1.2 黑客与黑客道
在人们谈论网络攻防时,往往马上会和“黑客”联系在一起,然而大多数情况下他们口中的“黑客”并非真正意义上的黑客,而是骇客。真正的黑客才是网络攻防技术的创造者和掌控者。
1.2.1 黑客与骇客
黑客(Hacker)这个名称最早出现在20世纪60年代。当时,美国麻省理工学院(MIT)一群致力于计算机科学研究的学生通宵达旦地在实验室里操作机器,分析、研究程序和计算机系统,检测软硬件的瑕疵并修正。他们需要共享程序源代码、纠错并改进工作,这类工作被赋予了一个名称——“hack”,而从事这些工作的人被赋予了一个称谓——“黑客”。
英文动词“hack”原意为“劈”、“砍”,也就是“劈出”、“开辟”的意思,进一步引申的意思是“干了一件非常漂亮的工作”,在这里是被用来形容“在技术上,某人聪明地找到了解决问题的方法”。而“hacker”的原意则是用斧头做家具的能工巧匠,麻省理工的学生们重新赋予这个极具挑战性的古老职业新的含义:能够面对挑战,创造技术,解决问题的人。潜移默化中,“hacker”的这一用法得到了广泛的承认。
由此,从起源来看,黑客是一个带有褒义的词语,是指那些技术高超、爱好钻研计算机系统并竭力提高其性能的程序员。他们不以破坏或扰乱计算机系统为目的,相反,他们竭其所能,不断改进和完善计算机系统,为计算机的发展做出了巨大贡献。
但是,随着网络技术的发展,如今这一称呼所指向的群体却发生了根本性的变化。尤其是现在,人们提到黑客,一般所联想到的都是“计算机捣乱分子”或是“计算机犯罪分子”,他们掌握着看起来很“高超”的计算机技术,并依靠这种技术实施非法入侵、偷窃、破坏等不良行为。
现阶段,人们使用“黑客”这一称呼时,其中至少包含了两类人:
第一类是真正的黑客或称为经典黑客,是指那些对任何操作系统神秘而深奥的工作方式由衷地感兴趣的人。他们通常是程序员,掌握操作系统和编程语言方面的高级知识,能发现系统中所存在的安全漏洞以及导致那些漏洞的原因。他们不停地探索新的知识,自由地共享他们的发现;他们从来没有、也永远不会存心破坏数据;他们喜欢挑战或设法避开层层安全措施,获得访问权并尽可能深入地访问系统内部,四处看看,不拿任何东西、不破坏任何东西,只是学习一切,然后离开。他们相信自己有权利这么做,仅仅因为他们有能力这么做,他们无意于破坏系统,尽管他们很容易做到这一点。他们是真正的黑客。
第二类便是骇客(cracker)。在英语中,crack有“使破裂”、“猛击”之意。不难看出,骇客是指恶意攻击者,是指那些强行闯入终端系统或者以某种恶意目的干扰终端系统完整性的人。骇客通过获取未授权的访问权限,破坏重要的数据。恶意侵入、破坏他方信息系统的“黑客”应该被称为骇客,他们不再是新东西的创造者,而是这个世界的破坏者。如果他们破坏的程度触及到了违犯刑律,他们就变成了真正的罪犯,而不是黑客。
在著名的黑客辞典(Jargon File)
中,对黑客(hacker)这一词汇做出如下的解释,也明确区分了黑客和骇客这两个完全不同的社会族群。
1.迷恋于探索可编程系统的细节及如何拓展其能力的方法;
2.狂热的(甚至强迫性的)编程爱好者;
3.能够赏识黑客能力和价值的人;
4.擅长于快速通过编程解决问题的人;
5.一个特定领域或语言的专家,如UNIX黑客;
6.任何行业中的专家或狂热爱好者,如天文学狂热者(astronomy hacker);
7.能够从创造性地征服和突破困难问题中得到乐趣的人;
8.[偏见] 试图通过四处刺探的方法获取敏感信息的恶意捣乱者,这种人应该被称为骇客(cracker),而不是黑客。
骇客(cracker)这一词汇是在1985年由黑客社群提出的,用于反驳媒体对“黑客(hacker)”词汇的滥用。骇客是破解系统安全机制进行攻击的人,与普遍流传的传奇故事恰恰相反,破解攻击通常并不需要什么高深神秘的黑客才能和技术,更多的是利用对破解目标系统普遍存在安全漏洞的一些广为人之的技巧和窍门,进行持续无聊地重复。因此,真正的黑客是看不起骇客和他们的骇客行为的,尽管真正的黑客也曾经进行过一些无伤大雅的破解攻击行为,也了解这些基本的技巧,但经过启蒙阶段的黑客已经不再有进行破解攻击的意愿,除非是出于紧急、良好且实际的需要。
因此,事实上骇客社群和黑客社群之间的交叉范围要比被媒体所误导的普通读者所认知的要少很多。骇客通常组织成小型的、结构紧密的、秘密的团伙,而与庞大的、开放的多元化黑客社群是完全不同的,两者之间的文化是背道而驰的。尽管骇客经常喜欢将自己标榜成黑客,但是真正的黑客仍然将其视为与之不相关的“低等生物”。
1.2.2 黑客道起源
Hackerdom,黑客道。如同-dom作为英文名词后缀表示抽象含义,源自中国的“道”也更多是对精神层面的探究,源自中国的“道”无法用具体的语言来描述,更多的需要去体会源远流长的国学,同样,源自西方的Hackerdom(黑客道)也需要在直面挑战追逐技术的路径中慢慢琢磨和寻味。
Eric S. Raymond在其知名著作“E.S.R五部曲之黑客道简史”中指出,黑客道的起源实际上同时伴随着计算机技术的出现和发展,黑客社区也是由计算机技术发展过程中做出重大贡献的先驱们所组成和发展壮大的。
● 黑客道史前时代——“真程序师”(Real Programmer)时代
黑客道随着1945年艾克特(Eckert)和莫齐利(Mauchly)发明世界上第一台计算机ENIAC之后开始萌芽。不断有狂热的真程序师投入其中,他们通过硬件器件搭建系统,使用原始编程语言甚至机器码编程,通过打卡机将程序穿孔到卡片上,通过读卡机输入计算机并执行。他们以撰写软件与玩弄各种程序设计技巧为乐,逐渐形成具有自我意识的一套科技文化。当时这批真程序师主要来自工程界与物理界,他们戴着厚厚的眼镜,穿着T恤衫与纯白袜子,用机器语言、汇编语言、FORTRAN及很多古老语言写程序。他们是黑客道史前时代的先驱者,默默贡献,却鲜为人知。Cray巨型机的设计者西摩·克雷(Seymour Cray)就是“最伟大的真程序师”中的一员,据说他一人就包办了Cray硬件和操作系统的设计,作业系统是他用机器码硬干出来的,没有出过任何bug,运行稳定。真程序师,真大犇也。
从第二次世界大战结束后到20世纪60年代,是打卡计算机与所谓“大铁块”的巨型机(mainframes)流行的年代,由伟大的真程序师们主宰着计算机文化。
● 黑客道的远古时代——ITS文化
黑客道的真正诞生是在20世纪60年代,从社会与文化背景上分析,是60年代的民权运动和嬉皮士文化与人类历史上最具革命性的技术——计算机技术的结合产物。黑客道的“公元纪年”始于1961年,DEC公司创始人奥尔森(Olsen),向母校麻省理工捐赠了一台PDP-1大型机,麻省理工的学生们将这台机器当成最时髦的科技玩具,开始在上面创造各种程序和新技术。美国其他大学也开始购置大型机,当时许多大学都买DEC的PDP“迷你电脑”系列机器,因为DEC率先发展出商业用途为主的交互式计算及分时操作系统,兼具弹性与速度,相对于巨型机还很便宜。一开始,整个黑客道的发展以麻省理工的AI实验室为中心,但斯坦福AI实验室(简称SAIL)与卡内基· 梅隆大学(Carnegie mellen Univensity,简称CMU)也快速崛起。三个都是大型的计算机科学研究中心及人工智能权威研究机构,聚集着世界各地的精英,不论在技术上或精神层次上,对黑客道的发展都有极高的贡献。
1969年,美国国防部出资兴建阿帕网(ARPANET),将美国各大学、国防部承包商和研究机构的巨型机和大型机都联上网,形成了第一个横跨美国的高速网络。ARPANET所带来的信息高速网络使得全美国和全世界的黑客能聚在一起,不再像以前孤立在各地形成一股股的短命文化,网络把他们汇流成一股强大的力量。
从麻省理工那台PDP-1开始,黑客们的主要程序开发平台都是PDP。在PDP流行的时代,阿帕网上是DEC机器的天下,其中最受黑客们青睐的便属PDP-10。麻省理工像大家一样用PDP-10,但他们不屑用DEC的操作系统,他们偏要自己写一个(传说中赫赫有名的)ITS。ITS全名是“不兼容的分时系统”(Incompatible Timesharing System),取这个怪名果然符合麻省理工的搞怪作风——就是要与众不同。很幸运,这群人并非“夜郎自大”。尽管ITS通常离奇古怪并与错误相伴,但是这不足以遮盖许多技术创新的光芒,而且ITS至今还是分时系统单次运行时间最长记录的保持者。ITS本身是用汇编语言写的,其他部分则由LISP写成。LISP在当时是一个威力强大、极其灵活的编程语言,LISP让ITS文化的黑客们得以尽情发挥想象力与搞怪能力。
作为ITS文化起源地和黑客道“盟主”,麻省理工当然不会满足于自己小打小闹,他们的野心很大,1964年他们开始和通用电器(GE)及贝尔实验室合作研发商业化的Multics操作系统,目标是占领所有巨型机和大型机的分时操作系统市场。虽然Multics引入了众多对操作系统技术发展做出巨大贡献的新概念和新技术,但是由于设计过于复杂和超前,工作进度缓慢,最后终究遭裁撤的命运,1969年贝尔实验室退出该计划。而通用电器也将包括Multics在内的计算机业务卖给了霍尼韦尔(HoneyWell)公司,霍尼韦尔公司还是坚持将Multics推向了市场,虽然在20世纪70年代卖出了几十套,但在随后的市场竞争中输得很惨,1987年霍尼韦尔放弃对Multics的维护,最后一台Multics在2000年也关了机。Multics最终退出了历史舞台,但即使它在市场上失利,也难以掩盖Multics在技术发展上的历史贡献,更何况Multics孕育了更加辉煌的UNIX。
● 黑客道的近古时代 - UNIX与微计算机文化
在ITS文化全盛时期,美国新泽西州郊外,另一股神秘力量在积极入侵黑客社会,并最终颠覆了整个ITS文化传统。1969年,也就是阿帕网成立的那一年,AT&T贝尔实验室的软件工程师肯·汤普逊(Ken Thompson)发明了UNIX。
Ken Thompson曾随贝尔实验室参与Multics操作系统的开发,工作之余自己写了个“星际旅行”的游戏在Multics上自娱自乐。然而贝尔实验室很快发现无法实现庞大复杂的Multics,因此很快退出了合作研发队伍。而Ken的“星际旅行”没地方玩了,他就在实验室里一台报废的PDP-7上胡乱写了一个操作系统,该系统在设计上有从Multics抄来的也有他自己的构想,用来继续玩他的游戏。Ken的同事Brian Kernighan嘲笑Ken说:“你写的系统好逊哦,干脆叫Unics算了(Unics发音与太监的英文eunuches一样)。”Ken的操作系统因此得名,并在后来才改名为UNIX。
