白帽黑客

多數(shù)白帽子黑客所從事的工作就像安全員，他們被聘請(qǐng)攻擊客戶的系統(tǒng)，以便測試系統(tǒng)能夠承受入侵的程度，修補(bǔ)安全漏洞。

盜亦有道的羅賓漢

“副總統(tǒng)沃爾登在安保嚴(yán)密的美國海軍天文臺(tái)突發(fā)心臟病死亡。這是一起謀殺，恐怖分子在獲得其心臟起搏器的編號(hào)后，千里之外對(duì)起搏器進(jìn)行控制，令其發(fā)出強(qiáng)烈脈沖電流，造成心臟病發(fā)的假象?！?/p>

這是熱播美劇《國土安全》的情節(jié)?！斑@一情節(jié)距離現(xiàn)實(shí)并不遙遠(yuǎn)”，傳奇黑客巴納拜·杰克在博客中寫道，他準(zhǔn)備在今年的黑帽子大會(huì)上“再現(xiàn)”這一情節(jié)，他將在9米之外入侵植入式心臟起搏器等無線醫(yī)療裝置，然后向其發(fā)出一系列830V高壓電擊，從而令“遙控殺人”成為現(xiàn)實(shí)。

巴納拜·杰克是一名出生于新西蘭的黑客、程序員和計(jì)算機(jī)安全專家。他曾花了兩年時(shí)間研究如何破解自動(dòng)提款機(jī)。2010年7月28日，在美國拉斯維加斯舉行的一年一度的“黑帽”黑客會(huì)議上，杰克將2臺(tái)ATM搬到“黑帽”會(huì)場上，他剛一執(zhí)行破解程序，自動(dòng)提款機(jī)便不斷吐出鈔票，在地上堆成一座小山。這段“提款機(jī)破解秀”堪稱2010年“黑帽”黑客會(huì)議上最為轟動(dòng)的精彩好戲。他也首次讓人們感受到這一可怕的安全漏洞。

但這一次，杰克沒有機(jī)會(huì)向人們警示心臟起搏器的安全漏洞了，他于2013年7月25日被發(fā)現(xiàn)死于公寓內(nèi)，死因未明。他去世的消息傳出后，朋友們痛惜道：杰克的去世，猶如安全領(lǐng)域被鑿開一個(gè)大洞。

作為在網(wǎng)絡(luò)安全領(lǐng)域享有盛名的白帽黑客，巴納拜·杰克洞悉安全漏洞，但從未借此謀取不義之財(cái)。他僅用一根電話解調(diào)線，無需銀行卡和密碼，就令兩臺(tái)ATM吐出所有現(xiàn)金的錄像迄今仍是視頻網(wǎng)站上的熱門，杰克因此一舉成名，躋身傳奇黑客之列。但其實(shí)很少有人知道，杰克本可更早迎來“成名時(shí)刻”，他推遲了一年，只因他是盜亦有道的“白客”。

只是提醒廠家有漏洞

2008年，杰克花了4 000美元，在網(wǎng)上訂購了兩臺(tái)自動(dòng)取款機(jī)，讓廠商送到家中。

杰克對(duì)ATM的安全性能產(chǎn)生興趣?！拔易⒁獾?，ATM只注重物理安全性能，例如是否固定不易搬動(dòng)，是否裝中央監(jiān)控。但沒人注意軟件問題，那些軟件的缺陷，多得讓我震驚?！?/p>

2009年，杰克找到了遠(yuǎn)程訪問ATM的方法，不僅可以令A(yù)TM自動(dòng)吐錢，他還可以繞過所有身份認(rèn)證，進(jìn)入到這些賬戶中獲取密碼。當(dāng)他把這樣的報(bào)告交到兩家ATM生產(chǎn)商手中時(shí)，廠家十分不悅。

亨利·施瓦茨是其中一家廠商的網(wǎng)絡(luò)安全負(fù)責(zé)人。“看到自己的產(chǎn)品被人挑出毛病，心里總是不好受的。我和同事決定去見見他，當(dāng)時(shí)我們恨不得把刀插進(jìn)他的心臟。但杰克非常和善，告訴了我們所有的技術(shù)細(xì)節(jié)?！?/p>

