黑客探秘
引言
由于鋪天蓋地的媒體報道,“黑客”一詞逐漸便得臭名昭彰。說到黑客,人們總會聯想到一些心懷鬼胎的計算機用戶,他們通過各種非法手段來騷擾人們、詐騙錢財、竊取信息,甚至破壞經濟或者通過闖入軍方計算機系統來引發戰爭。無可否認,的確有心懷不軌的黑客,但他們只是黑客群體中的一小部分。
來自世界各地的黑客聚集在營地暢談他們的愛好并且交流技巧。 |
“計算機黑客”這個詞在二十世紀六十年代中期首次出現。黑客一般是程序員——那些忙忙碌碌編寫程序代碼的人。他們熱愛幻想,總能找到使用計算機的新方法,編出別人想不到的程序。他們是計算機領域的先鋒,從很簡單的應用程序到大型操作系統都能開發。從這個定義來看,像比爾?蓋茨、史蒂夫?喬布斯(Steve Jobs)、史蒂夫?沃茲尼亞克(Steve Wozniak)之類的人物都算是黑客——他們看到了計算機的潛能,并創造性地開發了它們。
黑客們有一個共同的特點,那就是擁有強烈的好奇心,他們有時甚至達到癡迷的地步。黑客不僅以自己開發程序的能力而自豪,并且還以能夠破解別人編制的程序或系統為榮。如果程序有bug——妨礙程序正常運行的錯誤代碼——黑客們通常會開發一些稱為補丁的簡短代碼來解決。有些黑客找到了能夠施展拳腳的工作,還能拿到薪水。
隨著計算機技術的進步,電腦工程師們開始把單機聯接成網絡。黑客這個詞很快也有了新的解釋——使用計算機進入無權訪問的網絡的人。通常黑客們并沒有惡意。他們只是想知道計算機網絡是如何工作的,并且將了解不同網絡之間的屏障以及與此相關的知識視為一種挑戰。
事實上,直到今天情況仍未改變。盡管有很多傳聞說起黑客如何破壞計算機系統、如何侵入網絡并傳播病毒,但大部分黑客只是比較好奇而已——他們想知道計算機世界的所有細節。有些黑客用他們的能力幫助政府和企業來建立更好的安全措施,也有些黑客會用他們的技術做些違背道德的事。
本文將詳述黑客入侵計算機系統的常用技術。您將了解到黑客文化、各種各樣的黑客,以及一些著名黑客——其中有些曾觸犯法律。
黑客與駭客
很多計算機程序員堅持認為“黑客”只代表那些守法的熱心人士,他們幫助人們開發程序和應用軟件,提高計算機的安全性能。那些將自己的技術用來搞破壞的人不能算是黑客,他們應該是駭客。
駭客會入侵計算機系統,導致系統出錯,或是做出更惡劣的事情。可是,由于黑客圈外的大部分人都無法區分黑客和駭客,大眾還是把黑客當成了貶義詞。
黑客工具
除了自己的聰明才智外,黑客依賴的主要資源就是計算機代碼。盡管網上活躍著大量黑客,但只有很少一部分人會編寫代碼。很多黑客只是搜集并下載別人寫好的代碼。互聯網上有數以千計的程序,可以用來進入別人的計算機系統或網絡。有了這些程序,黑客們就可以操縱其它用戶或企業的計算機——一旦技術高超的黑客了解了某個系統的工作原理,他就可以設計出破解程序來侵入這個系統。
愛蟲(ILOVEYOU)病毒是一個禍及全球的惡意程序,曾導致數百萬美元的損失。 |
黑客會利用這些程序來:
- 竊取密碼:有很多方法可以竊取用戶密碼。你可以做出合理的推測,或是用單純生成字母、數字和符號組合的編碼。用窮舉法破解密碼,被稱為暴力攻擊,就是說黑客通過嘗試所有可能的密碼來侵入系統。還有種破解密碼的方法是字典攻擊法,這種程序會在密碼框里輸入常用單詞。
- 使計算機或系統感染病毒:計算機病毒其實就是能夠自我復制、會給計算機系統造成輕則死機、重則丟失數據等問題的程序。黑客可以侵入用戶系統然后安裝病毒,不過他們通常都是編寫簡單的病毒,然后通過郵件、聊天工具、下載網站或者P2P網絡等途徑發送給可能的受害者。
- 記錄鍵盤輸入:黑客們可以使用一些程序來記錄用戶的每一次按鍵。一旦他們將這種程序安裝到受害計算機中,這些程序就會記錄每次按鍵,并向黑客提供入侵計算機以及盜用他人身份所需的信息。
- 后門操作:跟竊取密碼類似,某些黑客編寫了一些程序,從而能夠找到進入網絡或計算機系統的方法。互聯網早期時代,很多計算機系統的安全性能有限,這就使得黑客們能夠不用用戶名或密碼就能侵入系統。還有種進行后門操作的方法就是用木馬來感染計算機。
- 制造“僵尸電腦”:僵尸電腦在國內稱為“肉雞”,指的是一部已經被黑客控制的計算機。黑客可以用這些僵尸電腦發送垃圾郵件或者進行分布式拒絕服務(DDoS)攻擊。一旦受害者執行了那些看起來沒什么問題的代碼,他們就在自己的計算機和黑客計算機之間建立了聯系。黑客可以暗中操縱受害者的計算機,利用它進行犯罪活動或者散播垃圾郵件。
- 監控電子郵件:黑客們開發出了某種代碼,可以用來解析電子郵件信息——這些代碼相當于互聯網中的竊聽器。如今,大部分的電子郵件都使用非常復雜的加密格式,即使黑客截取了郵件信息,仍然不能讀懂這些郵件。
黑客的分類
心理學家馬克·羅杰斯(Marc Rogers)認為,黑客可以劃分成新手、網絡朋客、程序開發者以及網絡恐怖分子這幾個亞群體。 新手就是那些會用黑客工具、但是并不了解計算機以及程序原理的人。 網絡朋客們則更老練一些,他們不會像新手那樣在襲擊他人系統時被輕易發現,但是他們比較愛吹噓自己的成績。程序開發者編寫其他黑客使用的程序,有了這些程序普通黑客就可以侵入甚至操控他人的系統。網絡恐怖分子是指為了某些利益而入侵計算機系統的專業黑客——他可能蓄意損害某公司的利益或者襲擊某公司的數據庫,并竊取公司信息。
黑客文化
通常,黑客都不擅社交。他們對計算機和編程的強烈興趣,反倒成了他們與常人溝通的障礙。面對他們的電腦設備,黑客能夠長時間連續編程,完全不管其他任何事情。
有了互聯網,黑客們可以結交一些興趣相投的人。在互聯網還不是很普及的時候,黑客們會建立電子公告板(BBS)。黑客可以將BBS放在自己的計算機上,讓人們登陸系統發送消息、共享信息、玩游戲以及下載程序。黑客們互相取得聯系后,彼此之間的信息交流會迅速增加。
有些黑客會在BBS上公布自己的成績,吹噓自己如何侵入安全系統。通常他們會從受害者的數據庫選一個文件上傳到BBS中作為證據。在上個世紀九十年代前期,執法官員認為黑客是對安全的巨大威脅。似乎有數以百計的黑客可以隨意侵入世界上最安全的系統(資料來源:Sterling公司)。
有關黑客技術的專門網站有很多。黑客刊物《2600:黑客季刊》(2600: The Hacker Quarterly)就有自己的專門網站,該網站有黑客專題的實時報導。而該刊物的印刷版本則可以在報刊亭買到。Hack.org這樣的網站,既能幫助黑客們學習技術,又有各種迷題和競賽供黑客們檢驗自己的技能。
如果被執法部門或是企業發現,一些黑客會承認他們可能已造成很多問題。大多數黑客都不想惹麻煩;實際上他們侵入計算機系統是為了了解系統的工作原理。對一個黑客來說,安全系統就像是珠穆朗瑪峰——他們入侵系統只是為了進行挑戰。在美國,黑客只要進入某個系統就會惹來麻煩。《計算機欺詐與濫用法》將未經授權而訪問計算機系統的行為定性為非法活動。
