在這本自傳中,米特尼克回顧了自己的心路歷程,令人眼花繚亂的各類大案要案,以及與警察和特工的“鬥智鬥勇”……跌宕起伏的情節,將讀者帶入一個完全不同的驚險世界!
基本介紹
- 書名:線上幽靈:世界頭號黑客米特尼克自傳
- 作者:【美】Kevin Mitnick(凱文·米特尼克) William L.Simon(威廉·L·西蒙)編
- ISBN:978-7-121-20949-9
- 頁數:348頁
- 定價:69.00元
- 出版社:電子工業出版社
- 出版時間:2014年1月出版
- 開本:16開
編輯推薦,內容提要,目錄,作者簡介,作者,譯者,媒體評論,引前言,
編輯推薦
《線上幽靈:世界頭號黑客米特尼克自傳》有特殊的閱讀體驗,膽小慎入!
《線上幽靈:世界頭號黑客米特尼克自傳》是米特尼克迄今唯一一部自傳。精彩、驚險的經歷堪稱一部現代版的江洋大盜真人秀!好萊塢甚至以他的故事為藍本,拍攝了電影《戰爭遊戲》。
米特尼克天生魔力,少年時便遊走在網路世界中,如入無人之地,入侵眾多大公司機密資料庫。政府、企業、民間均視其為“線上幽靈”,談虎色變。而FBI即便動用了大量人力物力,追蹤多年,設下各類圈套,安排眾多線人,仍被米特尼克一一識破,輕鬆逃脫……米特尼克甚至一度改名換姓,在FBI的眼皮子底下過上了白領的幸福小資生活。
《線上幽靈:界頭號黑客米特尼克自傳》並不僅僅是一個精彩的故事;可以看到一個我們以為“安全”的社會中所存在的種種問題;甚至可以一窺政府機構的技術手段和行動能力,還可以思考能力與責任、興趣與道德的衝突,更真實地感受到技術的雙刃劍特性。
你可以把它當成案頭消遣,在字裡行間與米特尼克一起踏上逃亡之旅,體驗驚心動魄的“貓捉老鼠”遊戲,與他一起經歷各類大案要案,感受親情,友情,愛情,甚至“敵情”。
你也可以去更深地解讀,嘗試了解這名頭號黑客的思維方式,理解他的各種選擇,並以此來檢視自己的思考方式。興許,就在“親臨其境”中,你會陡然發現:眼見不為實,世界非你所想像!
內容提要
米特尼克被稱為“世界頭號黑客”,傳奇的人生成為業內和各大媒體津津樂道的話題。1995年聯邦法院以25宗罪名起訴米特尼克,而且未經審判就將米特尼克關押了4年半,這是美國司法史上對一名高智商罪犯所採取的最嚴厲措施。
出獄之後米特尼克改邪歸正,已經成為世界著名的白帽子黑客,用自己的經驗來指導知名企業與組織增強他們的安全防護措施。
目錄
震撼好評
譯者序|翻譯緣起
譯者序|中文版奪旗賽謎題
推薦序@蘋果聯合創始人沃茲
自序@凱文·米特尼克
黑客軌跡|影集
第一篇 成長
第一回 生命開始的地方
第二回 我只是來參觀的
第三回 原罪
第四回 脫逃大師
第五回 所有的電話線路都是我的
第六回 愛
第七回 閃婚
第八回 盧瑟博士
第九回 凱文·米特尼克優惠計畫
第十回 神秘黑客
第二篇 埃里克
第十一回 謀殺嫌疑
第十二回 無處藏身
第十三回 電話監聽器
第十四回 你監聽我,我監聽你
第十五回 你們是怎么搞到這個的
第十六回 搞砸埃里克的私人派對
第十七回 揭開內幕
第十八回 通信流量分析
第十九回 露出狐狸尾巴
第二十回 反向敲詐
第二十一回 貓和老鼠
第二十二回 偵查工作
第二十三回 遭遇搜查
第二十四回 人間蒸發
第三篇 逃亡
第二十五回 哈里·胡迪尼
第二十六回 私家偵探
第二十七回 Sun,我來了
第二十八回 獎盃獵人
第二十九回 啟程出發
第三十回 傻眼
第三十一回 天空中的眼睛
第三十二回 西雅圖不眠夜
第四篇 舊的不去,新的不來
第三十三回 與下村勉的決戰
第三十四回 隱藏在“聖經”帶