施瓦茨請(qǐng)求杰克不要在當(dāng)年的黑帽子大會(huì)上演示，給他們些時(shí)間，找出修復(fù)漏洞的方法。

杰克放棄了這個(gè)令他成名的機(jī)會(huì)，取消演示，為此還遭到不少責(zé)罵。施瓦茨說：“現(xiàn)在，我們不僅修復(fù)了漏洞，ATM安全性能比之前要強(qiáng)1 000倍。”

對(duì)于暫時(shí)放棄演示，杰克認(rèn)為，“黑客大會(huì)的目的絕不是為打算搶劫ATM的人提供方法，我是在確保廠商已修補(bǔ)漏洞后，才做這場演示的?！?/p>

揭短讓他成為廠商眼中釘

去世前，杰克負(fù)責(zé)研究嵌入式醫(yī)療設(shè)備的安全措施。嵌入式設(shè)備是先進(jìn)的計(jì)算機(jī)、半導(dǎo)體等技術(shù)相結(jié)合的產(chǎn)物，僅在美國，就有逾300萬名心臟起搏器使用者。

但嵌入式設(shè)備也隱藏著看不見的風(fēng)險(xiǎn)，杰克生前曾指出，這個(gè)設(shè)備的系統(tǒng)同樣可以被入侵，普通的電腦遭遇攻擊，可能損失的只是個(gè)人信息或者財(cái)產(chǎn)，一旦這些醫(yī)療裝置遭遇到攻擊，它們立刻就變身為奪命殺手。

他原計(jì)劃在今年的黑帽子大會(huì)上演示這一安全漏洞，他打算掃描9米內(nèi)的心臟起搏器，覆蓋其運(yùn)行的軟件，并向其發(fā)送高電壓，致使短路。

早在2012年，他已經(jīng)做到了用十幾米外的筆記本電腦，讓心臟起搏器放出高達(dá)830V的電壓，瞬間置人于死地。杰克說，心臟起搏器有無線接收裝置，這些裝置存在致命漏洞。

出于保護(hù)生產(chǎn)商，他沒有公開發(fā)表這段視頻，并且將漏洞告知了多家廠商，并希望這些廠商及時(shí)改善。“我們研究并不是要打擊人們對(duì)救命儀器的信心，我們不讓技術(shù)細(xì)節(jié)外泄，以防有人在現(xiàn)實(shí)中實(shí)施攻擊。雖然這些儀器受到非法攻擊的可能性很小，但無論多小，都必須予以充分關(guān)注。”

2011年時(shí)，杰克還發(fā)現(xiàn)了胰島素泵的漏洞——黑客在百米外可操控胰島素泵令其釋放出足夠致命的胰島素，這項(xiàng)發(fā)現(xiàn)迫使生產(chǎn)商們審視并改進(jìn)產(chǎn)品。

杰克的工作也得到美國政府認(rèn)可，在他的研究成果上，美國政府問責(zé)辦公室在去年8月敦促有關(guān)機(jī)構(gòu)改善醫(yī)療器械方面的信息安全。但醫(yī)療設(shè)備生產(chǎn)商卻不歡迎杰克的研究，“沒有人愿意被揭短。”網(wǎng)絡(luò)安全專家卡明斯基認(rèn)為，杰克的工作迫使這些廠商不得不投入更多資金提高安全性能。

這也就是為什么有些媒體和黑客懷疑杰克是被謀殺的，即便警方已經(jīng)排除這種可能性。

相關(guān)鏈接：

凱文·米特尼克：世界上公認(rèn)的頭號(hào)黑客。他是第一個(gè)被美國聯(lián)邦調(diào)查局通緝的黑客。他曾經(jīng)攻入五角大樓和美國數(shù)字設(shè)備公司等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)。

馬克斯·巴特爾：他運(yùn)營一個(gè)盜用信用卡的網(wǎng)站，該網(wǎng)站也是互聯(lián)網(wǎng)上一個(gè)最大的商業(yè)犯罪網(wǎng)站。由于竊取了200萬張信用卡的信息，欺詐損失達(dá)8 600萬美元，巴特爾最終被判入獄13年。

下村勉：抓捕天才黑客凱文·米特尼克，故事被改編成電影《黑客追緝令》。