——读《掘金黑客》
"黑客"一词最早开始于20世纪50年代,最早的计算机于1946年在宾夕法尼亚大学诞生,而最早的黑客出现于麻省理工学院,贝尔实验室也有。最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息共享。很多人往往把黑客与骇客浑肴,其实他们存在着本质的不同,通俗上讲骇客是指那些利用漏洞破坏网络的人。在中文世界里随着二者在媒体上的含义越来越模糊,公众已经不太重视二者含义。
说起黑客,大家的第一印象多是凯文·米特尼克(Kevin Mitnick),其被称为世界上“头号电脑黑客”,代表作《欺骗的艺术》。但也有很多鲜为人知的隐藏在暗市中的著名人物,马克斯.维京,本名马克思.巴特勒,代号:幽灵23、冰人、乐善好施、数字、阿飞、大侠。
马克斯出生美国,父亲罗伯特.巴特勒是一名越战老兵和热爱技术的技术迷,马克斯继承了父亲对计算机的热爱,八岁的时候就开始用basic编程。14岁时,父母离异使得马克斯悲痛欲绝,也似乎导致了其双重性格的建立:一种气定神闲,另一种疯狂十足。
在20世纪70年代的传统黑客入侵基本是对电话线路的攻击,马克斯也不例外,他对电话线路入侵进行了深入研究,在使用commodore64电脑的调制解调器搜寻免费的长途代码时,与联邦政府产生了第一次冲突,特情局特工找到马克斯并出示了其对电话线路入侵的证据,由于年少,当时并未受到指控。但紧接着,马克斯在学校胡作非为,兴风作浪,并从化学实验室中偷走了各式各样的化学品,在当时学校,对盗窃化学品的处罚极其严厉,马克思被学校开除,并作为少年犯受到起诉。第一次的刑事判决算不上重罪,但导致马克斯犯罪的任性和顽劣本性已经深根在他的个性之中。
1990年起,世界各地陆续有成千上万的人通过互联网遨游世界,大部分主机分布在国防承包商、军事基地、以及越来越多的高校里,其中TinyMUD是一个网上的虚拟世界,马克斯在TinyMUD里与女友艾米相识也在这里决裂,最终由于马克斯对女友的过分纠缠及过激反应,艾米的父母担心其安危报警起诉马克斯,马克斯被逮捕,并最终判决入狱五年。
在1995年马克斯获得假释,而在其判刑不久英国科学家发明了万维网,陆续网络开始人尽皆知,马克斯也成为其中一员,并找到一份计算机方面的职位,开始光顾一种名为IRC的网络聊天室,这在其十几岁时就有了,如今仍然还在。随着网络的发展,大多数用户转移到易于使用的即时通讯客户端和基于web的聊天系统,停留在IRC的用户,要么是铁杆极客,要么是声名狼藉的骇客和盗版者。马克斯选用了“幽灵23”作为ID在IRC里活跃,在IRC"盗版软件"圈子里,马克斯凭借着出色的电脑技术发现漏洞服务器,将其变成被盗软件的存储器,并添加非法制作的程序拷贝,最终被发现导致马克斯被炒了鱿鱼,此时的马克斯刚获释一年,眼下又是名声扫地。
马克斯.维京这段经历之后马克斯决定重新开始,需要给自己一个没有被过去的荒唐事玷污的名字,于是便有了马克斯.雷.维京。之后在一位程序员的帮助下找了一份系统管理员的工作,但好景不长,由于之前的盗版事件,软件出版商找到马克斯并提起了诉讼,最终软件出版协会愿以3500美元和一些免费的计算机咨询服务来了解此案,并随后将马克斯介绍给了联邦调查局。
接触联邦调查局后,马克斯被告知需要帮助联邦调查局在计算机地下网络里穿行,并强调游戏黑客不再是目标,一种新型的、危险性更大的计算机犯罪正在出现,其中有网络骗子、恋童癖甚至恐怖分子,联邦调查局不再追捕像马克斯这样的人,就这样马克斯在1997年正式加入了联邦调查局,开始帮联邦调查局做事,并陆续提交了多分报告。之后在IRC聊天室里马克斯结交了一个朋友马特.哈里甘,哈里甘仅22岁,在旧金山的金融区开了一家黑客专营店,用于提供“渗透测试”服务,即对客户网络进行黑客攻击并出具一份关于网络安全优缺点的详细报告,可以说是当前渗透测试服务的鼻祖。这对马克斯来说真的是很适得其所,他天生就是搞渗透的料。随后在哈里斯这里,马克斯挣了大钱,也拥有了爱情、工作、家庭。
彼时,一个BIND的缓冲区溢出漏洞爆发。BIND是由美国DARPA资助研究的一个伯克利大学研究生课题,实现可扩展的“域名系统”,即将域名转换为网络能够识别的IP地址。马克斯深知此漏洞的危害,打电话给联邦调查局的联络员反应情况很严重,同一时间针对BIND的漏洞利用程序也被某黑客小组发布在互联网,马克斯在心里开始有了自己的想法,他想以自己的方式发起BIND攻击,而他的程序会在每个发现漏洞的地方将它堵住,并会将攻击限定在最需要安全应急的目标:美军军事和政府行政网站。但是,马克斯的利用代码在将目标漏洞修复的同时,还会埋下rootkit后门,通过该后门,马克斯仍然可以再次任意进入目标系统,就这样,马克斯控制了数千台电脑,可以任意进入美国海、陆、空军系统,五角大楼。只要他愿意,他可以入侵任何他想进入的网络。
然而,随后不久联邦调查局便带着搜查令找到马克斯,他们追查到BIND入侵来源于马克斯的住处,并在其设备中发现了一丝犯罪证据。联邦调查局向马克斯交底:如果马克斯希望得到宽大处理,就必须为他们工作,光写报告并不够。马克斯急于将功赎罪,承诺不要任何报酬,他坚定的认为帮了联邦调查局,他们就会帮他。并在之后的一个任务里,马克斯多次帮助联邦政府抓捕了电话线路入侵者。第二个任务马克斯被派往拉斯维加斯,在这里,马克斯参加了DefCon,DefCon作为全世界黑客盛会,吸引全球的黑客及计算机安全专业人员参与。联邦政府希望马克斯在DefCon结交黑客同行,想办法搞清楚他们的的真实姓名并引诱他们交换PGP秘钥,这令马克斯反感,他心里明白,这些人是他的同类。马克斯将联邦调查局的命令抛之脑后,加入到聚会和讨论中。在会议的一个环节,一位刑事辩护律师格拉尼克讲述了一个案例告诉DefCon的黑客们,即使全力配合联邦调查局,仍然会遭受刑事处罚,并且他们没有任何理由向警方提供任何信息,即使准备与警方合作,也要咨询律师,在达成协议之后再合作。这一席话令马克斯心中震怒,在心里也开始重新考量其与联邦调查局的合作协议,两手空空的马克斯从DefCon回来,之后还缺席了联邦调查局的会议,这一行为受到联邦调查局的警告,并以之前的案子做威胁,马克斯妥协了。之后马克斯被安排对马特.哈里甘进行监听,也就是前文提到的给马克斯提供渗透测试服务工作的老板,这令马克斯觉得自己扮演着终极背叛者,于是未按联邦调查局的要求行动,并请了格拉尼克做代理律师,联邦调查局得知这一情况后,立马终止了与马克斯的线人合作,与其彻底决裂。
白帽黑客随着马克斯公职的结束,联邦政府对他的指控步步逼近,马克斯也开始行动,打造自己作为白帽黑客的名声,打出了计算机安全顾问的招牌,以每小时100美元的价格提供服务,卖点为:渗透测试成功率100%。与此同时,一个名为snort的数据包嗅探软件被发布到互联网,随后作者将程序升级为入侵检测系统(IDS),这令马克斯异常兴奋,并讯速将其特征库增加了一倍多,后来,马克斯将特征作为文件传到互联网,并邀请其它专家贡献规则,将该项目起名为arachNIDS,全称“网络入侵检测系统趋势探索法高级参考库”。这些贡献为网络安全的发展起了巨大推动作用。
1999年,马克斯加入到一家前景很好的风险公司,该公司直接以欺骗黑客为目标,也就是我们目前所知的“蜜罐”项目,马克斯深入的研究了这项与刑侦有关的工作,通过原始的消息包分析进行犯罪重建,并得出令人信服的分析结果,从而揭露地下手段的内幕。尽管马克斯日益认同自己是一名白帽黑客,但并不能使他免于联邦大陪审团的调查,在生活中,来自政府的重负仍旧无声的潜伏着。
2000年春天,一家名为Hiverworld的公司邀请马克斯加入,公司计划开发一款新的反黑客系统,就在入职前夕,联邦调查局特工抓捕了马克斯,指控电脑黑客马克斯.巴特勒非法拦截通信、电脑入侵、私藏被盗密码等15项罪行。马克斯在安全领域的同行陆续给法官写信,称马克斯为该领域的杰出革新者,包括Nessus的开发这雷诺.德雷松赞扬了马克思的早期的支持使得Nessus的开发成为可能,Nessus是当时能够获得的最重要的免费安全工具之一。但最终的判决为:入狱18个月,之后3年监管,在监管期间,未经许可,禁止接触互联网。
犯罪之路2002年8月,马克斯提前释放,开始重新找工作,对于一个有前科的人,面临的机会是非常少的,之前在硅谷的一位客户想帮助他,给了马克斯一份五千美元的合同,对公司网络进行渗透测试。马克斯连续几个月对公司防火墙进行猛烈的攻击,但是结果却出乎意料:他对客户的网络束手无测,100%的渗透成功记录划上了句号,自从入狱以来,公司的安全状况已经大大提高了。随后,马克斯将目标转向了员工个人,攻击奏效了,通过进入员工电脑后,以此为跳板从内部进入了公司网络。但迎接马克斯的并非感激,他的这份报告引发了极大的愤慨,大家认为在渗透测试中使用客户端攻击是极不合适的。马克斯开始疑惑自己在安全领域的发展前景,之前在该领域的朋友均获得了成功,各个风生水起,他努力很久试图通过正当手段挣钱生活,但似乎都不太顺利。也就在此时,此前狱中认识的的狱友杰夫.诺明顿发来的一封邮件开始点燃了马克斯的犯罪之路。
2003年,在狱友诺明顿的引荐下,马克斯与他未来的朋友和犯罪搭档克里斯.阿拉贡见了面,克里斯提供了黑客所需的专业设备。在马克斯的指点下,他们开始了利用无线网络的入侵,此时无线网络开始广泛使用,随之而来的是大量安全漏洞。利用漏洞马克斯可以自由进入金融机构和电子商务网站获取数据,接下来的日子马克斯便四处搜索信号进行入侵,无论获取到什么信息,都来者不拒,也就在这时候,马克斯在利用Google搜索“如何将信息变现时”,发现了真正的犯罪活动的网上窝点:“”卡贩天地”和“幽灵帮”。开始揭开数十亿美金的地下产业链。
卡贩天地汇聚了来自北美和欧洲的几千个成员,其中有身份窃贼、黑客、网络钓鱼者、垃圾邮件发布者、货币伪造者、信用卡伪造者等等,成员基本是讲俄语的国家。卡贩天地向所有人开放注册,是一个成熟的网络集市,当然信用卡信息交易是集市中的主打商品。很快一个效仿“卡贩天地”的网站“幽灵帮”出现,该网站针对的是讲英语的国家,“幽灵帮”的口号是:为喜欢暗地里行动的家伙服务。使它一夜之间成为几乎所有不法行动的课堂和网上超市。几乎所有非法的东西都可以在“幽灵帮”进行交易。当马克斯将这一消息告诉搭档克里斯时,其异常兴奋,当即决定试验,于是在“卡贩天地”里购买了20条信用卡号码信息(称为料),在另一个地方购买了一台“MSR206”(磁卡读写器),连接电脑将料写入到卡中,在当地一家超市中成功消费,不过克里斯从流通的信用卡中看到的是一个更大的布局,他告诉马克斯:想赚大钱,还得靠“料”。
从哪里可以得到“料”,马克斯了如指掌,在“卡贩天地”和“幽灵帮”就有几千个潜在来源,那帮卡贩本人大多不是黑客,只是骗子而已,都会成为他的猎物,要黑他们,肯定不会比黑五角大楼更困难。马克斯利用IE漏洞在网站中投入恶意代码诱骗卡贩点击,紧接着,成百上千的卡贩的电脑被马克斯控制,马克斯成为了卡贩世界中的隐形人,掠夺着卡贩们的非法所得。意外的是在马克斯浏览受害者电脑时,在一个受害者电脑中竟然发现了联邦调查局的报告,说明在黑市中隐藏着联邦调查局的特工。马克思并未揭露此次发现,而是继续潜伏在黑市。
现在马克斯已经有了稳定的盗料渠道,克里斯买了一台用来打印身份证的卡片打印机,开始做起了印制信用卡的生意,然后召集手下的姑娘消费刷卡,买来奢侈品再在eBay这种在线商城转卖套现。
直到有一天,因为马克斯的一次黑客行动,麻烦上门了,一天清晨,联邦调查局搜查了克里斯住所,原因是一家游戏公司的尚未发布的游戏《半条命2》源代码遭到泄漏,联邦调查局通过某些黑客活动追踪到克里斯以前住所的IP地址,克里斯声称是无辜的,但他知道问题出在哪里,马克斯.维京在那期间在他家里住过。当马克斯知道联邦调查局的搜捕行动时,已经做好了证据藏匿准备,所以联邦调查局最终未搜到任何证据。后面由于克里斯的疏忽大意,在刷信用卡时连续失败时被酒店工作人员拨打信用卡公司电话确认,紧接着就被警察局人登门查询,随后克里斯被抓捕,判处三年缓刑。这一事件使得马克斯决定不在把他的同伙当成唯一的依靠,他需要另一个计划。马克斯自己购买了磁卡读写器等设备,开始自立门户,参与利用了银行业历史上最大的安全漏洞,而大多数消费者却毫不知情,这一漏洞给地下卡贩们带来了数以十亿计的巨额财富。
在2004年,马克斯依然低调的出没在这个网络世界的顶级犯罪网站,此时,“幽灵帮”管理员康巴乔尼突然在公告板上发布了一项针对幽灵帮成员的VPN服务提议,有了VPN,卡贩从电脑上传输的信息将被加密。但这一VPN的公告却令马克斯心有疑惑,VPN有一个众所周知的缺陷:网络上的任何信息都必须经过一个中枢点传输,而这个不加密的中枢点很容易被窃听,或者像有的会员说到如果联邦调查局想干什么的话,可以直接进入到数据中心,改变VPN信号装置配置并进行记录。事实证明这一多虑是准确的,马克斯在随机黑掉一些卡贩电脑时,竟然发现了一条发送给“幽灵帮”管理账户的信息,而该信息看起来很像是联邦探员给告密者发布的命令,结合以前关于蜜罐的相关经验马克斯感觉有人试图将“幽灵帮”变成一个终极大蜜罐。后面的事实证明“幽灵帮”管理员康巴乔尼正是联邦调查局的线人。后续可以预见的是“卡贩天地”和“幽灵帮”网站相继关闭,多数成员被捕,彼时黑市成员人心惶惶。
卡贩市场此时的马克斯依然在互联网上搜寻着目标,一次偶然机会瞄准了一家餐馆销售终端机的后台系统,这里面包含着每一张消费者信用卡的全部磁条信息,这是马克斯第一次拥有的第一手料,而且都是新鲜的有品质保证的料。后续经过多次尝试,马克斯终究无法从“幽灵帮”垮台后涌现出的诸多新论坛中找到一个安身之所,于是下定决心,如果要出售卡料,唯一明智的就是建立自己所能控制的平台。
2005年6月,马克斯注册了“卡贩市场”(cardersmarker.com),其在后续成为史上最大的一个黑市交易场所,马克斯费了大量精力打造卡贩市场,并给自己取了另一个代号:“冰人”,在2005年末马克斯以“冰人”的身份推出了“卡贩市场”。“幽灵帮”的陨落就是因为检查官证明了网站创建者本身参与买卖并使用了偷来的数据,而运营一个网站本身并不违法,这就是马克斯的推论。所以,马克斯以“冰人”的身份作为“卡贩市场”的代言人,但其另一个身份代号“数字”则负责对卡料数据进行买卖。
