拜访35年前的威胁猎人

如今,随着手动攻击的流行、安全数据的过载、安全边界的消融、安全人才的短缺…越来越多的企业达成“零时代”的实战化生存法则共识:必须围绕威胁情报构筑下一代安全运营(SOC)和防御体系。而威胁猎人,就是这套体系中最关键、最“性感”的安全职业。有趣的是,时下最“潮”的威胁猎人其实是最古老的安全岗位之一,对于任何一位有志成为“猎人”的安全专业人士来说,如果不了解这个行当的传奇和传承,那么你腰间悬挂的可能不是野兔,而是死耗子。

三十年前,克里夫·斯托尔 (Cliff Stoll) 出了本书,书名《杜鹃蛋》(The Cuckoo’s Egg),讲述他与一名克格勃 (KGB) 麾下黑客的猫鼠游戏。如今,互联网更加鱼龙混杂,而斯托尔也成了网络安全的标志性人物。

1986年,斯托尔在劳伦斯伯克利国家实验室 (Lawrence Berkeley National Labs) 的上司交待给他一项任务,让他追查实验室按分钟出租给远程用户的网络计费产生的75美分的会计偏差。当时36岁的斯托尔对此微小异常的源头展开了调查,抽丝剥茧般暴露出其背后深藏的罪魁祸首:系统中的黑客。

此后一年,斯托尔紧紧咬住该黑客在实验室网络和新生互联网上的足迹,顺藤摸瓜,揭露出此类入侵的一张巨大网络:一群服务于苏联克格勃的德国年轻黑客不断入侵军队和政府机构。1989年底,斯托尔将自己从那个微不足道的初始线索挖出的内幕故事,写成了类似数字侦探回忆录的《杜鹃蛋》。开始追查实验室账簿上这不到一美元的缺口时,他从未想到过自己暴露出来的竟然是全球首例已知的国家支持黑客行动。

如今,故事仍在延续。出版三十周年的现在,《杜鹃蛋》已售出100多万本。鉴于庞大读者群中网络安全从业者仅占核心的一小部分,如此销量简直堪称奇迹:独行黑客猎手的自述,激发整整一代网络防御者在恶意无限的浩瀚互联网上追踪各自异常的激昂文字。

至于现年69岁的斯托尔本人,谈论起整个事件时,他好像仍然不敢相信自己造成的各种轰动。斯托尔现在经营着售卖克莱因瓶(从拓扑学意义上讲只有一个面,没有内部和外部之分的奇怪玻璃瓶)的生意,网站上就标有他家的电话号码。接受采访时他说道:

我以为这是我不小心撞上的一个怪异的小问题。我根本没想到这竟然会成为一个产值数十亿美元的产业,或者说成为经营大企业必不可少的东西。又或者,信用报告公司的首席执行官竟然会因为计算机安全问题而丢掉工作。还有,竟有成千上万人会以此为职业,全球很多国家的国家机构竟会致力于利用计算机网络中的安全漏洞。

事实上,斯托尔不太符合其网络安全仰慕者心目中传奇人物的形象。《杜鹃蛋》发表30周年纪念日后几天,记者造访他位于奥克兰的家当天,他整个上午都在通过望远镜观察水星经过太阳的情景。斯托尔拥有行星天文学博士学位,在劳伦斯伯克利国家实验室把他调动到IT部门之前(并非完全自愿),他曾想以观星为职。

斯托尔屋后工作室的一面墙上挂着激发他灵感的发明家、数学家和科学家的印制照片:菲利克斯·克莱因 (Felix Klein)、艾伦·图灵 (Alan Turing)、艾米·诺特 (Emmy Noether)。用铰链将桌子翻转过来,就能看到下方墙壁中镶嵌的一道门。

门内有台自制的小型叉车机器人,就在斯托尔屋下的低矮空间中游走。利用遥控器和机器人摄像头反馈的图像,斯托尔可以操纵叉车机器人,在这个沿墙壁堆有纸箱的储藏室里轻松拿取装有精美克莱因瓶的木箱。当然,木箱里的克莱因瓶是用纸包裹好的。

