黑客與人類:走進世界黑客大會
責編:admin |2014-08-19 16:26:238月8日,美國西部時間下午2點,拉斯維加斯Rio酒店,離DEF CON(世界黑客大會)會場最近的一個星巴克。我的12點鐘方向,穿沙灘裝的年輕男人窩在沙發里很久沒動過,一副墨鏡讓人摸不清他到底是睡著還是醒著;4點鐘方向,掛著“Human”胸牌的煙熏妝女人過來問我借手機數據線;9點鐘方向,黑衣少年一手捧筆記本電腦一手舉著狼牙棒一樣的信號增強器從我身邊掃過;10點鐘方向,滿臉皺紋的老太太向我們求助酒店地址……
藝術家用果汁、豆奶等非常規材料創作的DEF CON著名黑客的肖像畫。
藝術家用果汁、豆奶等非常規材料創作的DEF CON著名黑客的肖像畫。
DEF CON的入場證是一塊多功能的電路板,上面印著“不能循規蹈矩”的口號。
DEF CON的入場證是一塊多功能的電路板,上面印著“不能循規蹈矩”的口號。
在DEF CON的焊接室,硬件黑客學習焊接電路板,這里實行的是大帶小、老訓少。
在DEF CON的焊接室,硬件黑客學習焊接電路板,這里實行的是大帶小、老訓少。
黑客嘗試限時開鎖,“嘟嘟”的倒計時聲就像即將引爆的定時炸彈。這是DEF CON的傳統節目。
黑客嘗試限時開鎖,“嘟嘟”的倒計時聲就像即將引爆的定時炸彈。這是DEF CON的傳統節目。
他們可能只是普通的顧客,碰巧經過聽到兩個中國人用他們聽不懂的語言聊著天,當然,他們也可能不只是來喝咖啡的……
關鍵詞
■Black Hat
8月2日至8月7日,一年一度的Black Hat (黑帽子大會)在美國拉斯維加斯召開,全球近萬名黑客匯聚一堂。因為西方電影中的反派常戴著黑帽子,所以,1997年美國黑客杰夫·莫斯創辦這一黑客盛會時,將它命名為“黑帽子大會”。
如今,黑帽子大會已成為一個世界級的信息安全會議,世界500強企業、國際網絡安全產品和服務提供商,甚至美國聯邦調查局(FBI),都成了參會嘉賓。門票一張要2000多美金,參加會議的多是全球大型信息安全企業的高管及核心技術人員,或是在黑客界的大腕。
■DEF CON
黑帽子大會結束后的三天,則是DEF CON(世界黑客大會),門票價格相對低廉,不問身份,購票即可進入。
DEF CON創辦于1993年,比黑帽子大會還要早,創始人也是杰夫·莫斯,當時他才18歲。這場聚會更似“電腦黑客秘密大派對”,也是他們展示和交流技藝的會場。
“我就像一只鉆進了狼群的綿羊,并清楚地看到這些狼如何獵殺我的同類。”
他們可以輕松遙控你的電腦,跟蹤破解你的手機,了解你每一封郵件的內容、每一次聊天的細節、每一天的具體行蹤,還有你的銀行卡賬號及密碼; 他們也可以通過網絡入侵,來控制一個城市的交通系統,改變或破壞原有的電子監控系統的設置,甚至還能通過控制電子心臟起搏器來遠程殺人……
而如我一般的“綿羊”,只能祈禱現實世界的法律能加大對網絡犯罪的打擊力度,以及那些白帽黑客們能技高一籌,給普通人提供庇護。
“You f*** off!You f*** off!”8月9日晚,拉斯維加斯Rio 酒店。在全場數千人齊聲爆粗口的吶喊聲中,一場盛大的黑客聚會被推向高潮。一年一度的DEF CON 如期在賭城召開,來自全球的上萬名黑客齊聚一堂。白天這里是他們展示和交流技藝的會場,夜晚則徹底變成黑客們狂歡的舞臺。