并不是所有黑客都試圖侵入禁止訪問的計算機系統。一些黑客會運用自身的天賦和知識來開發更好的軟件及安全系統。事實上,很多曾經利用他們的技術侵入系統的黑客,現在已將他們的才能用在開發更安全的系統上。從某種程度上說,互聯網就是不同的黑客——企圖侵入系統或者傳播病毒的惡意黑客,也可稱為“黑帽(black hats)”,與幫助提升系統的安全性能并開發強大防毒軟件的好黑客,也可稱為“白帽(white hats)”——之間的戰場。
黑客們在2006年雅虎黑客日一起編寫雅虎上的應用程序“mashups”。 |
雙方黑客都支持開源軟件(open source software),這些程序的源代碼可供所有人學習、復制、發布以及修改。有了開源軟件,黑客們就能從其他黑客的經驗中學習,同時也能對該程序進行改良。開源程序可以是簡單的應用程序,也可以是復雜的操作系統(比如Linux)。
黑客們有一些年度活動。這些活動大多有利于加強黑客們的責任感。每年在拉斯維加斯舉行的DEFCON年會上,數千參與者聚集到一起交流編程經驗、進行競賽、參加黑客技術與計算機發展的討論,這都使得黑客們的好奇心得到極大滿足。另一個稱為混沌交流工作營(Chaos Communication Camp)的活動,將簡單的生活方式(大多數參加者都呆在帳篷里)、高技術討論以及相關活動結合了起來。
電話飛客
在計算機黑客之前,有些人會使用“飛客”手段操控電話系統。 通過利用電話飛客,這些人找到了免費打長途電話的辦法,有時候還會對其他電話用戶搞惡作劇。
黑客與法律
一般情況下,大多數政府對黑客都沒什么好感。黑客們能自由進出計算機系統而不被察覺,有時為了好玩也會竊取機密信息,這就足以讓政府頭疼了。保密信息或情報非常重要。很多政府機構不會花時間將想在高級安全系統中檢測自己能力的黑客與間諜區別開來。
從法律規定中就可以看出政府的這種態度。在美國,政府頒布了數則禁止黑客入侵行為的法律。其中像18 U.S.C.§1029,主要對侵入計算機系統的工具和代碼的開發、發布以及使用做出了規定。該法律條款只禁止了用于欺詐的此類工具的使用或開發,因此被指控黑客可以申辯說他只是使用該工具來研究安全系統的工作原理。
政府對黑客的關注達到了最高水平。圖為美國前司法部長珍妮特?雷諾(Janet Reno)正在出示相關黑客活動的證據。 |
另一則比較重要的法律是18 U.S.C.§1030,該法規的一部分內容是禁止擅自訪問政府計算機。 即使黑客只是嘗試進入系統,他們的行為也是非法的,他們將因訪問非公開的政府計算機而受到制裁。
懲罰措施可能是高額罰款甚至可以是判刑。罪行較輕的黑客可能被判處6個月的緩刑,而有的罪行可能會被判處最長20年有期徒刑。美國司法部網站上的一條規則分列了黑客造成的財產損失和受害者的數量,并依此作為量刑的依據。
其他國家也有類似法律,有些比美國的法律更模棱兩可。最近德國法律禁止人們持有“黑客工具”。評論家認為該法律界定得太寬泛,很多合法應用也會受到該項法規對于黑客工具的模糊定義的影響。 有人指出根據該項法規,一些雇傭黑客來檢查他們安全系統漏洞的公司也是違反法律的。
黑客可以舒服地坐在自己的計算機前,同時在另一個國家進行著犯罪活動。因此,起訴黑客的程序非常復雜。為了進行審判,法律部門官員不得不請求其他國家來引渡犯罪嫌疑人,而這個過程有時候需要好幾年才能完成。一個知名案例就是美國對黑客加里?麥金農(Gary McKinnon)的起訴。從2002年開始,由于侵入美國國防部和NASA的計算機系統,麥金農遭到引渡起訴。他是在英國進行犯罪活動的,他辯解說他只是為了指出安全系統漏洞而已。在2007年4月的時候,他的官司終于有了結果,英國法庭駁回了他的上訴。
以黑客為生
守法黑客可以生活得很不錯。很多公司都雇傭黑客來測試他們的安全系統是否有漏洞。 黑客們還可以通過開發應用程序和其他有用的程序來賺錢,比如美國斯坦福大學的學生拉里?佩奇(Larry Page)和謝爾蓋?布林(Sergey Brin),他們一起開發了Google。如今,他們倆位列福布斯世界富豪榜第26名。
著名黑客
史蒂夫?喬布斯,黑客先驅,蘋果公司創始人
蘋果公司的創始人史蒂夫?喬布斯和史蒂夫?沃茲尼亞克都是黑客。他們年輕時的一些劣跡和某些惡意黑客的活動差不多。但現在他們都已痛改前非,并開始專注于建立計算機硬件和軟件系統。他們的努力加速了個人計算機時代的到來——在蘋果公司建立之前,計算機系統一直是大公司的資產,因為對普通消費者而言它們太貴太笨重。
Linux公司的創始人林納斯?托瓦茲(Linus Torvalds)是另一個著名的黑客。他的開放源代碼操作系統大受黑客們的歡迎。他幫助提升了開源軟件的理念,這也說明開放信息會換來驚人的收益。
理查德?斯托曼(Richard Stallman),也稱rms,是免費操作系統GNU計劃創辦人。 他提升了免費軟件和計算機接入的理念。他與自由軟件基金會(Free Software Foundation)等組織合作,并反對數字版權管理(Digital Rights Management)等政策。
而黑客世界的另一個極端是那些喜歡非法入侵的黑帽成員。喬納森?詹姆斯(Jonathan James)在16歲時成為了第一名因黑客行為而被送入監獄的未成年。他侵入了一些備受關注的計算機系統,包括美國宇航局和國防威脅降低局的服務器。喬納森在網上使用綽號"c0mrade”。詹姆斯最初被判軟禁,后來因違反假釋條例而被送入監獄。
黑客凱文?米特尼克(Kevin Mitnick)最近從美國加州隆波克(Lompoc)的聯邦改造機構釋放 |
在二十世紀八十年代,17歲的凱文?米特尼克(Kevin Mitnick)因非法闖入北美空中防務指揮系統(NORAD)而臭名遠揚。由于他的“業績”不斷被人提起,米特尼克的名聲越來越大,最后甚至有謠傳說他上了聯邦調查局的通緝名單。事實上,米特尼克只是因侵入安全系統而多次被捕,而他入侵安全系統的目的不過是為了盜用功能強大的計算機軟件。
凱文?鮑爾森(Kevin Poulsen)(綽號黑暗但丁(Dark Dante))擅長侵入電話系統。他因為操縱KIIS-FM廣播電臺的電話系統而出名。該電臺的電話系統被侵入后,只能與鮑爾森住宅的電話連通,這樣鮑爾森就能在各種廣播競賽中獲勝。后來,他開始了新的人生旅程,現在是《連線》雜志(Wired Magazine)的高級編輯。
阿德里安?拉莫(Adrian Lamo)使用圖書館和網吧的計算機侵入計算機系統。他尋找高級系統中的安全漏洞,并利用這些漏洞侵入系統,然后發送消息到相關公司,讓他們知道他們的安全系統存在漏洞。遺憾的是,他并沒有受雇于這些公司來做這些事情,因此他的活動是非法的。他也常四處竊取信息,并在侵入美國《紐約時報》的計算機系統時被發現。
目前,可能有數千名黑客在網上活動(準確數字無法統計)。許多黑客實際上并不清楚自己在做什么——他們只是在使用自己沒有完全理解的危險工具。而有些黑客則非常清楚自己在做什么,他們可以在其他人不知情的情況下進入和退出系統。
[責任編輯:小敏]
評論
查看更多