拜訪35年前的威脅獵人
責編:gltian |2020-05-06 10:48:47如今,隨著手動攻擊的流行、安全數據的過載、安全邊界的消融、安全人才的短缺…越來越多的企業達成“零時代”的實戰化生存法則共識:必須圍繞威脅情報構筑下一代安全運營(SOC)和防御體系。而威脅獵人,就是這套體系中最關鍵、最“性感”的安全職業。有趣的是,時下最“潮”的威脅獵人其實是最古老的安全崗位之一,對于任何一位有志成為“獵人”的安全專業人士來說,如果不了解這個行當的傳奇和傳承,那么你腰間懸掛的可能不是野兔,而是死耗子。
三十年前,克里夫·斯托爾?(Cliff Stoll)?出了本書,書名《杜鵑蛋》(The Cuckoo’s Egg),講述他與一名克格勃?(KGB)?麾下黑客的貓鼠游戲。如今,互聯網更加魚龍混雜,而斯托爾也成了網絡安全的標志性人物。
1986年,斯托爾在勞倫斯伯克利國家實驗室 (Lawrence Berkeley National Labs) 的上司交待給他一項任務,讓他追查實驗室按分鐘出租給遠程用戶的網絡計費產生的75美分的會計偏差。當時36歲的斯托爾對此微小異常的源頭展開了調查,抽絲剝繭般暴露出其背后深藏的罪魁禍首:系統中的黑客。
此后一年,斯托爾緊緊咬住該黑客在實驗室網絡和新生互聯網上的足跡,順藤摸瓜,揭露出此類入侵的一張巨大網絡:一群服務于蘇聯克格勃的德國年輕黑客不斷入侵軍隊和政府機構。1989年底,斯托爾將自己從那個微不足道的初始線索挖出的內幕故事,寫成了類似數字偵探回憶錄的《杜鵑蛋》。開始追查實驗室賬簿上這不到一美元的缺口時,他從未想到過自己暴露出來的竟然是全球首例已知的國家支持黑客行動。
如今,故事仍在延續。出版三十周年的現在,《杜鵑蛋》已售出100多萬本。鑒于龐大讀者群中網絡安全從業者僅占核心的一小部分,如此銷量簡直堪稱奇跡:獨行黑客獵手的自述,激發整整一代網絡防御者在惡意無限的浩瀚互聯網上追蹤各自異常的激昂文字。
至于現年69歲的斯托爾本人,談論起整個事件時,他好像仍然不敢相信自己造成的各種轟動。斯托爾現在經營著售賣克萊因瓶(從拓撲學意義上講只有一個面,沒有內部和外部之分的奇怪玻璃瓶)的生意,網站上就標有他家的電話號碼。接受采訪時他說道:
我以為這是我不小心撞上的一個怪異的小問題。我根本沒想到這竟然會成為一個產值數十億美元的產業,或者說成為經營大企業必不可少的東西。又或者,信用報告公司的首席執行官竟然會因為計算機安全問題而丟掉工作。還有,竟有成千上萬人會以此為職業,全球很多國家的國家機構竟會致力于利用計算機網絡中的安全漏洞。
事實上,斯托爾不太符合其網絡安全仰慕者心目中傳奇人物的形象。《杜鵑蛋》發表30周年紀念日后幾天,記者造訪他位于奧克蘭的家當天,他整個上午都在通過望遠鏡觀察水星經過太陽的情景。斯托爾擁有行星天文學博士學位,在勞倫斯伯克利國家實驗室把他調動到IT部門之前(并非完全自愿),他曾想以觀星為職。
斯托爾屋后工作室的一面墻上掛著激發他靈感的發明家、數學家和科學家的印制照片:菲利克斯·克萊因 (Felix Klein)、艾倫·圖靈 (Alan Turing)、艾米·諾特 (Emmy Noether)。用鉸鏈將桌子翻轉過來,就能看到下方墻壁中鑲嵌的一道門。
門內有臺自制的小型叉車機器人,就在斯托爾屋下的低矮空間中游走。利用遙控器和機器人攝像頭反饋的圖像,斯托爾可以操縱叉車機器人,在這個沿墻壁堆有紙箱的儲藏室里輕松拿取裝有精美克萊因瓶的木箱。當然,木箱里的克萊因瓶是用紙包裹好的。
斯托爾至今仍對黑客行為感到好奇。幾個月前,他決定對一些黑客的惡意Excel文件做逆向,想要弄清其隱藏惡意代碼的位置。工作室里,坐在叉車機器人旁邊的地板上,斯托爾隨意說道:
我對自己說,‘這就是他們隱藏惡意代碼的辦法啊。’真是巧妙而有用的一課。話雖如此,我現在對網絡安全也不是特別感興趣了。我希望自己能更有興趣些。我希望自己能幫助大家捍衛自己的系統。然而,我回頭就研究怎么做出可以立穩的克萊因瓶去了。
幾年前《杜鵑蛋》的版稅就付清了斯托爾的房貸。如今,克萊因瓶銷售為他提供了另一個收入來源,盡管非常微薄。置于網絡安全領域,幾十年間,除了幾次會議演講,他與這個領域已無交集。驅使他投入一年時間追蹤黑客的廣泛好奇心,最終使他將此后30年的精力投入到了其他的興趣上,例如數學、電子音樂和物理學——他聲稱自己不擅長其中任何一項。
斯托爾面無表情地說:
對數學家而言,我是非常出色的物理學家。對物理學家而言,我是相當出色的計算機專家。對真正的計算機愛好者來說,他們知道我是位優秀的作家。對那些知道怎么寫作的人而言,我是個非常棒的數學家!