這是DEF CON的第二個晚上,這些平日里在互聯網上叱咤風云的黑客們也徹底high了。這些人大都在20歲上下,衣著打扮特立獨行,多數人讓人一眼驚詫、過目難忘。在我身邊,一位留著五彩掃把頭、穿著鼻環、布滿紋身的姑娘捧著啤酒對著臺上的嘉賓狂熱地起哄,臺上的主持人也不時扔下幾件T恤搞熱氣氛,而臺下的人們更是不斷回敬臺上一些塑膠飛鏢。
等候了兩天,科曼總算把自己胸前印著“Human”的卡片換成了極為酷炫的DEF CON胸牌。因為參會的人太多,領不到特制胸牌的參會者只能臨時用“Human”的卡片代替,等待補貨,這讓科曼行走在會場時總感覺有幾分別扭。在他們的世界里,“黑客”是與“人類”相對存在的兩個物種。而包括我在內的絕大多數人,會被他們直接貼上“綿羊”的標簽。
誰能掌控互聯網,誰就能掌控未來。作為全球規模最大的一次黑客盛會,DEF CON就如同黑客世界的華山論劍。無論你是絕頂高手,還是剛剛入門的菜鳥,也包括我這樣的“綿羊”,DEF CON都能給你打開一扇窗,去了解他們所掌握的巨大能量。
如果不是斯蒂夫主動跟我打招呼,我根本無法認出眼前這個留著莫西干頭、穿著黑客特有印花T恤的小伙子,盡管兩天前我剛剛跟他在Black Hat(黑帽大會)的會場上有過一次聊天。那時的斯蒂夫西裝革履,發型在我看來也相當正常。斯蒂夫是挪威一家付費電視公司的安全技術人員,他跟著老板來到拉斯維加斯參加大會。在之前召開的Black Hat會議上,他每天穿梭于各個可能與他業務相關的分會場,并陪老板結交一些業界的潛在客戶和同行。Black Hat結束后,老板先行飛回總部,他卻留下來參加緊接著召開的DEF CON,他乘機在大會上免費剪了一個莫西干頭。
斯蒂夫本身就是一名資深的黑客,他很早就掌握了很多技術破解手段,達到不花錢就看付費電視的目的,之后斯蒂夫就被一家網絡公司“招安”了。他如今的工作就是讓黑客破解他們公司的付費系統成本不斷增加,從原先可能只需1天,到如今要用大約200天去破解。
8月2日至8月7日,是Black Hat召開的時間。之后的三天,則是DEF CON的聚會。這個傳統已經在拉斯維加斯延續近20年,參會人員也從第一次的不到300人,演變成如今萬人規模的黑客盛會。兩個會議盡管同在一地,但主題風格卻截然不同。Black Hat在黑客世界中極具前瞻性,關于黑客帝國的未來走向,從Black Hat的上百場演講中總能看出端倪,參加會議的多是全球大型信息安全企業的高管及核心技術人員,或者是在黑客界成名已久的大腕。能在Black Hat上受邀發言,對于黑客們而言也是一個在業界揚名立萬的好機會。當然,2000多美金一張的門票,也把不少新人擋在門外。
而緊隨其后的DEF CON,則更像一場黑客們的狂歡派對,相對低廉的門票價格,以及不問身份購票即入的門檻設定,讓DEF CON 更能呈現出黑客世界的多元化。DEF CON的會場上,同樣設有各種分門別類的演講,但大多數更具實用性、更為細化,例如告訴你如何通過電話打聽到一家全球500強企業所用的電腦系統版本、網關地址,如何通過簡單的破解軟件和焊接技術制作某家公司的電子門禁卡等等。
