「電腦與他的靈魂之間似乎有一條臍帶相連,這就是為什麼只要他在計算機面前,就會成為巨人的原因」。一位辦案人員說,凱文·米特尼克對電腦有一種異乎常人的特殊感情,當美國洛杉磯的檢察官控告他損害了他進入的計算機時,他甚至流下了眼淚。
凱文·米特尼克誰?
他是美國司法部認證的「世界第一黑客」,15歲時僅憑一台電腦和一部數據機,就闖入了北美空中防務指揮部的計算機系統,差點摁下核彈發射系統,引發第三次世界大戰。這件事是黑客史上的經典,五角大樓諱莫如深的醜聞。
1999年米特尼克終於獲准出獄。隨著網際網路的普及,各大公司對信息安全越來越重視,他也從「科技囚犯」蛻變成了享譽全球的網絡安全諮詢師。
2019年9月,湛廬策劃出版了凱文·米特尼克「金盆洗手」後的著作《捍衛隱私》。這位世界頭號黑客把畢生所得的「隱身技術」都寫進了此書,並指出數據時代的真相:每個人的隱私都處在被泄漏的危險邊緣。
一夜爆紅的換臉軟體「ZAO」,因為用戶隱私的問題,被推到了輿論的風口浪尖。除了跟風吐槽,你有想過自己密碼可以被輕易破解嗎?除了你,還有誰在讀你的電子郵件?你的手機就是一個竊聽器?勒索病毒是如何一步步誘惑你落入陷阱的?你是否意識到了隱私的重要性?在你不知情的情況下發生了什麼?
01
3歲父母離異,使得凱文·米特尼克從小就形成了孤僻倔強的性格。學習成績不佳,朋友也寥寥無幾,他的唯一愛好就是擺弄那一台自己「買不起」的別人家的計算機——凱文·米特尼克還在上小學時(70年代末),他對社區「小學生俱樂部」里的一台計算機著了迷。
這一點大概就和現在網癮少年們一樣,網絡,讓他們從厭惡的現實中暫時逃避出來。
凱文·米特尼克在此處學到了高超的計算機專業知識和操作技能,直到有一天,他憑藉學校的計算機闖入了其他學校的網絡系統,並因此被學校開除。
但他對這並不滿足,15歲時,凱文·米特尼克闖入了「 北美空中防護指揮系統」的計算機主機……當時的網絡世界,對於凱文·米特尼克來說,簡直可以為所欲為。
他給各大科技公司帶來了幾億美元的損失,FBI的系統對他來說如入無人之境,逮捕令發出之前就腳底抹油。同時他運用了各種反偵察技術竊聽警探的通話,把FBI特工的身份改成罪犯。
在登上了FBI的通緝名單後,他就開始了逃亡生活。
日裔美籍的電腦安全專家下村勉,因為「受不了」凱文·米特尼克的挑釁,兩個人之間開始了你追我跑的「貓鼠遊戲」,這一鬧就是六年時間。經過整整六年的相愛相殺,下村終於找到了蛛絲馬跡,最終把凱文·米特尼克抓到了手。
在被抓捕時,凱文·米特尼克誠摯地說:「你好下村,我很欽佩你的技術!」
也許是太過於讓人崇拜,在凱文·米特尼克入獄期間,全世界黑客都聯合起來,一致要求釋放他,並不斷攻擊各大政府網站來表達要求。
1999年,凱文·米特尼克終於獲准出獄。得益於一流的「黑客技術」,他從「科技囚犯」蛻變成了網絡安全諮詢師,並創立了米特尼克安全諮詢公司(Mitnick Security Consulting LLC)。聯邦快遞、東芝、IBM等,都搶著僱傭他測試自己公司的網絡安全是否存在漏洞,其客戶包括數十位來自《財富》500強企業和全球許多國家的重要人士。
02
我們自以為的所謂的「安全防火牆」之類的障礙,在凱文·米特尼克這類掌握技術的人的眼裡,都會消失不見,只剩下赤裸裸的數據。而這一切,可能都是你主動送上門的。
在《捍衛隱私》一書中,談到最常見也最關鍵的密碼時,凱文·米特尼克說到:
在 21 世紀,我們可以做得更好。我的意思是要好得多,這要用到更長和更複雜的字母與數字搭配。這可能聽起來很難,但我會向你展示能做到這一點的一種自動方法和一種手動方法。
最簡單的方法是放棄自己創造密碼,直接自動化這個過程。
市面上已經有一些數字密碼管理器了。它們不僅可以將你的密碼保存在一個加鎖的保險箱中,還允許你在需要它們的時候一鍵訪問,甚至可以在你需要時為每個網站生成一個新的、安全性非常強的獨特密碼。
但要注意,這種方法存在兩個問題。一是密碼管理器需要使用一個主密碼進行訪問。如果某人剛好用某種惡意軟體侵入了你的計算機,而這個惡意軟體可以通過鍵盤記錄器(keylogging,一種能記錄你的每一次按鍵的惡意軟體)竊取你的密碼資料庫和你的主密碼,那你就完蛋了。然後那個人就會獲得你的所有密碼。
在參與滲透測試期間,我有時候會使用一個修改過的版本來替代密碼管理器(當該密碼管理器開源時),該版本會將主密碼發送給我們。在我們獲得客戶網絡的管理員權限之後,這個工作就完成了。然後我們就可以使用所有的專用密碼了。換句話說,我們可以使用密碼管理器作為後門,獲取進入王國的鑰匙。
不知道你是否留意到,想跟蹤你的網絡活動情況的不只有網站和移動運營商。某些社交媒體的平台已經變得無處不在——我們在登錄某個社交平台後,就可以使用同一個帳號登錄或註冊各種其他應用。
這種做法有多普遍?
