凯文·米特尼克

安防峰会
雷锋网AI研习社 AI投研邦 活动 专题 爱搞机

业界人工智能 学术 开发者 智能驾驶 新智驾TV AI+金融科技未来医疗网络安全智慧城市 智慧安防 智慧教育 智慧交通 智慧社区 智慧零售 智慧政务 机器人行业云智能硬件物联网GAIR
网络安全正文
1

世界头号黑客凯文·米特尼克来中国第一天就把自己的密码暴露了……
本文作者：李勤 2017-08-15 23:57 专题：CSS 中国互联网安全领袖峰会
导语：什么攻击？什么礼物？
16岁时，他仅凭一台电脑和一部调制解调器就闯入了“北美空中防务指挥部”，

此后，他经常潜入全球各大的计算机系统，查看甚至任意更改数据。

美国国防部、五角大楼、美国国家税务局、纽约花旗银行……这些美国防守最严密的网络系统都曾是他闲庭信步的地方。

他就是凯文·米特尼克 ，被称为世界头号黑客。

由于窃取国家核心机密，他受到美国联邦调查局 FBI 的通缉，并于 1995 年被逮捕，受了五年牢狱之灾。

万万没想到，现在他却是 FBI 的高级安全顾问，并开设了安全公司，摇身一变成为一个网络安全守卫者。

世界头号黑客凯文·米特尼克来中国第一天就把自己的密码暴露了……

关于他，还有几个“传说”
传说一：美国政府曾将他单独监禁？
是的，为了防止他“作妖”。

凯文·米特尼克 上中学时就开始搞一些黑客活动。比如，人家 16 岁就跑到麦当劳把点餐机给黑了，当然，他不是为了自己免费吃汉堡，而是为了恶作剧免费让别人吃汉堡！

美国网络安全的第一个相关法律的诞生是在 1984 年，但是，早在 70 年代， 凯文·米特尼克 就在法外之地从事黑客活动。

也许是养成了“感觉没被法律控制的习惯”， 凯文·米特尼克 第一次被捕时，被押到了联邦法庭，当时法官旁边站着一个公诉人。公诉人说：“他对国家安全产生了非常大的威胁，我们要确保这个人他不会用到任何的电话，甚至在监狱里也不会拿到电话。”

公诉人这么说是有原因的： 当时 凯文·米特尼克几乎无所不骗。他可诱使人们泄露各种信息，包括密码，上网帐号，技术信息等，他还窃听技术人员的电话，秘密监控政府官员的电子邮件，利用员工的人性弱点瓦解“安全长城”等。

公诉人害怕，一旦 凯文·米特尼克 接触了电话，就会利用电话拨打调制解调器的号码，发起另外一个攻击，可能会启动“第三次世界大战”。

“我在法庭上就笑了，但是法官并没有笑。后来因为这样的原因，我在监狱里面单独监禁了一年的时间。”凯文·米特尼克 “无奈”地说。

传说二： 凯文·米特尼克和其团队的渗透测试成功率是 100 %
“我们能够实现百分之百的成功率。”凯文·米特尼克笃定地说，“而且是在全球范围内，如果客户要求我们做这样一个测试的话。”

“社会工程学大师”不是白叫的。

凯文·米特尼克 称，只要他们使用社会工程学，就可以让公司里的员工打开一个附件，或者是打开一个超链。他在 CSS（ 第三届中国互联网安全领袖峰会） 2017 的舞台上还淡淡地举例：最近我们有位员工解密了希拉里的一封邮件。

“对于攻击者来说，实际上有一些是很容易攻击的。”他轻描淡写。

花式演绎三波入侵
第一波：攻入银行门禁
攻破监控级别严格的银行大楼？凯文·米特尼克 从吊打门禁卡开始。

世界头号黑客凯文·米特尼克来中国第一天就把自己的密码暴露了……

首先，你要“偷”到一张门禁卡。

凯文·米特尼克 演示，他先来到金融机构大楼的某一层，在工作时间要进入到另外一个门，需要一张可以通过 HID 门禁的卡。一般情况下，攻击者只能跟着别人进去。但是，凯文·米特尼克 想到，在这一层有一个门可能不需要任何卡——卫生间！所以，他等到有人进入卫生间，利用一个设备远程偷到门禁卡的密码。

他顺便在台上宣传了一下这种设备，300美元买不了吃亏，买不了上当，这个设备只要300美元哦亲！

通过这种设备，他可以复制智能门禁卡的信息，将信息拷贝到另一张空卡中。

不过这种设备需要距离被拷贝者比较近，所以，可以选择咖啡厅、吸烟室、卫生间等场所进行拷贝，并将上述设备用皮包等物体掩饰，找机会靠近目标人物，瞬间便可以复制对方门禁卡的信息。

如果人家不让你靠近怎么办？没事，他还有另外一个装备。这种装备可以在 3 英尺外复制你的卡的信息。

最夸张的是，凯文·米特尼克 曾在一个美国会议上演示，如何用这种设备同时拷走 150 张卡的信息！

这位顶级社会工程学大师又秀了一把社工技巧：再来一个方案！

他可以伪装成要租办公楼的人，先跑到人家楼里看场地，同时用一堆问题问晕租赁人：我们有好几十人要办公呢！你看看我们5年租约的话是多少钱，10年的话能有优惠吗？

趁着人家用心地算帐，他开始耍花招了：哎哟，我们有几十个人，难道要几十把钥匙？能看看你们门禁卡吗？

然后，人家就可能晕乎乎地把卡拿给他看，他的小设备藏在兜里，随便晃一晃，信息到手。然后，他还能顺便入侵到人家大楼的数据中心。

收工，走人！

第二波：分分钟破掉笔记本电脑的密码
进入到企业以后，假如不从数据中心入侵，而是要潜入一个重要岗位员工的电脑怎么办？因为一般的电脑都会有密码保护。

凯文·米特尼克 拿出了自己的 MacBook Air ，还原了破解电脑密码的方法。

当然，这次 凯文·米特尼克 又从自己的百宝箱掏出了一个装备：又是一种类似卡的装备，直接通过 USB 接入口，盗取内存，偷取用户的密码。

“ 这是有一个 USB 接入口。运行一下这个工具。可以来激活袭击，重启后，它会进行到分析程序中，之后重启，这是一个退出的机器。有时这项攻击不会成功，因为不是每次都完美。测试时可能只有一次机会，如果没有重启的话，还是需要再重新登入。”凯文·米特尼克 说。