Ken在贝尔实验室的同事丹尼斯·里奇(Dennis Ritchie),刚刚发明了新的编程C语言,于是他与Ken用C语言把原来用汇编语言写的UNIX重写一遍。如同UNIX一样,C语言的设计非常出色,严谨而不失弹性,UNIX和C语言很快地在贝尔实验室的工程师中得到欢迎。不过Ken与Dennis的雄心壮志还不止于此,他们领悟到硬件与编译器结合技术,已经颠覆了需要完全使用汇编语言编写操作系统才能发挥机器效能的传统,进步到作业系统可以完全用高级语言如C来写,通过编译技术转换为机器码,仍保有不错的效能。五年后,UNIX已经成功地移植到数种机器上,这当时是一件不可思议的事!它意味着,如果UNIX可以在各种平台上跑,UNIX软件就能移植到各种机器上,再也用不着为特定的机器写软件了。UNIX和C语言的绝佳搭档得到出乎意料的快速发展,到了1980年,已蔓延到大学与研究机构,还有数以千计的黑客想把UNIX装在家里的机器上。由于UNIX与C语言的深远影响,1983年美国计算机协会将当年的图灵奖破例颁给了作为软件工程师的Ken与Dennis,而自图灵奖诞生以来,其获得者一直都是计算机领域的科学家与学者。
UNIX社区也为UNIX专门设计了一套网络协议——UUCP:一种低速、不稳定但成本很低廉的网络,两台UNIX机器用条电话线连起来,就可以互传电子邮件。于是众多UNIX机器连成了专属网络Usenet,逐步形成了UNIX文化。1980年,第一个Usenet站点开始交换广播新闻,借此形成的巨大的分布式电子公告板系统,吸引而来的人数很快地超过了阿帕网。少数UNIX主机也连上阿帕网,UNIX文化与ITS文化也开始接触和交流,但ITS文化的黑客们觉得UNIX的拥护者都是些什么也不懂的新手,比起他们那复杂华丽,令人爱不释手的ITS与LISP, UNIX与C语言简直原始得令人好笑,简直是“一群穿兽皮拿石斧的野蛮人”。
在ITS文化与UNIX文化开始交锋的时候,又有一股新潮流开始风行。1975年IBM公司发布第一台微计算机IBM5150,1977年乔布斯创立苹果计算机公司,1978年英特尔公司首次生产出16位8086微计算机CPU芯片,1975年比尔·盖茨从哈佛大学辍学创办微软公司,最初在英特尔8080 CPU上开发BASIC编译器,并在1981年转入DOS操作系统的开发。微计算机的廉价和发展潜力立刻吸引了另一批年轻的黑客,他们最爱的编程语言是BASIC,由于它过于简陋,ITS文化的死忠派与UNIX迷们根本不屑用它,更不拿正眼瞧用这种“低级语言”的人。
● 黑客道近代史——开源软件和Wintel垄断联盟的对决
在1980年前后,在黑客道近古时代,ITS、UNIX和微计算机文化在同时发展,尽管彼此偶有接触与交流,但还是各玩各的。ITS文化虽然拥有性能最高效的大型机,速度和稳定性最高的阿帕网络,但却处于日暮西山的境地,ITS赖以生存的PDP-10逐渐过时,三大中心纷纷有人离开实验室去外面开公司,将人工智能的科技商业化。致命一击终于在1983年来临,DEC宣布:为了要集中在PDP-11与VAX生产线,将终止PDP-10的后续机型研发项目——“木星”项目,ITS没有发展前途了,因为它无法移植到其他机器上,或说ITS的复杂度导致了根本没人能完全理解它,更别说在其他机器上重新实现了。而伯克利修改过的UNIX在新型VAX机器上跑得很顺,在快速成长的微计算机科技下,UNIX文化取代ITS文化的主流地位是迟早的事。
在1982—1983年之间,微芯片和局域网技术猛烈地冲击着黑客道。以太网和摩托罗拉68000微芯片就是一个潜在的有力组合,众多公司纷纷组建起来,着手开发第一代我们如今所说的“工作站”。1982年,一批来自斯坦福和伯克利的黑客组建了Sun公司。他们坚信:将UNIX架设在以摩托罗拉68000为基础的机器上,足可以满足五花八门的应用软件所需,可谓是物美价廉之选。他们是对的,其高瞻远瞩为整个业界树立了楷模。这种工作站的价格,虽然大部分个人用户依旧无法承担,但是对于公司和大学来说可算很廉价了,很快将年迈的VAX和其他分时机型取而代之。
而正当UNIX蓬勃发展之际,随着1984年AT&T违反《反垄断法》被拆分,UNIX正式成为一个商品。UNIX迷们此时也分裂为免费的Berkeley UNIX(即BSD)与商业的AT&T UNIX两大阵营,矛盾最后演化成AT&T与BSD之间的官司诉讼,官司一直打到AT&T将自己的UNIX系统实验室卖掉,新接手的东家Novell公司才和BSD达成合解。这场长达十年旷日持久的战争给UNIX和BSD带来毁灭性的打击,也催生出黑客道近代史的两大主角——WIntel商业垄断联盟与自由软件基金会。
从20世纪80年代末期开始,英特尔(Intel)的80×86芯片有巨大的发展,性能快速上升,而成本快速下降,个人计算机的年代就要到来了。市场迫切需要能够运行在×86芯片上的操作系统,但是UNIX和BSD忙于打官司,都没有去做移植操作系统这件事。而两队人马成功把握了这个机会,从而改变了计算机发展的历史。
一队人马是比尔·盖茨领军的微软公司,他们推出了Windows操作系统,和互联网组成了WIntel商业垄断联盟,占领了个人计算机市场,赚了上千亿美元。
另一队人马则是以理查德•M.斯多曼(Richard M Stallman, RMS)为精神领袖的开源软件社群。斯多曼在1984年史蒂文·利维(Steven Levy)完成的《黑客》一书中称为“最后一位真正的黑客”,他是麻省理工实验室的一位领军人物,Emacs的发明人,极度狂热地反对将实验室科研成果商业化。斯多曼着手创建了自由软件基金会,并致力与创造高品质的自由软件。他的宏大计划可谓是20世纪80年代早期黑客文化变迁的缩影:1982年,他开始架构一整套UNIX克隆产品,使用C语言编码并且让其可以被自由使用。这便是我们熟知的GNU操作系统计划(其名称源自“GNU' s Not UNIX”的首字母递归)。GNU很快就成了黑客道活动的主战场,在以UNIX和VAX为中心的黑客文化中,ITS的传统精神衣钵被新秀作为精髓承袭下来,并在随后的十余年光景里,黑客道的公共意识形态得以逐步形成和发扬。
然而在20世纪八九十年代IT创业激情蓬勃的年代里,自由软件基金会并没有像预想的计划那样找到足够多的黑客,按照传统“大教堂”式的软件开发模式,推进一个大规模操作系统的开发,直到1996年,斯多曼承诺已久的GNU操作系统——HURD都没看到影子。
在这个空窗期里,1992年一位芬兰赫尔辛基大学(Helsinki University)的学生——林纳斯·托瓦兹(Linus Torvalds),使用自由软件基金会的程序开发工具,开始在一台386 PC上开发了一个自由软件的UNIX Kernel,他很快地写好简单的版本,命名为Linux,丢到网络上分享给大家,并吸引了非常多的黑客来帮忙。
Linux最大的特色,不是功能上的先进,而是全新的软件开发模式。在Linux的成功前,人人都认为像操作系统这么复杂的软件,非得要靠一个开发团队密切合作,互相协调与分工才有可能写的出来。商业软件公司与20世纪80年代的自由软件基金会所采用都是这种发展模式。Linux则迥异于前者:一开始它就是一大群黑客在网络上一起涂涂抹抹出来的,没有严格的品质控制与高层决策发展方针,靠的是每周发表新版供大家下载测试,测试者再把bug与patch贴到网络上改进下一版。一种全新的物竞天择、去芜存菁的快速发展模式。令大伙吃惊的是,东修西改出来的Linux,跑得顺极了。1993年年底,Linux发展趋于成熟稳定,能与商业的UNIX一分高下,渐渐有商业应用软件移植到Linux上,并最终取代了UNIX的地位,成为服务器操作系统的主流。
黑客道,一次次被人预测即将毁灭,却在商业软件充斥的世界中,披荆斩棘,筚路蓝缕,开创出另一番自己的天地。
1.2.3 黑客道的分化
与任何一个社会族群一样,由于经济利益驱动和意识形态等因素的影响,从20世纪80年代开始,传统的黑客道中也不可避免地出现“害群之马”,滥用自己所掌握的技术对网络进行危害,另外大量标榜自己为“黑客”的骇客们也很大程度地败坏了黑客的名声,新闻媒体在报道计算机相关的犯罪案件时也往往把犯罪者称为“计算机黑客”,所有这些因素的共同合力使得在黑客这一词汇逐渐被大众理解为贬义,而等同于骇客或计算机犯罪者。
之后,为了明确区分这个分化之后的黑客道构成,人们把对社会起积极作用的黑客称为“白帽子”,包括致力于互联网安全保障的研究人员,安全厂商/反病毒厂商中的核心技术人员,及遵循黑客精神和道德的独立研究者等;把对社会带来负面作用的骇客称为“黑帽子”(分别对应whitehats和blackhats,依据美国西部牛仔的服饰传统),包括追求经济利益的职业计算机犯罪者、计算机领域恐怖分子,以及充满好奇心但又缺乏责任心的骇客们等;而处于两者之间的称为“灰帽子”(grayhats)。
在20世纪八九十年代黑客道分化过程中,出现了如凯文·米特尼克(Kevin Mitnick)、阿德里安·拉莫(Adrian Lamo)、乔纳森·詹姆斯(Jonathan James)、罗伯特·塔潘·莫里斯(Robert T. Morris)、凯文·鲍尔森(Kevin Poulsen)等具有传奇经历色彩的黑帽子黑客,也涌现出理查德·马修·斯托曼(Richard M. Stallman)、林纳斯·托瓦兹(Linus B. Torvalds)、史蒂夫·沃茲尼克(Stephen Woziak)、蒂姆·伯纳斯·李(Tim Berners Lee)、下村勉(Tsutomu Shimomura)等对开源软件、互联网、安全技术发展做出重要贡献的白帽子黑客。
在所有的黑客中凯文·米特尼克是最具传奇色彩的人物,他被称为世界上“头号电脑骇客”,他甚至成为黑客道中最广为人知的崇拜对象。美国司法部将他描述为:“美国历史上最有威胁的计算机罪犯”。如果你这还不够了解他的“成就”:《战争游戏》War Game、《骇客追缉令》Takedown和《自由停工期》Freedom Downtime这几部关于他的好莱坞电影你应该会很感兴趣。
从攻破洛杉矶的公交卡系统坐霸王车开始,米特尼克开始了神奇的黑帽之旅。只有15岁的米特尼克闯入了“北美空中防护指挥系统”的计算机主机,并同另外一些朋友翻遍了美国指向前苏联及其盟国的核弹头数据资料,然后又悄然无息地溜了出来。这成为黑客历史上一次经典之作。1983年,好莱坞曾以此为蓝本拍摄了第一部黑客电影《战争游戏》。米特尼克拥有三次传奇的入狱经历,第一次是在16岁时侵入“太平洋电话公司”和联邦调查局网络系统,并吃惊地发现FBI特工们正在追踪一名“计算机黑客”——竟然就是他自己!米特尼克恶作剧地将几个负责调查的特工档案涂改成了十足的罪犯,但被FBI顺着线索找到并逮捕。但当时法律没有网络犯罪的先例,法院顺应“民意”将米特尼克关进了“少年犯管所”——米特尼克成为世界上第一个因网络犯罪而入狱的人。第二次入狱是在1988年因为攻击大公司网络、盗取DEC软件再次入狱,被判一年监禁,并且被禁止从事计算机网络的工作。第三次入狱则是黑客道中最经典的一段故事,1993年不踏实的FBI诱使米特尼克再次攻击网站,以便把他再抓进去。米特尼克虽然上钩,但毕竟身手不凡,在打入FBI内部后,发现了他们设下的圈套,并在追捕令发出前就逃离了。通过手中高超的技术,米特尼克在逃跑过程中控制了当地的电话系统,这样他就可以窃听追踪警探的行踪!1994年圣诞节,米特尼克向位于美国加州圣迭戈的超级计算机中心发动攻击,这一攻击的对象中包括一个因为米特而成名的人物,即后来人称“美国最出色的电脑安全专家之一”、在该中心工作的日籍安全专家下村勉。米特尼克从自己手中盗取数据和文件令下村勉极为震怒,他下决心帮助联邦调查局把米特尼克缉拿归案。圣诞节后,他费尽周折,马不停蹄,终于在1995年情人节之际发现了米特尼克的行踪,并通知联邦调查局将其逮捕。在单独监禁了5年8个月后,米特尼克最终幡然悔悟,目前的身份是计算机安全专家、顾问及演讲家,著有《欺骗的艺术》和《入侵的艺术》两本姐妹著作。
1.2.4 黑客道“现代史”
在分化的进程中,黑客道迈入了“现代史”,笔者认为作为分水岭的标志性事件是1988年11月2日Morris蠕虫在互联网前身阿帕网上的爆发。Morris蠕虫是第一个通过互联网传播的计算机蠕虫,得到了极其广泛的主流媒体关注,也导致了美国1986年颁发的计算机欺诈与滥用法令的第一例判罪。
Morris蠕虫的编写者是当时就读于美国康乃尔大学研究生一年级的罗伯特·塔潘·莫里斯(Robert Tappan Morris, RTM),美国国家安全局(NSA)计算机安全中心首席科学家老罗伯特·莫里斯的儿子。小莫里斯可谓出身名门,小时候,小莫里斯的父亲老莫里斯,曾从NSA带回一台原始神秘的密码机,成为一家人的谈资,激起了小莫里斯的强烈兴趣。他自己12岁就编出高质量的计算机程序,18岁时,就具有在最负盛名的贝尔实验室和哈佛大学当过程序员的赫赫经历。难怪有人感叹:他的简历,简直像电脑名人录中的一样。1988年冬天,小莫里斯写了一段只有99行的代码,按照他自己的说法,目标是去测量当时阿帕网的网络规模,代码利用了UNIX Sendmail程序、finger程序和rsh/rexec服务中的已知安全漏洞,以及利用从他老爸那里拿到的弱口令列表攻击系统的弱密码。同年11月2日小莫里斯跑到MIT(凑巧的是小莫里斯后来真的跑到MIT当教授了)将这段代码在阿帕网上执行,然而却发生了连他自己也没预料到的后果,代码很快在互联网中传播,短短12小时内,大概感染了6000多台UNIX主机(约占当时联网计算机数的10%),同时计算机可以被多次感染从而创建大量进程最终耗尽系统内容,使得机器完全瘫痪。Morris蠕虫造成了包括国家航空和航天局、军事基地和主要大学计算机停止运行的重大事故,据估算,造成的损失金额达1千万至1亿美元。小莫里斯也最终被追查到和逮捕,并被依据美国计算机欺诈与滥用法令判处3年监禁、400小时社区服务和1万美元罚款。
Morris蠕虫也宣告了全球互联网进入与安全威胁共舞的时代,催生了全球第一个安全应急响应组织CERT/CC。
早在1988年Morris蠕虫中就已经利用的缓冲区溢出攻击技术,借助Alphe One在1996年Phrack第49期上的文章Smashing The Stack For Fun And Profit,在黑客社区中得到了广泛全面的普及,并在1998年由Dildog在其文章The Tao of Windows Buffer Overflows中引入了从系统DLL中寻找“JMP ESP”完成指令寄存器跳转的技术,解决了Windows平台上的缓冲区溢出漏洞难以利用并加载远程执行代码的难题,从此针对在个人计算机主流的Windows操作系统平台的蠕虫和病毒攻击层出不穷,2001年由于红色代码等知名蠕虫的泛滥被称为蠕虫年,而2003——2004年蠕虫爆发的次数和影响范围又进一步扩展,对互联网网民造成了难以估计的灾难。
1998——1999年声明显赫的黑客组织“死牛崇拜”发布了Back Orifice和升级版BO2K木马,从此木马程序被不断地发展,花样更新,泛滥成灾。2000年,在三天的时间里,攻击者使用了一种新的攻击手段——分布式拒绝服务攻击,使美国数家门户网站——雅虎、亚马逊、eBay、CNN等陷入瘫痪。2000年前后,僵尸网络开始出现,攻击者引入了一对多的命令与控制机制,能够随时随地的控制成千上万台傀儡主机,扫描传播、拒绝服务、窃取隐私、发送垃圾邮件,他们可以指挥庞大的僵尸军团为所欲为。2005年前后,网页木马成为一种新的流行趋势,通过攻击客户端浏览器安全漏洞感染主机植入恶意木马程序。与此同时,黑客地下经济链得以逐步形成和蓬勃发展,由经济利益驱动,大量黑帽子个人、团队甚至公司开展各种类型的计算机犯罪和滥用。最为臭名昭著的是RBN(Russian Business Network),一家多方面参与计算机犯罪的组织,特别是在盗窃个人隐私信息方面,RBN还是网页木马工具包MPack的起源地,以及Storm僵尸网络的背后操纵者。
Morris蠕虫及之后蓬勃发展的各类网络安全威胁,也促使网络安全产业的形成与蓬勃发展。目前网络安全领域最著名的一些国际公司都是在20世纪90年代初期成立,研发出了网络安全的“老三样”(防火墙、入侵检测与反病毒)技术和产品,以满足市场的需求。
防火墙技术最早出现在1988年,DEC的工程师们提出了包过滤防火墙技术,并发表了论文,AT&T贝尔实验室的Bill Cheswick和Steve Bellovin继续相关研究并实现了可用系统。1989—1990年贝尔实验室的另外三位同事Dave Presetto、Janardan Sharma和Kshitij Nigam研发了状态防火墙技术。而成立于1993年以色列的Check Point公司成功地基于状态防火墙技术研发实现了FireWall-1产品,并成为了防火墙市场的领军企业。入侵检测技术虽然在学术界早在1980年就由安德森提出,但直到1994年Wheel Group和ISS公司才真正将该项技术进行商业化,其中最为著名的IDS产品是ISS的RealSecure, Wheel Group在1998年被思科(Cisco)并购,而ISS公司也在2006年被IBM收入麾下。从事反病毒软件研发的最早的国际化公司包括20世纪80年代中期成立的诺顿(Norton,1990年并入Symantec),1987年成立的MacAfee以及1997年成立的卡巴斯基(Kaspersky)等。
黑客道的白帽子们,虽然数量上比黑帽子和灰帽子要少很多,但他们仍然在默默地奉献着,在为计算机与网络技术的发展、安全技术的进步进行不懈的努力。2007年《IT安全》杂志评出了信息安全领域最具影响力的59个技术专家和团队,其中的白帽子黑客包括如下。
● Fydor
Fydor,戈登·里昂(Gordon Lyon)的黑客网名,由于开发Nmap——一个开源的网络探测和安全审计工具而闻名。
● 蜜网项目组(The Honeynet Project)
由Lance Spitzner所领导的蜜网项目组团队,开源研发了一系列的蜜罐与蜜网技术和工具,并通过捕获数据对恶意攻击者行为进行深入研究,通过《了解你的敌人》系列白皮书、取证分析挑战等多种方式对黑客社区做出贡献。
● 马克·拉希诺维奇(Mark Russinovich)
马克·拉希诺维奇是Windows体系架构和编程方面的技术专家,Sysinternals网站站长,他发现了Windows各种不同版本中的内部实现差异,著有Windows Internals等著作,他也在2005年发现并揭露出了著名的Sony Rootkit事件。
● 凯文·米特尼克(Kevin Mitnick)
闻名于世的米特尼克曾由于他的黑帽子攻击行为而多次入狱,但在他第三次从狱中释放后已经改邪归正,重新作为一名白帽子,开创他自己的安全公司——sMitnick安全咨询公司。
● 下村勉(Tsutomu Shimomura)
下村勉,一位日籍计算机安全专家,由于和计算机新闻记者John Markoff合作,跟踪并帮助FBI逮捕米特尼克而闻名,并在1996年写了一本名为Takedown的书,回顾了这一著名案件的全过程。
● Solar Designer
Alexander Peslyak(也就是Solar Designer)是一位俄罗斯的安全专家,以他的渗透攻击技术及安全审计工具而知名。他是OpenWall项目(一个服务器安全增强的操作系统)的创始人。
● Michal Zalewski
Zalewski是一位波兰出生的安全专家,从20世纪90年代中期就开始他的白帽历程,他在BugTraq上发布他所发现的安全漏洞,他也为UNIX操作系统编写了多款开源软件,并最近写了一本畅销书:Silence on the Wire:A Field Guide to Passive Reconnaissance and Indirect Attacks。
● 凯文·鲍尔森(Kevin Poulsen)
鲍尔森是Wired News的编辑和博主,改邪归正的前黑帽子黑客,他编写了一段1000行的Perl脚本,从MySpace中找出了注册的700多名性犯罪者,其中包括纽约的一个恋童癖连环强奸犯,最终警方根据鲍尔森提供的信息对其进行了成功的抓捕。
● H. D. Moore
Moore在2003年创立了Metasploit项目,帮助白帽子黑客进行渗透测试及攻击研究,他开发的Metasploit渗透测试软件是目前黑客道最强力的渗透攻击开源软件。
● 大卫·梅纳尔(David Maynor)
Maynor是SecureWorks的资深研究员,他的职责包括安全漏洞挖掘、攻击技术研究与评估以及防御机制的研发。2006年他演示了如何通过无线互联网连接中的弱点攻入苹果的MacBook。
● SANS Internet Storm Center
SANS Internet Storm Center(SANS ISC)于2001年在对Li0n蠕虫进行了成功的检测、分析和广泛预警之后被创建,如今ISC从分布于50多个国家覆盖50多万个IP地址的传感器每天收集几百万条入侵检测日志记录,为成千上万的互联网用户和组织提供免费的分析和预警服务,并主动与各大互联网服务提供商(ISP)合作,对付最为恶意的网络攻击者。
1.2.5 中国的黑客道
如同计算机技术和其他现代科技一样,中国的黑客道源自于欧美西方国家,但与世界先进国家始终存在着较大的技术差距,这是我们不得不承认的现实,也是激励年轻一代的动力。
中国黑客道的发展历程可以分为史前期(1956—1994年)、萌芽期(1994—1999年)、混沌发展期(1999—2001年)以及成熟发展期(2001年—)四个阶段。
● 史前期(1956—1994年)
1956年周恩来总理在《十二年科学技术发展规划》选定了计算机技术作为发展规划的四项“紧急措施”之一,并制定了计算机科研、生产、教育发展计划,中国的计算机事业由此起步,而中国的黑客道也与计算机技术一同发源。从1956—1967年,我国老一辈的计算机科学家和工程师,也是中国黑客道的第一批真程序师,自力更生,从零开始,在电子计算机和操作系统上取得了一次又一次突破,虽然机器的性能和稳定性较发达国家存在一定的差距,但如同当时的“两弹一星”工程一样,在不断地缩小与国外的技术差距。然而不幸的,1966年开始的文化大革命完全打乱了计算机技术的发展轨迹,也葬送了中国黑客道的黄金发展期。
1974年仍处于文化大革命的十年浩劫中,但在1973年出山掌权的“总设计师”邓小平提出“科学技术是第一生产力”的背景下,及在周恩来总理的关怀下,我国重新启动计算机技术的研究,首先需要急迫解决的是汉字的计算机信息处理问题,从而使得古老的中国文化能够跟得上高科技发展的步伐。1974年8月,我国设立了国家重点科技攻关项目“汉字信息处理系统工程”,简称748工程。748工程引发了我国报业和印刷业的一场计算机技术革命,催生了北大方正、华光等一批明星企业,也最终促使中国传统文字“淘汰铅与火,迎来光与电”。作为748工程的主体部分——电子出版系统技术的奠基人王选教授表示:“748工程对于汉字信息处理与计算机的接轨这一世界性难题是个超越”。在2000年由中国工程院等单位组织的“20世纪我国重大工程技术成就”评选中,王选教授主持的“汉字信息处理与印刷革命”项目名列第二位,仅次于“两弹一星”。王选教授也获得了2001年度国家最高科学技术奖,这正是国家对这一发明的充分肯定。
1978年进入改革开放的新时代,中国的计算机和软件技术与产业也呈现快速发展的势头,1977年清华大学等单位研制成功第一台微机;1983年国防科技大学研制成功运算速度每秒上亿次银河-I巨型机;1985年,电子工业部计算机管理局研制成功与IBM PC兼容的长城微机;1993年曙光公司前身国家智能计算机研究开发中心研制成功曙光一号全对称共享存储多处理机,第一台基于超大规模集成电路的通用微处理器芯片和标准UNIX操作系统设计开发的并行计算机。与此同时,市场经济也推动了中国软件产业的发展,1988年,求伯君来到深圳,开始研发中国首款字处理软件WPS,金山软件的历史就此展开。除了求伯君之外,还诞生了许多在中国软件史上有筚路蓝缕之功的软件英雄。比如严援朝在1983年推出CCDOS,走出了操作系统中文化的关键一步;王永民在1983年发明“五笔字型”;“杀毒软件之父”王江民于1989年推出杀毒软件KV6,等等。虽然这个阶段我国的计算机技术得到了长足的发展,但遗憾的是,无论从硬件方面的核心芯片技术,还是软件方面的操作系统和数据库等核心软件,我国均处于缺失和极度落后的状态。
而在1987年之前,中国还没有接入已经快速发展和壮大的互联网,计算机科技工作者们还是处于与世隔绝的状态。1987年北京计算机应用技术研究所实施的中国学术网(Chinese Academic Network, CANET)项目建成,钱天白教授发出了中国第一封电子邮件:“越过长城,走向世界”。1988年,中国科学院高能物理研究所采用X.25专线,实现了国际远程联网。而中国正式全面接入互联网则是在1994年,高能物理所的许榕生研究员接入了第一条互联网线路,并建立起了中国第一个WWW网站,被称为“中国互联网先驱”。
● 萌芽期(1994—1998年)
中国黑客道在1994年互联网进入中国后终于开始出现,但最早的一批黑客是以“窃客”的身份出现的,对于这些窃客来说能够COPY到国外的最新软件是他们最大的荣幸,那一张张的小软盘中承载了中国黑客最初的梦想。除了窃客以外,在中国也曾出现电话飞客,但是由于程控交换机的出现,飞客很快地成为了历史。
