黑客的雙重身份

秋　水

黑客(hacker)是IT行業(yè)中喜歡用智力并通過創(chuàng)造性方法來挑戰(zhàn)腦力極限的人。盡管黑客在人們的心目中意味著搗亂，甚至犯罪，但早期黑客在美國的IT界是帶有褒義的，是指那些熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。

不過，今天黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。然而，對這些人的正確英文叫法是Cracker，即駭客。因此有人認(rèn)為黑客和駭客有根本的區(qū)別。黑客是搞建設(shè)，而駭客是搞破壞。但是，今天人們還是把黑客和駭客混為一談。而且，黑客的行為讓人們憂大于喜。

黑道和紅道的交流

從1992年開始，全球的黑客們都有自己的狂歡節(jié)，也是交流大會(huì)或?qū)W術(shù)年會(huì)。這個(gè)年會(huì)每年的七八月份在賭城拉斯維加斯舉行，而且是開兩個(gè)會(huì)。2008年8月6日，第15屆世界黑帽大會(huì)(黑客大會(huì)之一)結(jié)束，接著就開Defcon黑客大會(huì)。在這次會(huì)議上，不僅黑客云集，就連紅道上的諸多高手也參會(huì)或潛伏于會(huì)議。比如，美國國防部、國家安全局(NSA)、聯(lián)邦調(diào)查局(FBI)以及一些警方電腦專家都到會(huì)。他們的目的是既要發(fā)現(xiàn)潛在的危害者和安全漏洞，還要利用這些人，把他們的才能轉(zhuǎn)化到有益于網(wǎng)絡(luò)和國家安全上來。所以，特工們不但潛入世界黑客。大會(huì)，還直接在會(huì)上發(fā)起了招聘信。

就在這次大會(huì)上，黑客們就演示了許多政府部門的安全漏洞。例如，一些黑客(也是安全專家)現(xiàn)場示范，要打開美國五角大樓和英國王室使用的所謂最安全的鎖，簡直易如反掌，而且所需的工具非常簡單。

曾出書教導(dǎo)人們?nèi)绾伍_鎖的托拜厄斯就出席了這次黑客大會(huì)，他在會(huì)上示范如何使用回形針和用玩具塑料片制成的鑰匙來打開美國著名制鎖公司美迪高的鎖。因此，這種對安全的威脅不僅是網(wǎng)上的，而且是現(xiàn)實(shí)中的危險(xiǎn)：出席大會(huì)的政府人員也認(rèn)為這是一種安全威脅。

鎖是安全的象征，因此在黑客大會(huì)或其他黑客的活動(dòng)中，總是以開鎖來吸引人。黑客們還特設(shè)了一個(gè)區(qū)域，教導(dǎo)、學(xué)習(xí)和比賽開鎖。可以看出，黑客其實(shí)是雙重身份。他們既對安全造成威脅，又對安全是一種促進(jìn)。因?yàn)樗麄兡馨l(fā)現(xiàn)很多安全漏洞，無論是網(wǎng)上的還是網(wǎng)下的，從而促使人們改善甚至改革安全防范工作。

例如，就開鎖而言，現(xiàn)在的安全漏洞是顯而易見的。托拜厄斯認(rèn)為，只要能夠?qū)W會(huì)如何復(fù)制鑰匙，就連撬開鎖頭這樣的技能都不必學(xué)了，而要復(fù)制一把塑料鑰匙也根本不難。只要取得原有鑰匙的照片或影印本，然后使用該照片作為模板，剪出塑料鑰匙的形狀就行了。托拜厄斯和他的小組就曾利用信用卡來復(fù)制鑰匙。而且，尤其是隨著互聯(lián)網(wǎng)的普及，人們的開鎖技能會(huì)變得越來越普及。例如，人們可以通過電子郵件互相傳送鑰匙的照片，因而可以很輕易地配制鑰匙開鎖。也因此，未來將出現(xiàn)一種所謂的“鑰匙電郵”的安全威脅。