《捍衛隱私》告訴我們,有不止一份營銷報告發現,88%的美國消費者都曾使用過來自 Facebook、Twitter和Google Plus等社交網絡的已有數字身份登錄其他網站或移動應用。(此處,你可以自動切換到中國應用市場來對標)
這種做法被稱為OAuth,即使在不輸入密碼的情況下,它也能讓網絡信任你的身份認證協議。
一方面,這很快捷:你可以使用已有的社交媒體密碼訪問新網站;另一方面,這讓社交媒體能夠收集關於你的信息以便構建營銷檔案。而且不只是單一一個網站,它知道你使用其登錄信息訪問過的所有網站和所有品牌。
使用OAuth時得到的便利讓我們放棄了大量隱私。
Facebook可能是所有社交媒體平台中「黏性」最高的。登出 Facebook可能會取消你的瀏覽器訪問Facebook及其網頁應用的權限。如果你將你的Facebook帳號和其他服務連接到一起,該平台就會獲得你在其他服務或應用上的信息。或許你會使用 Facebook來訪問你的銀行帳號——如果你這樣做了,它就會知道你使用的是哪家金融機構。
若僅使用一種授權認證,則意味著如果有人控制了你的Facebook帳號,這個人就能訪問與該帳號連接的所有其他網站,甚至是你的銀行帳號。在安全業務中,最好永遠不要出現我們所說的單點故障。
儘管要多花點時間,但僅在你需要時登錄 Facebook 並且單獨註冊你使用的每個應用是值得的。
03
李彥宏曾在某個高層論壇說,「我想中國人更加開放,或者說對於這個隱私問題沒有那麼敏感,如果說他們願意用隱私交換便捷性或效率的話,很多情況下他們是願意這樣做的」。
李彥宏所說的「實話」讓我們不禁反思,究竟是從什麼時候開始,我們對自己的隱私保護如此不以為意且習以為常了?
《捍衛隱私》為我們提供了成功實現匿名的9大步驟:
匿名第1步:購買一台單獨的筆記本電腦;
匿名第2步:匿名購買一些禮品卡;
匿名第3步:連接 Wi-Fi 時修改你的MAC地址;
匿名第4步:匿名購買一個個人熱點;
匿名第5步:匿名創建電子郵箱;
匿名第6步:將禮品卡換成比特幣,並進行清洗;
匿名第7步:如果匿名性受損,那就再匿名一次;
匿名第8步:隨機改變你的正常打位元組奏;
匿名第9步:時刻保持警惕。
除了個人手機、家庭攝像頭,到現在越來越多的智能城市、智能家電和智能汽車,這些看上去創造了更美好生活的設備,也是最有可能被利用的。換個角度,我們是不是可以稱它們為「脆弱城市」「脆弱家電」和「脆弱汽車」?
《捍衛隱私》這本書將讓你清醒地意識到,電子郵件、智能聯網汽車、家庭Wi-Fi網絡等原始數據是如何讓我們變得更「脆弱」的。
在這本書的第一部分,凱文·米特尼克會教給你若干隱身大法;在第二部分,他接著揭示了未來世界的「火眼金睛」——讓你和你的隱私更加躲無可躲、藏無可藏;幸好,在第三部分,他又會告訴你若干匿名技巧,讓早已無處遁形的你尋回一些自信。
曾經是被通緝的世界頭號電腦黑客,後來成為《財富》500企業強安全顧問——有誰能比凱文·米特尼克更適合教你如何保護你的隱私呢?
-END-