第三十五回 遊戲結束
第三十六回 一個只有FBI的情人節
第三十七回 羔羊的勝利
第三十八回 餘波:命運逆轉
致謝
採訪凱文·米特尼克
由凱文的故事引發的……
保護電腦安全的10個小貼士
作者簡介
作者
凱文·米特尼克,曾是世界頭號黑客,現從事安全諮詢工作。與William L.Simon合著有《欺騙的藝術》和《入侵的藝術》。現居拉斯維加斯。
他是有史以來最難以捉摸的黑客,入侵大型公司網路如入無人境,不管當局有多快,他永遠更快一步,像幽靈一樣在虛擬世界中遊走!當FBI設下陷阱開始收網時,米特尼克踏上逃亡之旅,將貓捉老鼠的遊戲玩到了令人眼花繚亂、命懸一線的精彩境界!他一手遮天、瞞天過海,在當局的密切監控下居然成功獲得合法身份,甚至過上了小白領的安逸生活……
驚心動魄、充滿懸念的真實人生——這就是凱文·米特尼克
踏上驚險之旅,洞悉黑客心路——從此開始
譯者
諸葛建偉博士,清華大學網路與信息安全實驗室副研究員,狩獵女神科研團隊負責人。
著作《網路攻防技術與實踐》獲全國優秀教材一等獎,《Metasploit滲透測試魔鬼訓練營》在噹噹、京東、亞馬遜進入新書暢銷榜前三;翻譯多本優秀技術書籍。藍蓮花戰隊合夥創始人與領隊,2013年帶領戰隊以全球第四、亞洲第一的歷史最佳戰績,成為中國第一次闖入DEFCON CTF總決賽的戰隊,在CTFTIME全球排名第五位。積極參與社會微公益活動,以譯者稿費支持清華大學電腦傳愛公益行動。
新浪微博:@清華諸葛建偉
梁智溢,本科畢業於中國地質大學(北京),現就讀於北京大學軟體與微電子學院,研究方向為網路與系統安全。
媒體評論
凱文·米特尼克,因其傳奇般的經歷,大名早已響徹整個世界。毫不誇張地說,他的故事影響了幾代人,使更多的人了解並加入到網路“黑白”攻防對抗的世界中來。他引以為傲的絕技——“社會工程學”,也因此得到廣泛的關注,甚至不乏頂禮膜拜者。他們沉迷於“社會工程學”,鄙視傳統技術研究,是“技術無用論”者。事實上,這是對凱文·米特尼克的一種曲解。在《線上幽靈》這本自傳里,你會發現他對傳統技術的追求和痴迷,對各種作業系統及網路結構的了如指掌。在這裡你將看到米特尼克被人忽視的真實一面。
——黑哥(SuperHei),知道創宇高級安全研究員
什麼是黑客?什麼是黑客精神?不,不,黑掉你網站並植入病毒的利慾薰心的人並不是真正的黑客。讀一下《線上幽靈》這本書吧,世界頭號黑客(準確地說是被抓住過的頭號黑客)的自傳,書中處處充滿驚喜和樂趣,來找到屬於你自己的答案吧。
——馬傑,安全寶CEO
本書簡直就是活脫脫的“孫悟空自傳”,這位西方悟空、網路猴王,憑藉其嫻熟的社會工程學手段、豐富的木馬工具、怪異的破譯技術、強烈的好奇心和罕見的冒險精神,在虛擬世界中呼風喚雨、移山倒海、避火分水、大鬧天宮。主人公米特尼克這位齊天大聖,在多家世界級公司的機密計算機系統中,隨意出入,宛如無人之地,好像他真有七十二般變化和騰雲駕霧之術。他黑掉了FBI等強力機構的信息系統,而且還運用“縮地之法”成功逃脫,讓FBI在他的“三根救命毫毛”面前,顏面掃地。他火眼金睛,似乎能看穿所有密碼,甚至在美國政府這位如來佛手掌里,也撒下了好幾泡臊尿,搞得各路神仙焦頭爛額。終於,上帝搬來“法律”這個神器,並輔以誇大的損失估計,把這隻潑猴壓在了五指山下,讓他飽受五年牢獄之苦;而且,出獄後還令他護送唐僧去西天取經,十年內禁止出版自傳,使其歷盡各種艱難險阻。如今,這位桀驁不馴的毛賊,總算修成正果,改邪歸正,立地成佛了。他正發揮其金箍棒的威力,以其銅皮鐵骨之身,為各種信息系統挖掘潛在漏洞,為人類造福呢!