不過，制鎖公司美迪高聽說后稱，他們的鎖有完美的安全性。但是，他們也勸告使用者保管好自己的鑰匙。顯然，制鎖公司口頭上在否認(rèn)黑客和網(wǎng)絡(luò)對安全可能造成威脅，但確實(shí)已經(jīng)在擔(dān)心這種開鎖行為了。

不過，盡管美國聯(lián)邦調(diào)查局和國防部官員為政府網(wǎng)絡(luò)安全小組招聘人才，但是黑客們并不感興趣。原因是招募的薪水不高，而且黑客習(xí)慣了天馬行空、無拘無束的生活，普遍不適應(yīng)這些特工部門紀(jì)律嚴(yán)明的做法。

“盜”亦有道

雖然是黑客大會(huì)，但其實(shí)更多的是重在技術(shù)交流。黑客大會(huì)創(chuàng)始人杰夫·莫斯1993年創(chuàng)辦Defcon(黑客大會(huì))，1997年創(chuàng)辦黑帽(BlackHat，也是黑客大會(huì))說，黑客大會(huì)包含技術(shù)和社交兩層意義，人們可以學(xué)習(xí)和分享技術(shù)，也可以在這里結(jié)交朋友。

所以黑客們也有明確嚴(yán)明的紀(jì)錄，如果違反，要遭到懲罰。比如“綿羊墻”事件就是這次黑客大會(huì)中的一個(gè)精彩事例。3名來自《全球安全雜志》的法國記者被驅(qū)逐出會(huì)，原因是他們違反規(guī)定入侵了其他記者的計(jì)算機(jī)。

在2002年第10屆黑客(Defcon)大會(huì)上，一群參會(huì)的黑客偶然坐到一起并產(chǎn)生了一個(gè)創(chuàng)意：掃描網(wǎng)絡(luò)，找出那些使用不安全的口令、用戶密碼上網(wǎng)和收發(fā)電子郵件的“呆瓜”。當(dāng)他們破獲一些“呆瓜”的信息后，一些人找了一些餐廳用的紙盤子把“呆瓜”的用戶名及其部分密碼寫在上面，他們又找了一個(gè)橫幅，寫上“被捉的綿羊”，隨后將這些貼在會(huì)場的墻上。但酒店人員出面干預(yù)，他們便把橫幅上的內(nèi)容改成一只受傷的綿羊，綿羊墻由此而來。

綿羊墻的意思也是恥辱墻，意在提醒計(jì)算機(jī)用戶，你很可能隨時(shí)都被監(jiān)視，同時(shí)也給那些參會(huì)的人難堪，參加安全大會(huì)的黑客們還如此不注意安全，就不免遭到被貼到綿羊墻上展示的命運(yùn)。

這次的黑客大會(huì)(黑帽)也有綿羊墻節(jié)目，意在吸引參會(huì)的黑客破獲他人的計(jì)算機(jī)。而入侵通常是黑客安全大會(huì)樂趣的一部分，參會(huì)者被告誡黑客們會(huì)潛伏在大會(huì)的公眾無線網(wǎng)絡(luò)中竊取數(shù)據(jù)信息。被竊取的數(shù)據(jù)然后會(huì)被公布在現(xiàn)場展示的綿羊墻上，讓那些負(fù)責(zé)計(jì)算機(jī)安全的專家感到難堪。

為方便與會(huì)者報(bào)道本次黑帽大會(huì)，會(huì)議組織者在新聞中心架設(shè)了公共Wi-Fi無線接入網(wǎng)絡(luò)，并要求與會(huì)黑客們不得入侵該網(wǎng)絡(luò)，尤其不允許使用“嗅探器”和“得到控制權(quán)”等計(jì)算機(jī)工具(它們既可以是軟件，也可以是硬件)入侵網(wǎng)絡(luò)。但這3名法國記者不聽會(huì)議組織者勸告，使用技術(shù)手段成功入侵該Wi-Fi網(wǎng)絡(luò)，以監(jiān)視其他記者的互聯(lián)網(wǎng)接入和數(shù)據(jù)流量情況。3名法國記者使用的是一個(gè)名為Cain的網(wǎng)絡(luò)嗅探工具，成功獲得了來自國外著名網(wǎng)站e周刊和另一個(gè)媒體CNET News記者的賬號(hào)和密碼，并將其公布在綿羊墻上。