但若說斯托爾是網絡安全業余愛好者,卻又沒幾位專家在該領域有如此之大的影響力。網絡安全領域追捧斯托爾的人指出,30年前的黑客追蹤行動中,斯托爾根據需要開創的技術技巧,成為了后來人的標準操作。當年,斯托爾在實驗室桌下睡覺,并編程修改了自己的傳呼機,以便在半夜黑客登錄網絡時叫醒他。他還設置了數十臺打印機來實時記錄黑客敲下的每個按鍵。所有這些統合在一起就形成了第一套入侵檢測系統。
當斯托爾追蹤黑客入侵足跡,跟到國防部MILNET系統、阿拉巴馬州軍事基地、白沙導彈靶場、海軍造船廠、空軍基地、NASA噴氣推進實驗室、國防承包商以及CIA時,斯托爾實際上就是在像今天的威脅情報分析師一樣描繪黑客的入侵行動。
當他在網絡上植入數百個虛假秘密軍事文件,誘使黑客在勞倫斯伯克利系統中駐留足夠長的時間,使德國電信員工能夠追蹤到入侵者在漢諾威的位置時,他就是構建“蜜罐”——常用于跟蹤和分析現代黑客和僵尸網絡的那種。
《網絡安全監視之道:超越入侵檢測》作者,著名安全大師理查德·貝特里奇 (Richard Bejtlich) 在Corelight和FireEye等公司從事事件響應和網絡監視多年,他表示:
《杜鵑蛋》記錄了我們現在對付高端入侵者所用的多種方法。你能在這本書中看到事件響應的方方面面。思維模式、徹底性、決心等等全都有。
甚至在書出版之前,斯托爾在勞倫斯伯克利國家實驗室的黑客跟蹤工作就激發了其姊妹機構勞倫斯利弗莫爾國家實驗室,促使這家機構嘗試開發更系統、更自動化的黑客防御手段。在那里工作的托德·赫柏林 (Todd Heberlein) 接到了構建全球首個網絡安全監視軟件的任務。赫柏林稱:
可以說,克里夫·斯托爾開啟了整個入侵檢測領域。我們基本上是在軟件中自動化斯托爾當時所做的。只要打開工具,就會看到人們每天都在嘗試黑進我們的網絡,有時候還成功了。犯罪浪潮洶涌襲來,卻沒人有所警覺。
最終,赫柏林的網絡監視軟件部署到了100多個空軍網絡中,包括理查德·貝特里奇1990年代末期服務的軍事機構。貝特里奇高中時代就沉迷《杜鵑蛋》,空軍時代又反復研讀。他回憶道:我們做的都是斯托爾玩剩下的。
2010年時,貝特里奇任職通用電氣公司的事件響應總監,他又重讀了一遍《杜鵑蛋》,然后為團隊找出數十條適用經驗。之后,他歸納整理了這些經驗,在美國司法部網絡安全大會做了題為《烹飪杜鵑蛋》的演講。
《杜鵑蛋》不僅是技術層面的經驗談,還深刻描述了黑客追蹤工作中個人層面的問題。長時間工作、與老板的摩擦、聯邦探員只進不出的共享信息要求,還有與所愛之人的緊張關系——斯托爾當時的女朋友(現在的前妻)不是每次都能理解他睡電腦桌下只為捕獲看不見的白鯨的做法。貝特里奇說:
現在都還有事件響應人員睡在桌下,在奇怪的時間點醒來干活。工作時間完全由入侵者決定。干這行的人可能就跟遠離家庭和瘋狂工作掛鉤了。即便過去了30年,情況基本沒變。
不過,斯托爾的故事也有令人激動的點:很多有志成為網絡防御者的人,都有一顆成為《杜鵑蛋》之類偵探故事主角的心,安全顧問克里斯·桑德斯 (Chris Sanders) 以《杜鵑蛋》為藍本,開設了名為《反編譯杜鵑蛋》的課程。他說:
懷抱網絡安全夢想的人會做類似的事情,他們想象找到牽出大事件的線索。我們都想活得如此精彩。有些人實現了,有些人沒有實現。但我們都能在克里夫身上間接投射這樣的人生。
今天這位售賣克萊因瓶的瘋狂科學家身上,我們是很難找到那位傳說中的克里夫·斯托爾的影子了。但事實上,30年博學家古怪念頭的層層包裹之下,黑客獵手的靈魂仍在。
混亂的餐廳堆放著成排的書籍,包括一整套20卷的《牛津英語詞典》——斯托爾用《杜鵑蛋》預付款最先購置的物品之一。在對往事的回憶中,他娓娓道來書中未曾提及的一段黑客追蹤經歷。
斯托爾幫助德國警方鎖定了勞倫斯伯克利國家實驗室黑客在漢諾威的地址,德國警方在那里逮捕了這位名為馬庫斯·赫斯 (Markus Hess) 的入侵者。之后,警方發現,赫斯及其四名黑客同伙打算將所盜秘密賣給蘇聯。
書中未提及的是,斯托爾后來與赫斯碰面了。作為專家證人,斯托爾被召至漢諾威附近策勒市出庭作證,就在法院盥洗室里與這名他在線追蹤了一年的黑客面對面碰了個正著。赫斯認出了斯托爾,當場用英語質問斯托爾為什么要這么鍥而不舍地追蹤他。斯托爾回憶道:
他問我,‘知道你在對我做什么嗎?你在把我送進監獄!
斯托爾說自己簡單回了句“你不懂”,就走出了盥洗室,在法庭上指證了赫斯。(此事詳情無法獲得赫斯的證實,因為他未留下任何在線聯系信息,且幾十年間從未公開評論過《杜鵑蛋》甚至赫斯當時的同伙漢斯·許伯納 (Hans Hübner) 都不知道怎么聯系到他。許伯納還指出,他自己參與黑客活動的主要動機一直都是探索和技術發現,而不是為了俄國人的錢。他還認為,被判20個月緩刑的赫斯也是同樣想法。)
對于許伯納透露的赫斯的想法,斯托爾表示憤怒,想對赫斯說:
如果你夠聰明,那就做點兒能讓互聯網變得更好的事啊!找出漏洞,補上它!用屬于無辜群眾的信息搞破壞算什么英雄?
說到此處,他一拳砸在餐桌上。
別以為你夠聰明就可以隨便攻入計算機。才不是這樣!你有必要對構建了這些系統的人負責,對維護網絡的人負責,對創建了這些專用軟件的人負責。你有責任為你那些像我一樣的同行而放規矩點,做合乎道德規范的事。
這就是斯托爾熱衷黑客追蹤的另一原因,也是他網絡安全領域眾多追隨者的內在驅動力——不僅僅是好奇心,還有一種緩緩燃燒的道德義憤。對斯托爾而言,這似乎源自幾乎沒有幾個其他互聯網用戶記得的時代,一個萬維網甚至都還沒出現,大多數互聯網原住民都還是像他一樣的理想主義學者和科學家的時代。那個時代里,黑客,或者說,至少犯罪黑客和國家支持的黑客,還沒到來。
斯托爾稱:
我還記得互聯網純白無辜的時代,那個可以放心大膽跨越政治界限的時代,互聯網是高智商人群玩耍實驗的沙箱的時代。現在,那個泡沫破滅了吧。
30年前,他從未想到過,互聯網會成為黑暗勢力的媒介:謠言、間諜和戰爭。斯托爾說:
我尋找人性的善。我希望生活在計算和技術為人類謀福利的世界。現在的情況真讓我心碎。
參考資料:
meet the mad scientist who wrote the book on how to hunt hackers: https://www.wired.com/story/meet-the-mad-scientist-who-wrote-the-book-on-how-to-hunt-hackers/