1997年在中国互联网发展史应该是最为值得纪念的一年,而在中国黑客成长过程中,这一年也哺育了众多的初级“黑客”,互联网这一个名词也逐渐被大众接受。1998年美国“死牛崇拜”黑客团队发布的“Back Orifice”推进了特洛伊木马这种黑客软件的飞速发展,也刺激了中国黑客道的进一步发展,中国黑客道开始出现少量的国产黑客工具,包括NetSpy等,并开始小范围地流行于国内黑客之间。CIH病毒的诞生和大规模发作也让大陆黑客第一次感受到了来自海峡对面的野心与威胁。
1998年印尼排华事件使得一大批网友投身黑客活动中,极度地扩大了中国黑客道的力量,同时这件事件也使得“绿色兵团”这一黑客团队享誉中国互联网,成为国内第一个著名的黑客组织,也最终通过商业化造就了业界著名的中联绿盟公司。
● 混沌发展期(1999—2001年)
从1999—2001年,中国的黑客道得到飞速发展,出现了流光、溯雪、乱刀(小榕软件)、冰河、黑洞、灰鸽子、YAI等众多国产黑客软件,也涌现出安全焦点、看雪学院、补天等一批白帽子团队,第一批中国黑客也开始他们的创业之路,创立了一些知名安全公司如安络科技、补天和瑞等。
这段时期是中国黑客道最不平静的时期,也是快速发展阶段中一个比较混沌的时期。1999年4~5月以美国为首的北约以种种借口对南斯拉夫塞尔维亚共和国发动了战争,随后的日子里中国人民在各种媒体发表了对正义的声援,网络上更是掀起了对美国霸权主义的批判浪潮。但是就在同年5月,美国的轰炸机竟悍然轰炸了我国驻南联盟大使馆。消息一经传出,举国上下为之震惊与愤怒,中国黑客们也又一次大规模的团结了起来,纷纷开展了对美国网站的攻击。中国红客从此成为了世界黑客中特殊的一个群体,爱国与团结是他们永恒的精神理念。然而这种被爱国热情所激发的网络攻击行为虽然“师出有名”,但其过程往往陷于与骇客行为无异的网站破解与拒绝服务攻击,从某种角度来说对中国黑客道按照良好轨迹发展并无多大益处。这种“运动式”的网络攻击行为也在这段时期内不断地上演:1999年7月,中国台湾地区的李登辉突然抛出了两国论,海峡两岸局势顿时紧张,中国红客们又“冲上前线”,攻击了中国台湾行政院等网站,并给许多中国台湾服务器安装了木马程序;2000年“东史郎南京大屠杀”事件的败诉再次激起一些中国红客的民族主义情绪,发动了针对日本网站的攻击,也对一些中国台湾网站发起攻击;2001年三菱事件、日航事件、教科书事件和《台湾论》事件再次激怒了一些中国红客,由国内几个黑客网站牵头,组织了几次大规模的对日网络攻击行动;这种由爱国热情和民族主义所驱动的红客运动,在2001年4月“中美撞机事件”及之后美国PoizonBOx黑客团队率先挑衅的触发下达到了极致,5月假期期间一场轰轰烈烈的所谓“中美黑客大战”爆发,在“中国红客联盟”、“中国黑客联盟”、“中国鹰派”等较知名的黑客团体的组织下,许多中国红客以及一些凑热闹的伪黑客们大规模地向美国网站展开攻击,也使得中国安全防护脆弱的网站遭受了来自大洋彼岸的报复。
虽然在这些由外部地缘政治和时事等因素引发的多次所谓“网络卫国战争”的历练中,中国黑客道汲取了国外(特别是美国)黑客的技术精华,并创建出具有一定中国特色的红客文化。但这个阶段中国黑客道可以说并不成熟,由于外部政治诱因而主动引发或被动对另一国家/地区进行大规模的攻击事件与传统的黑客精神并不相符,而最终对中国黑客道的国际形象乃至中国的和平崛起之路造成了一定的负面影响。
2002年日本首相小泉纯一郎在没有任何征兆的情况下突然参拜靖国神社,而中国的红客们又蠢蠢欲动,计划再次在“五一”期间组织对日本网站进行大规模攻击,中国互联网协会与计算机网络应急协调中心发布了《关于防范与制止网络攻击行为的公告》,经过沟通,5个黑客组织团体(正式报道称“自发的民间非正式网络团体”)公开声明放弃拟定中的五一攻击计划,自此之后,中国黑客大规模的对外攻击没有再出现,中国黑客道也进入了较为成熟的发展期。
● 成熟发展期(2001年—)
经过随后的反思,中国黑客道精神开始逐渐成熟,众多黑客纷纷回归网络安全技术的研究,创办自主知识产权的安全公司并投身于安全漏洞的发现、众多安全技术和软件的研发,一些继续存在的黑客团队如安全焦点、白细胞、Ph4nt0m等也均专注于技术的研究和交流,国内黑客对我国自主知识产权的信息网络安全技术发展做出了重要的贡献。国际著名的黑客技术研讨会如Blackhat、CanSecWest、CCC和著名黑客杂志Phrack等也开始出现国内黑客的身影。
除了这一主流的黑客文化外,由于经济利益的驱动,国内近年来也出现了大量的职业计算机犯罪者,他们利用目前国内法律体系的漏洞,通过编写恶意程序、盗号木马、构建僵尸网络以及网站挂马等方式侵入广大互联网用户的计算机中,盗取网游账号装备、QQ账号、QQ币等网络虚拟资产,并构建了完整的地下经济链,从而牟取暴利。2006年年底轰动一时的“熊猫烧香”案件和2007年的灰鸽子事件均表明,国内黑客社区中由经济利益驱动的职业计算机犯罪正在蓬勃发展,也成为目前计算机犯罪执法和安全应急响应部门关注和遏制的重要对象。