周一至周五 | 9:00—22:00

这个黑客不太黑

作者: 本刊编辑部

  白帽黑客   多数白帽子黑客所从事的工作就像安全员,他们被聘请攻击客户的系统,以便测试系统能够承受入侵的程度,修补安全漏洞。
  盗亦有道的罗宾汉
  “副总统沃尔登在安保严密的美国海军天文台突发心脏病死亡。这是一起谋杀,恐怖分子在获得其心脏起搏器的编号后,千里之外对起搏器进行控制,令其发出强烈脉冲电流,造成心脏病发的假象。”
  这是热播美剧《国土安全》的情节。“这一情节距离现实并不遥远”,传奇黑客巴纳拜・杰克在博客中写道,他准备在今年的黑帽子大会上“再现”这一情节,他将在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,从而令“遥控杀人”成为现实。
  巴纳拜・杰克是一名出生于新西兰的黑客、程序员和计算机安全专家。他曾花了两年时间研究如何破解自动提款机。2010年7月28日,在美国拉斯维加斯举行的一年一度的“黑帽”黑客会议上,杰克将2台ATM搬到“黑帽”会场上,他刚一执行破解程序,自动提款机便不断吐出钞票,在地上堆成一座小山。这段“提款机破解秀”堪称2010年“黑帽”黑客会议上最为轰动的精彩好戏。他也首次让人们感受到这一可怕的安全漏洞。
  但这一次,杰克没有机会向人们警示心脏起搏器的安全漏洞了,他于2013年7月25日被发现死于公寓内,死因未明。他去世的消息传出后,朋友们痛惜道:杰克的去世,犹如安全领域被凿开一个大洞。
  作为在网络安全领域享有盛名的白帽黑客,巴纳拜・杰克洞悉安全漏洞,但从未借此谋取不义之财。他仅用一根电话解调线,无需银行卡和密码,就令两台ATM吐出所有现金的录像迄今仍是视频网站上的热门,杰克因此一举成名,跻身传奇黑客之列。但其实很少有人知道,杰克本可更早迎来“成名时刻”,他推迟了一年,只因他是盗亦有道的“白客”。
  只是提醒厂家有漏洞
  2008年,杰克花了4 000美元,在网上订购了两台自动取款机,让厂商送到家中。
  杰克对ATM的安全性能产生兴趣。“我注意到,ATM只注重物理安全性能,例如是否固定不易搬动,是否装中央监控。但没人注意软件问题,那些软件的缺陷,多得让我震惊。”
  2009年,杰克找到了远程访问ATM的方法,不仅可以令ATM自动吐钱,他还可以绕过所有身份认证,进入到这些账户中获取密码。当他把这样的报告交到两家ATM生产商手中时,厂家十分不悦。
  亨利・施瓦茨是其中一家厂商的网络安全负责人。“看到自己的产品被人挑出毛病,心里总是不好受的。我和同事决定去见见他,当时我们恨不得把刀插进他的心脏。但杰克非常和善,告诉了我们所有的技术细节。”
  施瓦茨请求杰克不要在当年的黑帽子大会上演示,给他们些时间,找出修复漏洞的方法。
  杰克放弃了这个令他成名的机会,取消演示,为此还遭到不少责骂。施瓦茨说:“现在,我们不仅修复了漏洞,ATM安全性能比之前要强1 000倍。”
  对于暂时放弃演示,杰克认为,“黑客大会的目的绝不是为打算抢劫ATM的人提供方法,我是在确保厂商已修补漏洞后,才做这场演示的。”
  揭短让他成为厂商眼中钉
  去世前,杰克负责研究嵌入式医疗设备的安全措施。嵌入式设备是先进的计算机、半导体等技术相结合的产物,仅在美国,就有逾300万名心脏起搏器使用者。
  但嵌入式设备也隐藏着看不见的风险,杰克生前曾指出,这个设备的系统同样可以被入侵,普通的电脑遭遇攻击,可能损失的只是个人信息或者财产,一旦这些医疗装置遭遇到攻击,它们立刻就变身为夺命杀手。
  他原计划在今年的黑帽子大会上演示这一安全漏洞,他打算扫描9米内的心脏起搏器,覆盖其运行的软件,并向其发送高电压,致使短路。
  早在2012年,他已经做到了用十几米外的笔记本电脑,让心脏起搏器放出高达830V的电压,瞬间置人于死地。杰克说,心脏起搏器有无线接收装置,这些装置存在致命漏洞。
  出于保护生产商,他没有公开发表这段视频,并且将漏洞告知了多家厂商,并希望这些厂商及时改善。“我们研究并不是要打击人们对救命仪器的信心,我们不让技术细节外泄,以防有人在现实中实施攻击。虽然这些仪器受到非法攻击的可能性很小,但无论多小,都必须予以充分关注。”
  2011年时,杰克还发现了胰岛素泵的漏洞――黑客在百米外可操控胰岛素泵令其释放出足够致命的胰岛素,这项发现迫使生产商们审视并改进产品。
  杰克的工作也得到美国政府认可,在他的研究成果上,美国政府问责办公室在去年8月敦促有关机构改善医疗器械方面的信息安全。但医疗设备生产商却不欢迎杰克的研究,“没有人愿意被揭短。”网络安全专家卡明斯基认为,杰克的工作迫使这些厂商不得不投入更多资金提高安全性能。
  这也就是为什么有些媒体和黑客怀疑杰克是被谋杀的,即便警方已经排除这种可能性。
  相关链接:
  凯文・米特尼克:世界上公认的头号黑客。他是第一个被美国联邦调查局通缉的黑客。他曾经攻入五角大楼和美国数字设备公司等机构的计算机网络。
  马克斯・巴特尔:他运营一个盗用信用卡的网站,该网站也是互联网上一个最大的商业犯罪网站。由于窃取了200万张信用卡的信息,欺诈损失达8 600万美元,巴特尔最终被判入狱13年。
  下村勉:抓捕天才黑客凯文・米特尼克,故事被改编成电影《黑客追缉令》。

常见问题解答