黑客的变迁,也许会让人联想起《星球大战》中的情节。同样是一个拥有超能力的人,站在“力”的光明面,就是维护宇宙和平的杰迪骑士,站在“力”的黑暗面,就成了冷酷暴虐、人见人恨的黑勋爵。行善行恶一念之差,这个道理说起来简单,做起来却不容易。
听到过这样一个真实故事:
一个大型企业的财务科长贪污了好多钱(大家都这样认为),可是他的帐做得天衣无缝,谁都查不出来。后来,在一次财务大检查中,这位财务科长终于被挖了出来。检查组的人问他,还有什么话可说的?回答是,希望能够见识一下“发现秘密”的那个人,如果可能,希望能够让他“戴罪立功”查一下对方的帐。
大检查组把他的这个要求向上级作了汇报,并且得到了允许。这位财务科长果然把对方的这位银行干部挖了出来,同样是一位大贪污犯。
讲到这里,也许大家都已经明白了下面要讲什么故事。
网友“大侠”在大学里读的是电脑专业,毕业后分配到电信局从事数据业务,1995年就开始接触互联网,是国内最早的一批网虫。大侠每天按时上下班,维护电信局的网页,主持自己的BBS,下班后他远离网络世界,沉迷于麻将桌上,日子过得有滋有味。直到有一天,他的平静生活终于被一件意外事件所打破。
那天上班时间,大侠被朋友“三缺一”的电话召走,偏偏在这段时间他负责的网站被黑客黑掉,BBS被删改得面目全非,还被贴上了反动、黄色的帖子,酿成政治事件。当天晚上大侠从被窝里被有关部门带走,足足审查了半个月。最后虽然查明了原委,但大侠由于旷工造成了严重后果,也受到了严厉的处分。
重新工作以后,大侠就好像换了一个人似的。每天早来晚走,刻苦钻研,很快就成为一个非常有成就的程序员和源代码的创造者,对复杂的网络问题能够提出非常有效而又简单明了的解决方案。大侠给自己的网站建了一道坚固的防火墙,成功地抵御了黑客的多次袭击。为了检验自己的水平,也为了测试其它网站的安全,以给自己的网站建设提供参考,大侠慢慢地成为一名黑客。
大侠的成名之举是在半年前,当时国内某著名网站悬赏挑战黑客,在外地出差的大侠找了台兼容机,穿着背心短裤,边听音乐边啃方便面,轻轻松松地就黑掉了该网站的主页。虽然后来对方食言,大侠没有拿到赏金,但却从此确立了他在网络江湖上的地位。
自从一战成名以后,常常有网络公司前来请大侠帮忙寻找网站的安全隐患、设计应用程序和防火墙、运用技术手段打击网上的违法违禁行为。大侠对各种流行的黑客技术作了详细的记载和分析,掌握了大量网络安全防范技巧,一跃成为反黑客专家,被同行戏称为“从良”。
现在大侠的最大心愿,是拉到一笔风险投资,成立自己的网络安全公司,成为一名网络安全企业家。
世界头号黑客米特尼克,在出狱以后答复小“黑客”们的提问时也认为,黑客对于计算机天生有着一种极其强烈的感情,他们把一天中的大部分时间都用来磨练自己的技术,相互之间经常进行交流,所以,他们的技术水平要大大高于那些所谓的“专家”。那些“专家”“朝9晚5”地工作,除了在大学学到的那点东西之外,在实际生活中学不到什么东西。实际上,今天在网络安全方面做得最好的,就是昔日的黑客们。
米特尼克认为,要建立一个防范黑客的安全系统,首先,软件制造商必须发表一个声明,承认他们的软件在某些方面存在不足,从而防止那些具有逆向思维的黑客,将该软件作为攻击目标。
其次,公司和个人都应该加强培训,防止他们成为黑客袭击时的牺牲品。
再次,应该尤其重视个人因素在计算机安全方面的作用。一个公司可能需要花费大量的财力来改进软硬件设施,但是,如果公司个人泄露了这些信息,那么公司采用的安全措施就会大打折扣。并且,如果公司内部有人想搞破坏活动,就更加难以防范,因为“堡垒更容易从内部被攻破”。
2001年1月,为了应付以军事系统为目标的电脑黑客的挑战,日本防卫厅向国会提出了自卫队法修正案的建议,以高薪延揽民间电脑高手为自卫队服务。日本防卫厅准备首期招聘200~300名民间黑客,给他们以5年的任期,任期内可以享受相当于东京大学校长级别的月工资待遇,即137.5万日元。
2001年1月,印度IT业的领导机构、国家软件和服务公司协会宣布,他们专门招募了19名14~19岁的“童子军”,组成了网络警察部队,以专门对付黑客的捣乱。
据悉,这些少年电脑神童以前都是黑客。但是,他们现在已经改邪归正了。他们在一份给国家软件和服务公司协会的保证书中庄严宣誓,从网络黑客变为网络执法者,决不从事黑客的行为。据该协会发言人透露,这些少年网络警察,将被分派到印度全国各大城市,隶属于“国家网络公司委员会”的网络警察部队,并以网络顾问的身份,向在建立反黑客防火墙方面需要帮助的软件公司提供支持。
除了上述19名计算机天才之外,印度国家软件和服务公司协会还另外雇佣了30位计算机安全警察,并为他们专门安排了高技术安全课程,以便应付未来的反黑斗争。
为什么要招募这批原少年黑客来反黑客呢?印度国家软件和服务公司协会主席梅赫塔解释说:“只有黑客才最清楚应该采取何种方式反入侵。”
与此同时,商业机构在网上和电脑方面受到越来越多的黑客袭击,也迫使一些企业的法律顾问学习黑客入侵电脑的技巧,努力成为“反黑客律师”。
2001年4月,美国一家电脑保安顾问公司Foundstone为律师开设了一门新课程,名为“终极黑客技巧:亲身体验”。它向律师教授一般网上罪行的详细情形,让他们亲自当一回黑客。律师学习到的技巧,包括利用“特洛伊”(Trojan)程序在一家公司的电脑系统中设置“后门”,从而控制他人的电脑系统等。
除了教授黑客技巧以外,课程内容还包括简单的收发电子邮件、浏览网页、使用Telnet、ftp甚至Napster等系统,以至有关互联网的联邦法律,包括网络隐私等政策、追查以电子邮件发出的死亡恐吓信等,全部由资深电脑专家和熟悉网上事务的律师教授。
在过去,公司律师一般会将网上罪行交给联邦调查局(FBI)和当地执法部门进行处理,但是Foundstone公司指出,这种处理方法很难继续行得通。因为在不少黑客案件中,速度变得非常重要。如果律师能够在证据消失以前就将其储存起来,掌握收集证据的主动权,就会对案件有很大帮助。特别是不少公司发生的黑客案件,最终会发现是内奸所为,在这种时候,就更需要律师进行内部调查,没有办法依靠其他人。因为黑客犯罪所留下的电子证据,要比实质证据容易流失,因此,这种培训非常显得很有必要,也非常有价值。
§§第十三章 未来篇——与互联网白头偕老