马克斯利用“数字”的化名经营着自己的生意,并获得了巨大回报,在2006年6月,虚拟网络控制台应用软件realVPN出现了一个严重的安全漏洞,利用该漏洞马克斯可以自由进入毫不设防的机器,包括警察局系统,甚至监听911报警电话,以及温控系统,当然最感兴趣的还是餐厅的终端机系统,也就是钱。于此同时,马克斯通过黑客手段陆续攻击了英文和东欧的黑市论坛,直接拖取数据库后执行删库操作,俗称黑吃黑,这在当时影响非同凡响,通过这几次的行动,大家全都知晓了“冰人”的大名。马克斯通过对偷来的数据处理后全部纳入到自己网站的数据库中,因此这些卡贩可以使用老的账户密码登录他们的新家,此时“卡贩市场”的规模已全然超过了鼎盛时期的“幽灵帮”。马克斯通过群发邮件的方式向新会员宣告了本次强制合并。在这个传统上由东欧卖家把持的市场中,马克斯成为了世界五大料贩之一。
也在此时,可以预见的是联邦调查局的线人已然也潜伏进了这种地下黑市。后续在克里斯的怂恿下,马克斯开始渗透银行网络,并陆续黑进了一些金融公司,在受害人硬盘搜索敏感数据,嗅探银行内部网络,盗取密码。后面在与“黑市”的黑客较量中,马克斯让“冰人”的名号出现在了美国发行量最大的日报上。
终结前面提到联邦调查局的线人,代号“普斯林特老师”。其实“冰人”及另一个代号“地窖”的黑客有发现其作为线人的证据,并开了一个在线审判,但在联邦调查局的配合下,并没能让其他会员信服。线人“普斯林特老师”继续开展卧底行动,在对用来传递恶意软件的假冒网站进行分析时发现同一个用户曾经注册过另外一个地址:cardersmarker.com,即“卡饭市场”,马上意识到该发现的重要性,“冰人”把自己定位为一个清白的网站运营着,但现在表明他还是一个唯利是图的黑客,他侵入了美国五大信用卡发行商的网络。同时,在城市的另一头,特情局的探员也发现了关于“冰人”的情况:一个告密者透漏说“卡贩市场”的首脑还有另外一个身份:“数字”。随后该告密者以卧底的身份从“数字”那购买了一批料并通过E-Gold付款,这些已经足够提起重罪起诉了。
而揭发“普林斯特老师”未遂时,马克斯已经能够感到危险越来越近,同年11月,“冰人”宣布退出江湖,然而几周之后,其又用另一个化名“阿飞”重新掌控了网站。
2007年1月,马克斯重新开始工作,此时的马克斯被卡贩视为世界上第二成功的磁条贩售商,不久之后克里斯被捕,克里斯团队的整个运作方式被一点一点揭开,警方称其可能是历史上最大的身份盗窃团伙。接下来的一段日子,马克斯都在惊恐中度过,这时的马克斯已经开始考虑自己的退出策略,然而随后,“地窖”,也前面提到的跟马克斯临时组成统一战线揭露线人“普斯林特老师”的黑客通过IRC发来了一条信息:MAXVISION(马克斯.维京),马克斯对其进行了追查,怀疑对方也是个线人,事实证明怀疑没错。
特情局已经开始对马克斯进行人身监视,在2007年9月,在马克斯还在睡梦中时,特工冲进房间,抓捕了马克斯,这一突发行动,使得马克斯还来不及拔掉服务器的插头(一旦拔掉插头,服务器将会被加密程序锁死),最终卡内基.梅隆大学的计算机应急小组通过从RAM中提取了密钥,马克斯已无秘密可言,联邦调查局掌握了一切:5TB的黑客工具,网络钓鱼邮件,收集的网上朋友及仇敌的资料,以及1000多家银行的180万个信用卡账户等信息。
2009年7月,马克斯认罪伏法。
后来在狱中,马克斯主动提出帮助政府防护网络,或者可以在网上反击外国对手,在一份标题为“为什么美国需要马克斯”的备忘录中他说道:“我可以对中国的军事网络和军事承包商进行渗透...可以黑了他们的基地组织”。
(完)