由于記者們違反了規(guī)則，被要求離開大會(huì)。同時(shí)還禁止這3人出席今年的Defcon大會(huì)活動(dòng)。

IT業(yè)界人士認(rèn)為，除了應(yīng)譴責(zé)3名法國記者的惡劣行為外，大會(huì)組織者架設(shè)Wi-Fi網(wǎng)絡(luò)的方式也應(yīng)受到批評。美國隱私倡導(dǎo)組織電子前線基金會(huì)表示，正對《全球安全雜志》入侵事件進(jìn)行評估，以確定是否建議大會(huì)組織者對這3名法國記者提起訴訟。而3名法國記者的老板是法國IT出版商《全球安全雜志》，此雜志也是本次黑帽大會(huì)的贊助商之。一。但會(huì)議組織者稱，在發(fā)生上述侵入事件后，已終止與《全球安全雜志》的合作關(guān)系。

看來，黑客大會(huì)的紀(jì)律還是非常嚴(yán)明的。不過，目前綿羊墻也受到美國聯(lián)邦調(diào)查局和中央情報(bào)局的關(guān)注。

隱憂嚴(yán)重

緊接著黑帽大會(huì)后是2008年8月8日至10日在拉斯維加斯的里維埃拉酒店及娛樂場舉行的Defcon黑客大會(huì)。就在這個(gè)會(huì)議之前，美國聯(lián)邦法官，下令，禁止3名麻省理工學(xué)院學(xué)生在De~on黑客大會(huì)上示范如何入侵波士頓地鐵系統(tǒng)使用的智能票卡。

這3名學(xué)生發(fā)明了一種完全破解查利卡的黑客軟件。查利卡是一種無線射頻識(shí)別卡，是波士頓地鐵T線目前使用的票卡。在參加黑客會(huì)議之前，這些學(xué)生主動(dòng)與麻州主管當(dāng)局接觸，表示他們要在會(huì)議上演示他們的軟件，從而提醒有關(guān)當(dāng)局防范未來可能出現(xiàn)的，地鐵安全漏洞。

但是與官方的接觸并不愉快，因?yàn)閷Ψ揭婚_始就提到聯(lián)邦調(diào)查局(FBI)已對他們展開犯罪調(diào)查。當(dāng)局認(rèn)為，演示這項(xiàng)內(nèi)容將明顯危及公眾運(yùn)輸系統(tǒng)，并且對公眾健康或安全構(gòu)成威脅。但是學(xué)生們的律師庫爾特·奧普沙爾辯解說，學(xué)生只想發(fā)表一場有趣和有用的演說，不會(huì)導(dǎo)致民眾詐騙麻州政府。

于是，有了麻州當(dāng)局對3名學(xué)生的控告。結(jié)果，美國聯(lián)邦地方法官道格拉斯·伍羅克下令，這些學(xué)生不得提供。得以協(xié)助他人以任何實(shí)質(zhì)方法回避，或以其他方式攻擊該系統(tǒng)安全的程序、資訊、軟件代碼或指令。

但是，3名學(xué)生的律師奧普沙爾認(rèn)為，這項(xiàng)暫時(shí)禁止令“侵害了他們的言論自由權(quán)”。而另一位律師則說，法院預(yù)先下令阻止安全研究員(即這三名學(xué)生)是“空前的”作法。當(dāng)然，這3名學(xué)生可以在律師的陪同下出席Defcon黑客大會(huì)，但不能回答問題。(文章代碼：2008)

責(zé)任編輯張?zhí)锟?/p>