——楊義先,北京郵電大學信息安全中心主任,靈創團隊帶頭人
本書介紹了世界頂級黑客凱文·米特尼克的傳奇經歷,他憑藉自己精湛的技術,利用社會工程學、木馬等知識入侵了多家大型公司,就連美國政府的計算機系統也不在話下。正如書名描述的那樣,他像幽靈般不可阻擋,穿牆越壁。技術本無罪,有罪的是濫用它的人,在做過這么多非法事情後,凱文·米特尼克同樣沒能逃脫法律的制裁。他重新審視自己,終於走上正軌,利用他自身的技術優勢為信息安全現身說法、授業解惑,完成了從一個賽博牛仔到網路傳道士的轉變。
感謝諸葛建偉等人的譯作讓更多人了解米特尼克,了解一個真實的黑客故事。
——徐雲峰,中國人民公安大學網路安全保衛學院院長
米特尼克的傳奇故事可以用這些標籤來概括:好奇、探索、能力、自由、欺詐、對抗、逃亡、懲罰、責任和新生。《線上幽靈》並不只是一個精彩的故事,可以知道早期電話和網路系統曾經出現的各類弱智漏洞,可以看到一個高度依賴信任關係的社會存在的種種問題,可以一窺政府機構的技術手段和行動能力,還可以思考能力與責任、興趣與道德的衝突和最終歸一,更真實地感受到技術的雙刃劍特性。這個故事讀起來輕鬆有趣,翻譯精準卻又平實。最可恨的是,作者和譯者準備了一百多道謎題,讓我一口氣看完全書以後還想鏖戰通宵!
——肖梓航,安天實驗室高級研究員
最初研究技術的時候,凱文的故事顛覆了我的思維方式,之後所有的技術研究,我都一定會再從凱文的角度重新審視。
請不要讓我寫《線上幽靈》的書評,你們無法想像我對偶像凱文·米特尼克的狂熱程度,我很難心平氣和地寫出客觀的內容評論。
《線上幽靈》是我見過的最好讀的一本翻譯書。
——周拓(空虛浪子心),阿里巴巴安全技術專家
我喜歡了解我所欽佩的牛人的經歷,但是這個經歷必須帶有他的思維,因為我會進入他的思維去感受一番,這種感覺很酷。這本頭號黑客的自傳就是這樣的,米特尼克很傳奇,我貪婪地閱讀他的自傳,進入他的思維,同時思考我當前掌握的黑客技能,我想我已經在思維上和他達成了默契。這本自傳深深吸引了我,感謝米特尼克,也感謝譯者。
——餘弦,知道創宇安全研究負責人,《Web前端黑客技術揭秘》作者
堅實的專業背景,流暢的語言翻譯,可敬的工作熱情是一本優秀譯著所必需的三要素,而這些要素諸葛建偉都具備,因此這是一本擁有優秀血統的譯著。
——王清,北京子衿晨風科技有限公司CEO,《0day安全:軟體漏洞分析技術》作者
該書不僅還原了20世紀80年代的各種社會工程學技巧、飛客技術,而且也詳細地講述了凱文·米特尼克的身世、逃亡歷程,包括當年著名的一些黑客攻擊事件。同時,每一章開頭都提供一段密文,供讀者破解,也為本書增加一處亮點。如果你對社會工程學、黑客技術或者對凱文本人有一定的好奇心,相信本書不會讓你失望!
—— riusksk(泉哥),騰訊安全應急回響中心
米特尼克,很多人都是看著他的傳奇從而對黑客產生興趣並步入這個殿堂的,《線上幽靈》很好地展示了米特尼克傳奇的一生,吸引更多的中國讀者來解讀黑客這個神秘的群體,讀者也可以學習到社會工程學這個無所不能的神技。
——instruder,翰海原始碼審計實驗室成員
引前言
推薦序
我首次見到凱文·米特尼克(Kevin Mitnick)是在2001年,我們一起參與拍攝了探索頻道的紀錄片《黑客的歷史》,之後就一直保持著聯絡。兩年後,我飛往匹茲堡,為他在卡內基梅隆大學的演講做主持人。在那裡,我驚嘆於他的黑客生涯傳奇。他入侵企業的計算機但並沒有破壞檔案,也沒有使用或者出售訪問到的信用卡信息。他竊取了軟體源碼但從來沒有出售過它們。他從事黑客活動僅僅是出於興趣愛好,僅僅是為了自我挑戰。
在米特尼克的演講中,他詳細地回顧了自己“黑”掉聯邦調查局(FBI)針對他的行動計畫的精彩往事,米特尼克通過滲透準確掌握了FBI的整個行動計畫,發現了他的新黑客“朋友”其實是一位FBI線人,並找出了所有參與此項計畫的FBI特工的姓名與家庭住址,甚至在電話通信和語音信箱中竊聽了嘗試針對他收集證據的對話內容。當FBI準備逮捕他時,米特尼克卻利用早已在FBI內部設立的警報系統得到了這一情報,並逃過一劫。
當電視節目The Screen Saver的製片人邀請米特尼克和我來主持一個專題時,他們讓我來演示當時剛剛推向市場的一款新型電子設備——GPS,我被要求在他們追蹤我時駕車行駛,而現場的畫面顯示了我剛剛駛出的一段看似隨機的路徑:
FREE KEVIN(釋放凱文)
我們在2006年再次見面,當時米特尼克作為亞瑟·貝爾(Art Bell)的脫口秀節目Coast to Coast AM的客串主持,邀請我作為特邀嘉賓共同錄製,在那時我聆聽了他的許多黑客故事,那晚他也採訪了我的一些黑客經歷,留下了很多次我們相對而笑的美好回憶。
我的生活也因為受到米特尼克的影響而有了很多改變,有一天我突然意識到自己總是接到他從世界各地打來的國際長途電話:他在俄羅斯發表演講,在西班牙幫助一個公司解決安全問題,在智利為一個他曾入侵過的銀行提供安全諮詢服務。這些經歷聽起來太酷了!而在米特尼克的這些電話給予我啟迪之前,我已經十多年沒有使用過護照了!米特尼克幫助我與協助他安排演講事務的代理中介建立了聯繫,中介告訴我:“我們也能夠為您安排一些演講活動。”所以我得好好地感謝一下米特尼克,我也已經像他一樣成了一位國際旅行者。
米特尼克是我最要好的朋友之一,我非常享受和他共處的時間,聆聽他講述關於他的入侵和冒險的傳奇故事。他已經擁有了一個精彩絢麗並且引人關注的人生,如同那些情節跌宕起伏的優秀好萊塢電影一樣。
你們可以來一起分享我在這些年裡聽到的一個又一個精彩的故事,在某種程度上,我會嫉妒你們馬上要開始的一段旅程經歷,因為你們可以在很短的時間裡,進入凱文·米特尼克那無與倫比甚至難以置信的精彩人生故事中。
史蒂夫·沃茲尼亞克(Steve Wozniak)
蘋果公司聯合創始人
自 序
“物理入侵”,即潛入目標組織的辦公大樓,這是我從來都不樂意做的事情,因為這種入侵方式的風險太高,僅僅是回顧這些往事,都幾乎讓我渾身冒冷汗。
然而我曾經乾過這樣的事情。那是春天一個溫暖的夜晚,我潛伏於一家十億級大公司辦公樓外黑暗的停車場裡,等待下手的機會。在一周之前我已經在光天化日之下進入了這棟大樓,以向一名公司雇員投遞信件作為藉口,真正的目的卻只是為了能夠仔細地看一眼他們的胸卡。這家公司將雇員的照片印製在胸卡左上角,照片下面是他們的名字,姓氏在前,字型加粗。公司的名字在胸卡的底部,採用紅色加粗字型。
隨後我去了趟柯達列印店,從公司網站下載了該公司的logo圖片,然後掃描了一張自己的照片,並花了大概20分鐘,PS了一張看起來一模一樣的胸卡,裝進從一家商品店買來的一個塑膠套里。我為一位同意與我一起冒險的朋友也偽造了胸卡。
這是個忠告:我們甚至都不需要做得一模一樣,因為你偽造的胸牌百分之九十九隻會被瞟上一眼,只要最基本的一些元素都在正確的位置上,你就可以很輕易地帶著它矇混過關……除非遇到一些精力過剩的保全,或是承擔安全巡邏角色的雇員,他們堅持要仔細查看你的胸卡時,你才會面臨危險,可能也要享受一下我所經歷過的牢獄生活了。
在停車場裡,我隱藏在視線範圍之外,偷偷觀察著一群群出來解饞的菸鬼們所製造的瀰漫煙霧,最後我選定了人數大概五六位的一群菸鬼開始動身返回大樓的時機。大樓後門是那種雇員用胸卡就可以自動打開的防盜門。當隊伍逐一穿門而入時,我悄悄地跟在他們後面,我前面的傢伙進門後,發現後面還有人,瞄了我一眼,看我戴著公司的胸卡,就為我留了門。我微笑著回應了一句“謝謝”。
這種技術叫做“尾隨”(tailgating)。
步入大樓後,首先進入我視線的就是一個安全警告牌,提示不要為任何人留門,而是要求每個人都需要通過驗證胸卡才能獲得通行許可權。但是通常的禮節習慣,以及對“同事們”的日常禮儀,使得安全警示牌中的警告往往被無視。
在大樓的走廊里,我看起來像是大步徑直地走向某個確定的目的地,但實際上我是在滲透入侵的途中,搜尋信息技術(IT)支持部門的辦公室。大概10分鐘後,我在大樓西側找到了一個區域,在此之前我已經預先做了功課,並獲得了這家公司一位網路工程師的名字,我猜想他可能對公司網路擁有完全的管理許可權。
糟糕!當我找到他的工作區之後,卻發現並不是預想中很容易混進去的一個工位格子,而是一間鎖著門的獨立辦公室。不過我找到了一個解決辦法,房間的天花板是由那些白色隔音方板拼接而成的,而這些方板通常是吊頂裝飾,遮擋上面的管道、電線、空調孔等,吊頂上方提供了一個可以爬進去的通道。
我打電話向夥伴請求支援,並回到後門接他進來,他是個瘦高個兒,希望能幫忙幹些我幹不了的事情。回到IT部門後,他爬上一張桌子,我抱住他的雙腿並將他舉起,讓他能夠撬起一塊方板並將它移到旁邊,然後我奮力將他舉得更高,讓他抓住一根上面的管道爬上去,不到1分鐘,我聽到他在被鎖的辦公室里跳了下去,從裡面打開了門,並站在我面前,滿臉都是黑灰,咧著嘴笑。
我馬上進入辦公室,並輕輕地關上了門。我們更安全了,估計更難被發現了。辦公室黑著燈,打開燈會變得危險,也是沒必要的,因為這位工程師的電腦開著,它的亮光足以幫助我們看見所需要的東西,這樣可以降低風險。我對他的辦公桌面進行了快速搜尋,並檢查了記事貼的前幾頁和鍵盤下面,看看是否有記著電腦口令的便貼。運氣沒那么好,但這對我來說不是問題。
我從背包里抽出一張包含一個黑客工具集的Linux作業系統啟動光碟,將它放到光碟機中,然後重啟。光碟裡面的一個工具可以讓我直接修改這台電腦的本地管理員口令,我對口令進行了修改,使自己能夠登錄,然後取出光碟並重啟計算機,便輕易地登錄了本地管理員的賬號。
我儘可能快地操作,安裝了一個“遠程控制木馬”,這是一種能夠為我提供這台機器的完全訪問許可權的惡意代碼,這樣我就能夠監控鍵盤記錄並且攫取口令密文,甚至能夠操控攝像頭拍下電腦使用者的照片。我安裝的木馬程式每隔幾分鐘就會向我所控制的一台主機發起一次網際網路連線,這讓我可以獲得這台受控系統的完全控制許可權。
完成這些後,我進入了這台電腦的註冊表,將“最近登錄用戶”設定成工程師的用戶名,這樣我就不用擔心自己在登錄本地管理員賬號時留下任何證據。明天上午,這位工程師可能會發現他的賬號鎖定曾被註銷過,但應該問題不大,只要他重新記錄一次,一切看起來就像應該發生的那樣,沒有任何破綻。
我準備離開了,我的夥伴也已經將天花板上被移動的方板復位了,在出門後,我重新鎖上了門。
第二天早上,這位工程師在大約八點半的時候打開了他的電腦,而這台電腦向我的筆記本電腦發起並建立起了一個連線。因為木馬程式在他的賬戶下運行,因此我擁有了完全的網路域管理許可權,僅僅花了幾秒鐘就找到了域控制伺服器,這台關鍵的伺服器中存儲了整個公司所有賬號的口令。使用一個叫做“fgdump”的黑客工具,我可以把公司每個用戶的口令密文都抽取出來。
幾個小時之內,我拿這個口令密文列表跑了一遍“彩虹表”——一個龐大的預計算口令密文資料庫,並破解了大多數公司雇員的口令。我最終找到了這家公司一台用來處理客戶請求事務的後端伺服器,卻發現其中的信用卡號碼都是加密的。這對我來說也不是問題:我發現了另一台“SQL Server”伺服器上運行著資料庫中的一個存儲過程,最終找到了裡面存儲的用來加密信用卡號碼的密鑰,而這個密鑰對於任何一位資料庫管理員,都可以直接訪問和獲取。
數以百萬計的信用卡號碼!我可以每次拿一個不同的信用卡消費一整天,而不用擔心用光它們!
但是我沒有拿這些信用卡做任何消費,這個真實故事並非是讓我惹禍上身的黑客行動重演,與此相反,這是我被雇用拿到豐厚薪酬所做的工作。
這就是我們所稱的“pen test”,即滲透測試的縮寫,並滲透進了他們最安全的計算機系統,然而我卻是受僱於這些大公司,來幫助他們消除安全隱患,並提升他們的安全性的,這樣他們才不會成為下次被“黑”的對象。
很大程度上我都是自學成才,花了許多年來學習如何挫敗計算機安全機制的方法、戰術和策略,並學到了很多計算機與電信系統如何工作的內部機理。
對技術的熱情和痴迷使我在崎嶇不平的道路上一直奮勇向前,我的黑客惡作劇讓我在監獄中浪費了超過五年的寶貴時間,並讓我所愛的人承受了巨大的悲痛。
這便是我的故事,從我的記憶和私人日記,從公開庭審記錄和通過信息自由法案獲取到的文檔,從聯邦調查局電話竊聽與監控記錄,從大量採訪記錄,以及與兩個政府告密人的討論中,我將儘量準確地恢復每一個細節的原狀。
這,就是我如何成為世界頭號通緝黑客的傳奇故事。