半個小時的時間,我眼看著DEF CON所設的特別賣場內,一個商家賣出了約50臺俗稱“綿羊墻”的黑客工具。因為之前得到幾位業界高人的反復叮囑,在拉斯維加斯的一周內,我甚少打開手機的無線上網功能。眼看著“綿羊墻”的銷量如此之好,我更加確信自己的做法是明智的。這個被稱為“綿羊墻”的工具售價100美元,它可以隨意偽造出一些常見的公眾無線網絡名稱,但只要有人連接這些網絡,那么你的賬號密碼、個人信息就會被人隨意獲取。更為可惡的是,如果搭配信號增強器使用,“綿羊墻”可以在很遠的距離就能發揮作用。如果用戶的手機默認連接一些常見的例如星巴克之類的無線網絡,因為信號增強器作崇,這些“黑網”就會默認為優先連接。在DEF CON的會場上,掛著酒店名稱的無線網絡一度曾同時出現七八個,這其中絕大多數都是等著綿羊上鉤的“黑網”。在會場的一間大廳內,還專門設置了一面“綿羊墻”的電子屏幕,在三天的時間內屏幕始終在不停歇地刷新被黑掉的用戶ID以及公開部分密碼。
DEF CON特別賣場里售賣的很多道具,都可以輕松地轉化為現實世界里的作案工具。除了“綿羊墻”之外,每只售價40美元的“黑U盤”也同樣受歡迎。這個看起來與普通U盤并無兩樣的小東西,通過預先編寫的腳本,在插入某臺電腦后,可以輕松將這臺電腦掌控,用戶在電腦上輸入每一個字符、移動每一下鼠標,都會被清晰地記錄在案,甚至可以實時直播到黑客自己的電腦屏幕上。如此這般,被黑的電腦也就再無隱私可言。
除了電子類的黑客產品大賣之外,學習開鎖也是DEF CON延續至今的一大傳統。除了在大會上設有專門的開鎖競賽,與會者還可以在會場內挑選各種五花八門的開鎖工具,并且有專人指導你如何利用這些工具打開一把鎖。在經過簡單的培訓后,憑借這些特殊的工具,我很快就能不用鑰匙把展示桌上好幾種五花八門的鎖一一打開。而大多數人在經過培訓后,打開一把鎖的時間一般都不會超過5分鐘。無論是“綿羊墻”、“黑U盤”,還是開鎖工具,這些在DEF CON上可以隨意出售的商品都可以輕易地演變為現實世界里的作案工具。對于這一點,很多DEF CON的參會者以美國允許槍支買賣為例加以解釋——“關健還是看這些工具落在什么人手里”。
黑客的世界有攻有防,DEF CON除了售賣各種黑客工具,也有專門的保密企業研發的安全手機在售。一款售價為600美元的安全手機在DEF CON舉辦前一個月開始推向市場,該手機號稱通過特殊的加密渠道和安全軟件,可以防止任何類型的入侵或者監聽。在DEF CON的第一天,這款手機還擁有不錯的銷量。不過就在DEF CON的第二天,一位黑客高手在大會上發表了一次名為“如何黑掉xx安全手機”的主題演講。第三天,我發現原先售賣這款安全手機的商家已經早早撤攤,真不知是賣斷了貨,還是被新挑戰擊中,臨時取消了專場發售。
DEF CON的會場上,可謂是魚龍混雜卻也藏龍臥虎,這里充斥著很多利用黑客技術從事黑色產業的網絡大盜,但也有努力加固系統安全維護網絡秩序的白帽子黑客。而包括美國國家安全局(NSA)、聯邦調查局(FBI)在內的美國政府機構人員的參會,在DEF CON早就不再是秘密。
一周的近距離接觸,黑客這一原本掩藏在茫茫網海中的特殊群體,也在我腦海中形成一個非常直觀的形象。他們大多個性張揚,給人一種不受任何束縛的感覺,說話語速極快,且極為敏感,在涉及到一些核心問題時自我保護意識又非常強,總是在關鍵處閉口不談或迅速回避或轉移話題。他們大多在某個細分的領域內擁有自己的專長,如有些擅長尋找電腦系統漏洞,有些擅長挖掘手機系統的紕漏,有些擅長實用電子技術的破解。道德與法律的觀念,在黑客的世界里更為倚重個人修為,但就過往而言,他們當中的絕大多數人都有游走于紅線內外的經歷。
在拉斯維加斯這一周的見聞令作為“綿羊”的我驚駭不已。會場周邊的ATM機基本沒人敢用,每天都有成百上千的“綿羊”被黑掉電腦或者手機,把自己的ID、密碼暴露給不知來自地球何處的黑客。游走在會場,總感覺自己的后背正被一雙隱秘的目光所注視。
“這個安防水平在美國數一數二的安全公司,內部的氛圍就像個軍管單位。”
我和剛認識不久的華人朋友Ken 花了20分鐘才買到咖啡并找到座位,DEF CON的到來讓這個離會場最近的星巴克每天都人滿為患。Ken是國內到硅谷創業的眾多有為青年之一,北方人特有的講故事能力,讓人與他聊天成為一件很享受的事。他健談,善交際,是絕佳的采訪對象類型,也顛覆了我對geek(注:極客,常用來形容對某種技術十分癡迷的人)最初的印象。
我習慣性地拿出iPhone準備錄音,他卻給出一個我不得不接受的關掉錄音軟件的理由——周圍每一個人都可能是FBI,想知道你聊什么,他們甚至都不需要到現場,你以為你錄在了手機里,其實都錄在他們的數據庫里。隨后Ken又給出一個看似更極端的解決方案:想不被監聽,只有把手機話筒堵住。
當然,我們的對話內容并不“值得”做出這么高級別的防御措施,類似的片段倒是在報道斯諾登事件的《衛報》記者格倫·格林沃爾德的新書《無處可藏》 里有過詳細介紹——當格倫第一次在香港的酒店房間里見到斯諾登時,“他首先問我是否帶了手機。我說帶了這部僅限巴西國內使用的手機。他卻執意要求我取下電池或者把手機放在迷你吧臺的冰箱里,以免我們的對話遭到監聽……”
用手機當竊聽器,已經不是新聞。2013年,《華爾街日報》曾引用一匿名前美政府官員的表述,報道稱FBI能通過遠程激活安卓手機及筆記本電腦上的麥克風,記錄被入侵用戶的語音通話內容。早在2006年,對紐約犯罪團伙提出刑事訴訟時,美國聯邦法院的法官就曾判定,FBI使用“漫游竊聽器”屬于合法行為。所謂“漫游竊聽器”,實際上就是通過遠程控制,把個人手機變成FBI的竊聽設備。
和我們接觸到的幾乎所有黑客一樣,在政府監控這件事上,Ken只愿意從技術層面上聊,“別說美國政府了,想監控你的手機,比我們水平差得多的初級黑客就能做到,因為這里面沒什么技術難題。所以從技術角度來說,有可能你一過海關,你手機里的每條信息、每張照片、每通電話都已成為他們的囊中之物。”
聽到這里,我執行了我來到DEF CON會場后的第二次關機,第一次關機發生在大約5小時前,那時我剛到會場,從前臺領了標有“Press”的胸牌后不久,遇到了來DEF CON后最先認識的兩位新朋友——一對從阿拉斯加遠道而來的技術宅男。由于DEF CON的入場證是一塊多功能的電路板(在我這種技術“小白”看來就只是一塊超級炫酷會發光的牌子),按普通參與者、工作人員、媒體等身份分不同顏色,不同顏色的電路板互相觸碰會發生物理反應,我掛著的綠色媒體胸牌引起了他們極大的興趣。一番交流后他們強烈建議我別在會場里用手機,他們甚至都沒有帶手機進會場。我本能地聽從了他們的建議,關了機。但不久后為了聯系Ken我不得不又開機上微信。
“不過說老實話,你關機也沒用,因為iPhone的電池拿不出來。”Ken 半調侃半認真地對著手足無措的我說。
后斯諾登時代,當被監聽成為公眾不得不接受的現實,黑客們對政治的興趣并沒有因為斯諾登的挺身而出增加多少。即便是給CIA(美國中央情報局)投資的安全公司打工的黑客,也堅持認為他們只是在技術層面盡著自己的職責。
美國知名科技博客網站 busi-nessinsider曾報道過CIA旗下有一家公司In-Q-Tel,該公司兩年前就已對多達25家美國的高科技公司進行投資,FireEye就是其中之一。這家成立于2004年的公司以做“零天攻擊”和APT(高級持續性威脅)的解決方案而享譽業內,安防水平可以稱得上是美國國家隊級別,公司主頁上介紹他們為企業和政府提供實時保護,客戶遍布全球40多個國家,包括財富500強中的100多家企業。我們在Black Hat 現場偶遇掛著 FireEye 牌子的參會者,他們面對記者時的謹慎令人印象深刻,這也印證了另一位不愿透露姓名的業內人士的介紹——由于特殊的政府背景,FireEye公司內部的氛圍“就像個軍管單位”。
FireEye技術人員這樣解釋他們不談政治的原因:“在遭到網絡攻擊的受害者中,政府永遠是最吸引外界眼球的,但實際上最主要的受害者還是企業。很多攻擊企業的行為,并非出于政治利益,而是經濟利益,攻擊者破壞企業網絡、竊取機密信息,從而對企業造成巨大破壞。”
不過從業十年、深諳門道的Ken 并不這么看,“信息安全做到現在,誰是最大的玩家?你懂的。”
“企業是造產品的,我們有好鋼,打造出一把利劍,交到荊軻還是秦王手里,結果是不一樣的。”這個比喻一定程度上道出了Ken不愿與政府扯上關系的原因。
在黑客的江湖里,給政府打工的那一派,并不一定是段位最高的,“段位最高的都去做黑產了。給政府干活?一年幾十萬,這點錢靠自己很快就能賺到,還不用失去自由,所以那些offer 對我來說一點都沒吸引力。”Ken坦言,自己也曾被某些敏感機構找過,不過第一時間就回絕了。
再次見到Ken,是在當天晚上。拉斯維加斯的“白天”是從太陽落山后開始的,當各大酒店兼賭場的霓虹燈亮起時,這個城市才開始煥發真正的活力。受Ken的熱情之邀,我們到他們的派對“蹭”酒喝。在我們面前,參加過數屆Black Hat和DEF CON的Ken像主人一樣介紹著拉斯維加斯的種種,吐槽賭城的燈紅酒綠、紙醉金迷。
酒過三巡,門鈴不斷響起,派對也由最初的四五人擴容到十幾人。表面上看,黑客圈的社交和普通人差不多,每次有新朋友進門,我們都會彼此做自我介紹,大家窩在沙發里喝酒、聊天、互換社交賬號,談的內容從投資創業到美劇、真人秀,什么都聊,甚至還在手機上看了一段當下最火的《忍者勇士》真人闖關節目,身高一米五二的女漢子Kacy7分鐘通關,讓在座的男黑客們都自嘆不如。
唯獨一位長相清秀的美國小伙子,在人堆里出奇安靜。原以為只是性格內向不善言談,可聊到比特幣這個話題時,他又像打開了話匣子一般。在送我們回酒店的路上,Ken趁著嘈雜的人聲解開我們的疑惑:他是給政府干活的。
在美國,一名黑客怎樣才能“光榮”地成為一名政府雇員呢?“據我所知,要經過層層嚴格的背景審查,祖上三代都得清清白白,沒有任何疑點。”Ken對這種全家族人都得拎出來放在X光機上掃一遍的審查模式很無語,“不過這也可以理解,全世界都這樣,這就是為政府工作的代價。”
在黑客們的各種小圈子里,給哪個“老板”打工并不會妨礙他們的技術交流,所謂英雄不問出處,不隨意打聽對方的工作也是黑客社交圈的潛規則,“如果他不主動說,你就別主動問,我們之間也從不相互打聽,心知肚明嘛。”