雷锋网编辑看到，有意思的是，第一次尝试在锁屏状态下获取自己电脑的开机密码时，凯文·米特尼克 失败了。

原来，在 凯文·米特尼克 演示前，他进行了多次排练，有时在演示前没有对设备进行重启。

凯文·米特尼克 第二次尝试时，成功了，经过一些简单的操作之后，现场大屏幕上显示出了他的 MacBook Air 的开机密码。

世界头号黑客凯文·米特尼克来中国第一天就把自己的密码暴露了……

偷偷告诉你，他的开机密码是：httpseverywhere。

不过，你知道了也没用，凯文·米特尼克 说，回去他就改密码。

第三波：现场中一下 WannaCry 病毒吧！
收到什么邮件你可能会点击邮件内的链接？“你滴鹅几在我手上”这种勒索信早就不管用了。

凯文·米特尼克 似乎能猜透人心，他给出的这版邮件内容可能会让你的电脑染上 WannaCry 病毒。

比如，对于一个新客户、新厂商，在网上有这样一些会议邀请，他们并不会怀疑这种会议邀请的真实性。所以，很简单，先创建一个会议邀请邮件。

当然，在邮件内，你还要伪造一个 Go to meeting 的网页链接，需要用户确认参加会议。

让雷锋网(公众号：雷锋网)编辑懵逼的是，这个网页看起来没有任何问题，版面、颜色也和真正的 Go to meeting 网站一样，需要用户复制粘贴与会 ID 进行验证。事实上，这是个虚假网站，验证后网页会诱导用户运行一个程序，该程序的号称是用来确认参加会议的，但其实是一个 WannaCry 的病毒程序。

BINGO！一点击，立刻中招！

这次，没去 CSS会议现场的同学可能要伤心了：你虽然很难拿到凯文·米特尼克 的亲笔签名，但是他为在场观众准备了 500 份小礼物。据凯文·米特尼克 介绍，这个小礼物看上去是一张卡，其实是个攻击工具。

这张卡长这样：

世界头号黑客凯文·米特尼克来中国第一天就把自己的密码暴露了……

好气，下一项议程还没开始，大家就一窝蜂地排起了长队，你看，边上挤成一堆的人就是排队的人，雷锋网编辑赶着写文章，没有拿到……嘤嘤嘤。

世界头号黑客凯文·米特尼克来中国第一天就把自己的密码暴露了……

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

1人收藏 分享：
相关文章
Kevin Mitnick黑客世界头号黑客CSS腾讯CSS2017凯文·米特尼克

世界头号传奇黑客凯文•米特尼克首度来华 将亮相 CS ...

黑客顺着数据线爬过来，搞瘫了一台电脑

赛门铁克非军方最大威胁情报中心揭秘：黑客今年怎么 ...

黑客利用虚假谷歌 reCAPTCHA 隐藏恶意软件
文章点评：

我有话要说……
表情 同步到新浪微博 提交
专题
CSS 中国互联网安全领袖峰会
本专题其他文章

安全巨星Bruce Schneier：我们正生活在一个极不安全的计算机世界｜CSS 2018
CSS2018将于8月召开 全球顶级安全大咖齐聚研讨安全驱动力
Firefox、Chrome 现CSS 漏洞 可造成 Facebook 用户信息泄漏
安卓内核UAF漏洞利用探秘
CSS2017: 提升安全态势感知能力 携手共创安全防护新模式
CSS2017人工智能分论坛：AI为网络与信息安全带来新可能
more

李勤
编辑、作者

跟踪互联网安全、黑客、极客。微信：qinqin0511。
发私信
当月热门文章
国内某天气App被指上传用户Wi-Fi 信息，还牵扯了腾讯，怎么回事？
阿里云代码托管平台上多家企业误开放访问权限，谁的锅？
AI 让朱茵秒变杨幂，但我拒绝成为波多野结衣
360集团技术总裁、首席安全官谭晓生宣布离职
NSA 正式上线免费逆向工程工具 Ghidra
最新文章
腾讯辟谣“多闪APP弹窗”事件：超范围使用用户数据，现已起诉
3·15曝光闪付风险，银联回应：可全额赔付
如果外卖APP想窃听我，有几个骚操作？
大学生用京东白条漏洞骗走110万，官方回应：漏洞已修复
黑客顺着数据线爬过来，搞瘫了一台电脑
Play Store发现SimBad恶意软件，1.5亿Android用户成受害者
热门搜索
UberHTC创客神经网络intel激光雷达中国WWDC移动广告东芝破解
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会先打智能硬件公司智能硬件QQ红包支付宝红包敬业福大疆无人机slack必要ibm苹果更换电池dash buttonglxss人工智能 招聘helio p10 处理器怎么样视频appgalaxy note 10.1 2014拉里·佩奇airplay 电视无人机避障ipad air更多
联系我们关于我们加入我们意见反馈投稿申请专栏作者
Copyright © 2011-2019 www.leiphone.com 雷锋网-读懂智能&未来 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank