黑客與人類：致命技術 黑白戰爭永不停歇

□晨報特派記者 張源 金文婕(美國拉斯維加斯攝影報導)

[關鍵詞]

巴納比·傑克

著名黑客，曾在Black　Hat　會場表演破解提款機。去年，他在展示如何通過黑掉心臟起搏器遠程殺人前離奇死亡。死后5個月，警方認為其死於吸毒過量。

黑

利用漏洞挖掘、病毒編寫等技術，開發黑客工具進行出售或收徒培訓，再通過互聯網謀取不正當利益的地下業鏈。據統計，在中國其造成的損失已達50億元。

雙因子認證

在PC端進行金融支付時，銀行擔心你的電腦可能會出問題，往往會用給手機發送驗證碼的方式確保支付安全，這稱為雙因子認證。而一旦用手機直接支付，沒有另一個合適的平台進行二次驗證，風險便大大增加。

美國前副總統切尼因為擔心恐怖分子攻擊自己的心臟，關閉了體內心臟起搏器的無線管理功能。而巴納比·傑克就掌握這一殺人技術。

國會議員Brody潛入美國副總統家中，找到其心臟起搏器的序列號並告訴了恐怖分子Nazir。待命的黑客在計算機中鍵入序列號，遠程無線入侵了裝在副總統體內的心臟起搏器，輸入指令，起搏器受到干擾，副總統立刻感覺心臟不適，醫生趕到之前，已倒地斃命……這是美劇《國土安全》中的一段劇情。

《國土安全》的執行製片人曾表示，這一情節並非純屬虛構，已有科研人員在實驗室裏將其變成現實。

這位“科研人員”，就是傳奇黑客巴納比·傑克。傑克也看了這部美劇，2013年2月他在博客中寫道：“從我的專業角度來看，這劇情離現實並不遠。不過所謂的序列號是完全不需要的。”

《國土安全》的編劇欠傑克一份稿費。2012年，傑克在一個安全會議上表示，由於糟糕的軟件程序設計，一些醫療設備公司生的心臟起搏器和心臟除顫器存在可被人無線操控的技術漏洞，攻擊者可對附近的心臟起搏器注入惡意代碼，掃描範圍內所有的起搏器併入侵。

他甚至認為，可以像傳播病毒一樣將惡意代碼植入某一生產商生產的所有起搏器中。

視頻裏，傑克控制一台筆記型電腦，使數米之外的一個心臟起搏器瞬間釋放出830伏電壓，可以清楚聽到“砰”的一聲。

這已不是傑克第一次攻破醫療設備的安全漏洞。此前，傑克黑掉了美敦力公司生的胰島素泵。

根據彭博社2012年的一篇文章，傑克可以遠程控制這家公司生的好幾種型號的胰島素泵，他甚至能夠讓安全警告失效從而操縱注射劑量。

“這些裝置雖然外觀並不常見，但其內部系統就和PC或Mac 一樣可被入侵。當你真的把它們當成攻擊目標時，設備安全性之脆弱令人震驚。”傑克。傑克將安全漏洞告知了美敦力公司，后者修改了產品設計。[NT:PAGE=$]

2010年7月，傑克把兩台自動提款機搬到了拉斯維加斯的Black Hat會場，在他的“導演”下，不需要插卡、輸密碼，ATM機變成了老虎機，不斷往外狂吐鈔票，很快就在地上堆成一座小山。

這段“提款機破解秀”成了當年Black Hat最精彩的好戲，也讓傑克成了舉世聞名的黑客。他的表演讓自動提款機的生廠商和銀行意識到這個漏洞並迅速決定採取措施。

在表演過讓ATM機狂吐鈔票的三年之后，依舊是在Black Hat 會場，傑克正在准備一場更精彩的戲碼——展示如何通過黑掉心臟起搏器遠程殺人。

大會的官網早早掛出他撰寫的“台本”：《入侵人體》。人們本該在2013年8月1日的黑帽大會會場看到傑克如何在9米遠外“遙控殺人”。

然而，這場秀的導演兼主演，卻在大會開幕前幾天，死在了舊金山家中。

2013年7月25日，離“遙控殺人”秀上演還有一周時間，一切已准備妥當，下午，傑克和女友通了個電話，約好晚上一起吃飯。晚上，女友回到家裏，發現傑克躺在床上，周圍滿是啤酒瓶和香檳酒瓶，叫他沒反應，湊近了才發現已沒了呼吸。女友立刻報警。

舊金山警方勘查過現場后拒透露傑克的死亡細節，只表示暫時排除謀殺可能。

7月26日，傑克的家人和任職的公司分別發推特對外告知了傑克的死訊。

在表演“殺人”之前猝死，天才黑客的死因在網上引發了各種陰謀論版本。很多人猜測，傑克將要展示的“遙控殺人秀”觸動了醫療設備廠商的利益，招來殺身之禍。

傑剋死后5個月，舊金山警方公佈了死因——吸毒過量。傑克的女友此前曾表示傑克的確有濫用麻醉劑和可卡因的歷史。人們再也未能等到傑克在Black Hat的舞台上延續自己的傳奇。

網絡世界裏的黑社會正在急速擴張，黑與白的戰爭將永不停歇。

於暘，黑客世界就像現實社會一樣，有白社會，也有黑社會。隨互聯網的發展，利用黑客技術謀取不正當利益的情況近年來正不斷加劇。個人隱私泄露，信用卡被網上竊取，各類用戶數據被拿去販賣……這些成為很多“黑帽子黑客”吸金的手段。

在諸多黑客技術中，漏洞挖掘是相當重要的一環。但發現漏洞后的處理方法，卻有一個明顯的岔路口。白帽黑客或者信息安全技術人員，往往會將發現的漏洞及時反饋給系統的擁有者，以便其能儘早修復這一漏洞。但也有黑客在發現漏洞后，會秘而不宣地開發一系列可以利用該漏洞牟利的方法，並傳遞至其下線廣為流傳。通過木馬植入進行網絡盜號、網絡竊取，就是最為常見的一種牟利手段。

“利用黑客技術進行的地下業，規模其實非常之龐大。因為這些東西見不得光，我們也很難對其總量有一個準確的估計。”安言信息技術諮詢公司總經理張耀疆。[NT:PAGE=$]

清華大學網絡與信息安全實驗室副研究員諸葛建偉曾對國內的信息安全地下業鏈做過專項調查。這份生於2012年的調查顯示，利用漏洞挖掘、病毒編寫等黑帽技術，開發黑客工具進行出售或收徒培訓，再通過互聯網謀取不正當利益的地下業鏈已經十分成熟。中國信息安全地下業造成的損失已經超過50億元，而這一雖然鬆散卻極為高效的地下鏈條仍處於快速發展的過程中。

業內普遍認為，歐洲為“黑”的重災區，而攻擊的來源則以俄羅斯為主。硅谷一家安全企業的創始人王林(化名)告訴我，美國的法律對於黑客從事“黑”的打擊力度很大，因此不少黑帽黑客就轉而去歐洲市場牟利。“在美國做個病毒，可能就要進去蹲20年，很少有人冒這個風險。”

“黑客的世界裏永遠都會有攻防，這是一種黑白力量螺旋上升的狀態。黑方發現漏洞，白方很快就補上，到最后系統是相對安全的。”在王林看來，開放的系統可以讓黑客去推動系統的凈化。“最可怕的是你做一套系統，誰也不給開原始碼，讓別人拿去就用，這其實才是最危險的。”

“要收割中國市場的賬號信息並不需要太高的水平，就看誰來捅這一刀了。”

2012年，一黑客犯罪組織發動大規模網絡攻擊，通過控制手機，使用假冒電子郵件獲取賬戶所有者的登錄信息和密碼，將其名下存款轉移至其他賬戶並匿名提現。攻擊者甚至規避了很多歐洲銀行用以進行額外身份認證的智能卡讀卡器，直接進入銀行伺服器，自動生成軟件。這次攻擊中，該犯罪組織共從歐洲、美國及世界其他地區的60多家銀行卷走6000萬歐元。

通過控制智能手機，盜取賬號和資金，在技術上已經實現。

智能手機之所以成為眾矢之的，跟它逐漸取代PC的各種功能有直接關係。

過去在PC端進行金融支付時，銀行擔心你的電腦可能會出問題，往往都會用給手機發送驗證碼的方式確保支付安全。這個看似繁瑣的方法，是目前國際上通用的雙因子認證的安全手法。

然而如今越來越多人直接在手機端支付，那銀行的驗證碼還能發到哪裏去？沒有另一個合適的平台去進行二次驗證，風險便大大增加。“PC還有很多網絡安全防護設備，但手機是沒有任何防備直接連到因特網的，是裸跑的。”系統安全學者韋韜坦承手機的安全脆弱性令人擔憂。

在從事安卓、iOS系統研究的多頂尖黑客看來，智能手機的安全性和便利性一直是一對難解的矛盾。篇首歐洲銀行被洗劫的案例還只是因為手機這個“第二因子”失守。而如今，當雙因子保護都不復存在，所有的網上支付都把手機當成唯一因子，“以前別人要竊取你的支付信息或偷你的錢，需要控制你的電腦、再控制你的手機，現在只需要控制你的手機就完全可以做到。”美國喬治亞理工學院科研人員王鐵磊表示。

“安卓和iOS哪個更安全？”在黑帽會場，我們無數次向手機系統安全、軟件安全研究者提問，卻一次次被答案嚇到。

“沒有哪個更安全，真說了你一個都不敢用。”[NT:PAGE=$]

“你覺得你的手機很好，但當我們團隊裏有人用2分鐘就控制了你的手機時，你還會覺得安全嗎？”

研究者們的結論並非聳人聽聞。

先說安卓。

7月底，舊金山的安全公司Bluebox發布報告，指出安卓系統的漏洞可以讓惡意App假冒正規App，從而劫持用戶的手機或平板電腦。該漏洞的核心便是“虛假身份”(Fake 　ID)。

ID是每款安卓應用都要有的數字簽名，比如，Adobe公司在開發其所有的安卓應用程序時都要有一個ID，但當某款應用亮出Adobe 　ID　時，安卓並不會向Adobe公司核實該ID的真實性。因此，裝過的惡意App將被錯誤地識別為原始的正版App，從而獲得手機或平板裏的資料。

8月初的 Black 　Hat　上，Bluebox的安全總監Jeff 　For-ristal現場演示了如何利用“虛假身份”這一漏洞惡意攻入安卓手機，在用戶不知情的情況下獲得特定的安全特權，從而竊取數據、恢復密碼，在特定場合下甚至可以完全控制安卓設備。

“如果惡意軟件裝成‘谷歌錢包’，便能獲得用戶的財務信息。”

幸運的是，今年3月31日，Bluebox就已將這一漏洞報告給了谷歌公司，同時告知了其他安卓領域的開發者和設備製造商。谷歌表示，已經在安卓4.4系統內彌補了該漏洞。但安卓4.4以下的系統仍存在這一問題。

發現漏洞、上報系統、彌補漏洞，本來是看似良性的循環，但安卓開源帶來的多角色參與、長產業鏈問題，讓這個循環走得並不順暢。

“一旦發現安卓的漏洞，谷歌會打補丁，然后通知OEM廠商打補丁，一般會給他們定個時間。但谷歌在責任上只是維護AOSP (注：安卓開放原始碼項目)，並不需要對廠商負責，所以將安全補丁backport(注：將一個軟件的補丁應用到比此補丁所對應的更老版本的行為)給老版本也不是他們的職責。而不少廠商並沒有承擔起這樣的責任——將安全補丁移植到老版本上，於是老版本安卓的手機在市場上有大量用戶，這些用戶都受到這些漏洞的威脅。”韋韜如是分析。

事實證明的確如此，Bluebox 在將“虛假身份”漏洞提交給谷歌后，安卓安全團隊已於今年4月開發出了解決方案。照理來，在Bluebox發布研究結果前，這些設備製造商有90天的時間修補漏洞。但Bluebox對40款安卓設備的測試結果顯示，僅一家廠商主動修補了該漏洞。

再來說蘋果。

“后門”事件持續發酵。彭博社8月6日援引消息人士法，指出“中國政府將包括 iPad、MacBook等在內的10款蘋果品移出政府採購名單，原因是考慮到信息安全問題”。該消息一天之后就被我國財政部辟謠，負責政府採購的官員表示，蘋果公司品從未列入我國政府採購節能品清單。有分析直指外媒可能在為蘋果iPhone6上市提前炒作。如此種種，皆因蘋果那道“后門”。

如果安卓系統的風險在於開源可能帶來的惡意軟件，那蘋果iOS系統最大的問題則是封閉導致的用戶失去設備控制權。[NT:PAGE=$]

“蘋果公司的掌控力越來越強，這是把雙刃劍。好處是如果手機丟了，你可以遠程定位自己的手機，遠程刪除自己的數據。但從另一個角度，手機的控制權已經不完全在你手裏了。”王鐵磊。

“后門”事件其實也是另一種形式的控制。

“想要查一個人，監控他的定位信息比查他的通話記錄要有效率得多。”美國In-Q-Tel公司安全專家，同時也是今年 Black Hat主旨演講者的丹·格爾在接受我們採訪時這樣評價蘋果“后門”事件。

不過，更多業內人士表示，定位信息的泄露不是蘋果一家的問題，在安卓系統設備上問題也很大。

很多人選擇蘋果是看中其應用商店的“乾淨”，很多人相信蘋果的應用商店是沒有惡意代碼惡意軟件的。但專門研究iOS漏洞的王鐵磊團隊告訴我們，事實並非如此。

“我們去年做過一個嘗試，開發了一個惡意App，可以偷偷發信息、發郵件、發推特、驅動藍芽，並且它繞過蘋果商店的檢測成功發布了。我們的試驗證實了，蘋果沒法保證其App 　Store裏的應用都是安全的。”王鐵磊表示，他們的嘗試只是從學術研究角度出發，發現漏洞的第一時間就會報告蘋果公司。

“我們的團隊可以做到，真正的惡意軟件開發者也可以做到。”王鐵磊事后反思，在蘋果App Store裏已經擁有的上百萬個應用裏，有不少是其實已經壞了的，用戶根本沒法知道。“蘋果單方面宣傳自己的App 　Store是安全的，這其實有一定的誤導性。我認為蘋果起碼應該提醒用戶，下載App 是有一定風險的，就如同香煙盒上印上‘吸煙有害健康’，用戶應該擁有知情權。”

安卓和iOS各有各的問題，很多人於是期待一個更安全的系統橫空出世，但在研究者看來，目前很難出現第三個足以和它們抗衡的系統。

那怎樣才能讓自己的安卓或蘋果手機更安全一些？

硅谷一家安全公司Trust-look　的 CEO 　Allan 　Zhang　坦言，如果不是專業人士，很難做到有自我感知的防護。

“國內那個‘××神器’一天時間就影響了超百萬的用戶，一個初學者寫的APK(注：安卓安裝包)都能有那麼大影響，要收割中國市場的賬號信息並不需要太高的水平，就看誰來捅這一刀了。”韋韜更是直指國內市場之脆弱。

“收割”，聽起來血淋淋的一個動詞，在安全從業人員看來是極有可能發生的一件事。

韋韜分析，現在手機安全領域問題最嚴重的主要在中國、俄羅斯，以及歐洲其他地方。“之所以現在國內還沒發生影響特別大的事件，是因為搞‘黑’的黑客還有其他風險更低的市場可以做。但從技術角度看，完全能做到。”

除了用戶的自我防護意識需要加強外，提供應用服務的商家的安全意識也有待提高。360手機安全中心上月發布的一份針對16家主流銀行手機App的評測報告就暴露出不少問題。除一家銀行外，其他銀行的App均存盜版現象，個別甚至有20個以上不同的盜版版本。另外，雖然多數銀行App使用了自繪隨機鍵盤，但如果被注入惡意模組，依然不安全，攻擊者甚至可以拿到明文的密碼。

Allan認為，現在還有不少商家在用“很好笑”的方法做安全，“你裏面是個大金庫，門上鎖了10把鎖，一個套一個，10把鑰匙串成一個大環，壓在門口一塊磚下面。表面看起來很安全，但移開那塊磚，鑰匙都在那兒。你把10把鑰匙都放在App裏，用戶看不到，但黑帽子看得到，拿到了直接進后台，想幹什麼幹什麼。”

回到上海后，我第一件事情就是把所有的密碼給改了。第二件事，啟用了一個荒廢多年但沒留下多少痕跡的舊郵箱。名片上的那個郵箱，還是算了吧。

另外，我再也不敢用手機連接任何公共WiFi了。