventures as the World's Most Wanted Hacker》。

Cuckoo（布谷鸟）是大约发生在1986年的一次恶意犯罪，它很可能是黑客攻击第一案，而且肯定是通过计算机黑客攻击从事国际间谍活动的首例知名案件。这本书在1989年最初出版的时候我就读过了，如今读起来，它仍然是一本扣人心弦的调查故事书。CliffStoll是一位富有远见的作家，他很早就认识到：对于真正厉害的罪犯来说，计算机和新兴互联网世界里的信任关系是很容易被攻破的！

布谷鸟又名杜鹃，体形大小与鸽子相仿，多数居住在热带和温带地区的树林中，叫声特点是四声一度——“布谷布谷，布谷布谷”——所以俗称布谷鸟。大约有35%的布谷鸟以寄生的方式养育幼鸟，它们自己不会做窝，也不孵卵，平均每年产蛋2~10个，却把产的蛋放在画眉、苇茑的巢窝里，让这些鸟替自己精心孵化。——译者注

对于Kevin Mitnick的所作所为，我不确信是否都是非法的。但不容置疑的是，他在当时绝对是世界上最高水准的电脑罪犯。

Kevin Mitnick（凯文·米特尼克），1963年出生于美国洛杉矶，被称为世界上“头号电脑黑客”。他入侵过北美空中防护指挥系统、太平洋电话公司的通信网络系统、联邦调查局的网络系统、以及多家世界知名高科技公司的电脑系统，也许他的技术并不是黑客中最好的，但是其黑客经历的传奇性足以让全世界为之震惊。凯文于1995年2月被捕入狱，2000年1月21日假释出狱。之后他开始写书，著作有《欺骗的艺术》（The Art of Deception）和《入侵的艺术》（The Art of Intrusion）。凯文如今已是一名专业的网络安全咨询师。他还依然年轻，他的故事还远远没有结束……——译者注

到1994年，他已经成为FBI（美国联邦调查局）通缉的10大要犯之一。《纽约时报》还曾头版头条刊登过对他的追捕令。如果要问电脑犯罪和黑客攻击是何时进入公众视野、并且从此阴魂不散的，应该就是从那时开始的吧。

Kevin Mitnick在《Ghost in the Wires》一书里非常详细地讲述了他自己的故事。在一些科技类连环漫画中，你也可以看到关于Kevin的故事，只不过多了些艺术加工。我建议你还是去读一读Kevin的原著，毕竟那是来自当事人的第一手资料。我对这本书可谓爱不释手！早在好多年以前，Kevin就已经完全改过自新了。他还写了好几本书来记录他的黑客技术。他现在还做起了咨询顾问，帮助更多公司提高他们的电脑安全性。

这两本书记录了我们所知道的所有电脑犯罪的起源。当然，跟1985年比起来，我们现在面临的问题要大得多，哪怕只是因为如今有多得多的电脑、电脑之间的互联程度要高得多，这些情况已经远非那个旧时代的人们能够想象得到的了。然而，真正让人吃惊的是：自从1985年以来，电脑犯罪的技术却几乎没有什么改变。

关于现代电脑犯罪——所谓“现代”，我指的是2000年以后——最好的介绍性书籍当属《Kingpin:How One Hacker Took Over the Billion-Dollar Cybercrime Underground》。现代电脑犯罪更像是你在黑白电影里看到的那种经典犯罪——主要就是窃取一大笔钱。只不过如今已经不再像《邦妮和克莱德》里描述的那样暴力抢银行了，现在有了电子的方式，主要通过ATM机和信用卡来实施犯罪。

《邦妮和克莱德》又名《雌雄大盗》，它无疑是亡命者公路电影的经典之作。这部电影根据真人真事改编而成。Bonnie Parker和 Clyde Barrow是美国历史上著名的一对雌雄大盗，在1930年代横行德州，持枪银行，最后被警方击毙，是耸动一时的社会新闻。——译者注

《Kingpin》同样是一本引人注目的书，作者是Kevin Poulsen——又一位很有名的、而且已经洗心革面的黑客。这本书我已经读了两遍，它写成于故事中的主人公在2002年出狱之后。我发现书中的下面这段文字最具启发意义：

Kevin Poulsen（凯文·普尔森）与Kevin Mitnick、Adrian Lamo、Jonathan James、Robert Tappan Morrisgeek并称为“世界五大黑客”。他们都曾经从个人喜好出发，攻击过众多国际性大公司或者组织。——译者注

Max以前的一个在硅谷的客户想要资助他，给了他一个5000美元的合同，任务是为客户公司的电脑网络做渗透测试。这个公司很赏识Max，他们其实并不指望他能有所突破。但Max却不这么想，他很认真！Max对公司的防火墙连续攻击了数月，期望通过一次快速胜利来让自己蜕变成“白帽黑客”。但他惊奇地发现，这事没那么简单。因为公司提升了安全防御水平，他以前熟悉的攻击点都无效了。他始终无法突破客户的网络。面对这仅有的一个客户，他百战百胜的骄人纪录受到了挑战……

Max越是发力，越觉得自己无助而失落。最后，他尝试了新的方法。与其在固若金汤的服务器上寻找突破口，不如把目标转向内部雇员。

这种“客户端”的攻击正是如今大部分人司空见惯的黑客攻击——一封垃圾邮件进入你的信箱，邮件里有一个貌似贺卡或趣图的链接；如果你点击它，并且你忽略相关的警告信息，那么一个可执行的（恶意）程序就会被悄悄下载……

黑客并非都是黑的，那些用自己的黑客技术来做好事的黑客们叫“白帽黑客”。他们测试网络和系统的性能，来判定它们能够承受入侵的强弱程度。世界上的五大白帽黑客包括Stephen Woziak、Tim Berners-Lee、Linus Torvalds、Richard Stallman和Tsutomu Shimomura。——译者注

说得太对了！当今的黑客没人愿意采取正面进攻的方式。那样做胜算实在太小！恰恰相反，他们大都采用迂回战术，瞄准了所有公司的软肋——那就是公司内部的用户。《Kingpin》里提到的Max甚至自诩道，“我自始至终都对我100%的成功率很有信心！”这是一种新形式的黑客攻击。真的是这样吗？

《Ghost in the Wires》给我们揭示了很多惊人的内幕，但最惊人的不是KevinMitnick作为一名电脑黑客技术有多么厉害（尽管他的技术确实很棒），而是他通过随意交谈的方式从别人那里套出关键信息是多么有效、极具破坏性。他有几百种微妙、聪明的方法，使得他屡屡得手。无论是在1985年还是2005年，当使用电脑的那些人懵懂无知地点击“跳舞兔”的时候，不管你的电脑系统达到了多高的军事安全级别都是无济于事的。“社会工程”（socialengineering）是有史以来最可靠的、很有生命力的黑客技术。它会比我们所有人活得都长！

如果要找一个2012年的例子，那就看看MatHonan的故事吧。它绝不是罕见的个案！

在下午4点50分，有人登录了我的iCloud账号，然后修改了我的密码，因为我收到了一个关于密码重置的确认消息。我的密码有7个字母和数字混合组成，而且我在其他地方从没使用过这个密码。我在很多年前设置这个密码的时候，这个密码在当时算得上是相当安全的。但在使用了这么多年之后，它现在已经不再安全了。我猜他们使用了“蛮力攻击”获得了我的密码，然后又修改了我的密码，以达到损害我的设备的目的。

我最早是在Twitter上看到这个故事的。我最初的反应是怀疑，因为我不认为有谁会大动干戈地使用“蛮力攻击”，而“蛮力攻击”是为傻瓜准备的。（参见作者的另外一篇文章“Brute Force Key Attacks Are for Dummies”）。猜猜看，到底是怎么回事？来吧，猜一猜！

你有没有碰巧想到“社会工程”——一种恢复用户账号的流程？你猜中了！

当黑客无意中发现了我的Twitter账号之后，他便悄悄地开始研究起来。我的Twitter账号连接了我的个人网站，在那里他发现了我的Gmail地址。Phobia猜测这也是我为Twitter使用的email地址，于是他转向了谷歌的账号恢复页面。他其实并没有尝试恢复账号。这只是一次侦查任务。

因为我并没有打开谷歌的双重认证功能，当Phobia输入我的Gmail地址之后，他可以看到我为账号恢复而设置的另一个email地址。尽管谷歌把那部分信息做了模糊化处理，把很多字符串都显示成了“*”，比如m****n@me.com，但黑客还是得到了足够的信息。他中了头奖！

既然他已经知道了我的email地址，他只需再知道我的账单地址和信用卡的最后4位数字，他就能让苹果公司的技术支持人员给他重新发送一个账号密码。

那么，他是怎么获得那些关键信息的呢？其实很简单，他根据我个人网站的域名做了一次“主人是谁”的搜索，轻轻松松就获知了我的通讯地址。如果被攻击对象没有域名，黑客也可以到Spokeo、WhitePages和PeopleSmart上去查找他的信息。

获取信用卡号码就需要费一些周折了，但它同样利用了公司的后端支持系统……首先，你打电话给亚马逊，告诉他们你是某个账户的主人，你想给那个账号追加一张信用卡。你需要提供的信息仅仅是账号的名字、关联的email地址和账单地址。然后，亚马逊会允许你输入一张新的信用卡。（Wired网站就使用假的信用卡号码，这些号码由某个网站产生，并且完全遵从行业内公认的信用卡有效性自检算法。）然后，你就可以挂电话了。

www.wired.com是一个美国科技新闻网站，专注于发布关于技术的热点事件、新闻评论和对技术的未来展望，以及技术在社会各个方面的应用。——译者注

接下来，你再打回去，告诉亚马逊你忘记了账号的登录密码。只要你提供名字、账单地址以及你在前一次电话里给他们的新信用卡号码，亚马逊就会允许你为你的账号追加一个新的email地址。然后，你可以去亚马逊的网站，把重置过的密码发送到新的email地址。这样你就能看到这个账号关联过的所有信用卡，尽管不是完整的号码，而只是最后4位数字。但是，据我们所知，苹果公司只要求那最后4位数字。

Mat Honan文中提到的Phobia只是一个未成年人，他做这事只是为了好玩。他的一位朋友是一名15岁的黑客，他曾经盗用了一个叫“Cosmo”的账号，也正是他发现了上述通过亚马逊获取信用卡信息的方法。这年头，10几岁的黑客到底都是些什么人啊？！

Xbox游戏玩家相互之间是通过他们的玩家标签认识的。在年轻的玩家中间，拥有一个简单如“Fred”的标签显得酷很多——没人喜欢“Fred1988Ohio”。在微软加强安全措施之前，在Windows Live上获得一个重置过的密码仅需提供账号名字以及关联信用卡的最后4位数字和过期日期。（通过这种方式，玩家可以一个很酷的标签。）Derek发现，拥有“Cosmo”玩家标签的那个人在Netflix上也有一个同样的账号。Derek最终变成了Cosmo……

“我给Netflix打了电话，这太容易办到了！”Derek沾沾自喜地说，“他们问，‘你叫什么名字？’我说，‘我叫Todd（瞎编的）。’”Derek还给了他们他的email地址，然后他们说，“好的，你的密码是12345。”然后就可以成功登录了。Derek看到了信用卡的最后4位数字。于是他来到Windows Live密码重置页面，输入信用卡主人的姓名、最后4位数字和过期日期，轻松搞定！

这种方法至今仍然有效。Wired有人打电话给Netflix，仅仅被要求提供了账号的名字和email地址，他们就说出了同样的重置后的密码。

所用的方法惊人地相似！Cosmo和Kevin Mitnick之间的惟一区别，只是他们出生在不同的年代。如今的电脑犯罪已经大不一样了，但所用的技术和方法却和1980年代那时候的几乎一模一样。如果你想从事电脑犯罪，你不必浪费时间去学习“忍者”级别的黑客技术，因为电脑不是容易被攻破的薄弱点，人才是！

忍者既是武士又是刺客，接受日本忍术的训练（即秘密行动的技术）。忍者像日本武士道和日本武士一样，遵循一套自己引以为荣的专门规范（忍术），与大众的想法相反的是，忍者专门从事间谍活动而不是暗杀。——译者注