斯托尔至今仍对黑客行为感到好奇。几个月前,他决定对一些黑客的恶意Excel文件做逆向,想要弄清其隐藏恶意代码的位置。工作室里,坐在叉车机器人旁边的地板上,斯托尔随意说道:

我对自己说,‘这就是他们隐藏恶意代码的办法啊。’真是巧妙而有用的一课。话虽如此,我现在对网络安全也不是特别感兴趣了。我希望自己能更有兴趣些。我希望自己能帮助大家捍卫自己的系统。然而,我回头就研究怎么做出可以立稳的克莱因瓶去了。

几年前《杜鹃蛋》的版税就付清了斯托尔的房贷。如今,克莱因瓶销售为他提供了另一个收入来源,尽管非常微薄。置于网络安全领域,几十年间,除了几次会议演讲,他与这个领域已无交集。驱使他投入一年时间追踪黑客的广泛好奇心,最终使他将此后30年的精力投入到了其他的兴趣上,例如数学、电子音乐和物理学——他声称自己不擅长其中任何一项。

斯托尔面无表情地说:

对数学家而言,我是非常出色的物理学家。对物理学家而言,我是相当出色的计算机专家。对真正的计算机爱好者来说,他们知道我是位优秀的作家。对那些知道怎么写作的人而言,我是个非常棒的数学家!

但若说斯托尔是网络安全业余爱好者,却又没几位专家在该领域有如此之大的影响力。网络安全领域追捧斯托尔的人指出,30年前的黑客追踪行动中,斯托尔根据需要开创的技术技巧,成为了后来人的标准操作。当年,斯托尔在实验室桌下睡觉,并编程修改了自己的传呼机,以便在半夜黑客登录网络时叫醒他。他还设置了数十台打印机来实时记录黑客敲下的每个按键。所有这些统合在一起就形成了第一套入侵检测系统。

当斯托尔追踪黑客入侵足迹,跟到国防部MILNET系统、阿拉巴马州军事基地、白沙导弹靶场、海军造船厂、空军基地、NASA喷气推进实验室、国防承包商以及CIA时,斯托尔实际上就是在像今天的威胁情报分析师一样描绘黑客的入侵行动。

当他在网络上植入数百个虚假秘密军事文件,诱使黑客在劳伦斯伯克利系统中驻留足够长的时间,使德国电信员工能够追踪到入侵者在汉诺威的位置时,他就是构建“蜜罐”——常用于跟踪和分析现代黑客和僵尸网络的那种。

《网络安全监视之道:超越入侵检测》作者,著名安全大师理查德·贝特里奇 (Richard Bejtlich) 在Corelight和FireEye等公司从事事件响应和网络监视多年,他表示:

《杜鹃蛋》记录了我们现在对付高端入侵者所用的多种方法。你能在这本书中看到事件响应的方方面面。思维模式、彻底性、决心等等全都有。

甚至在书出版之前,斯托尔在劳伦斯伯克利国家实验室的黑客跟踪工作就激发了其姊妹机构劳伦斯利弗莫尔国家实验室,促使这家机构尝试开发更系统、更自动化的黑客防御手段。在那里工作的托德·赫柏林 (Todd Heberlein) 接到了构建全球首个网络安全监视软件的任务。赫柏林称:

可以说,克里夫·斯托尔开启了整个入侵检测领域。我们基本上是在软件中自动化斯托尔当时所做的。只要打开工具,就会看到人们每天都在尝试黑进我们的网络,有时候还成功了。犯罪浪潮汹涌袭来,却没人有所警觉。

最终,赫柏林的网络监视软件部署到了100多个空军网络中,包括理查德·贝特里奇1990年代末期服务的军事机构。贝特里奇高中时代就沉迷《杜鹃蛋》,空军时代又反复研读。他回忆道:我们做的都是斯托尔玩剩下的。

2010年时,贝特里奇任职通用电气公司的事件响应总监,他又重读了一遍《杜鹃蛋》,然后为团队找出数十条适用经验。之后,他归纳整理了这些经验,在美国司法部网络安全大会做了题为《烹饪杜鹃蛋》的演讲。

《杜鹃蛋》不仅是技术层面的经验谈,还深刻描述了黑客追踪工作中个人层面的问题。长时间工作、与老板的摩擦、联邦探员只进不出的共享信息要求,还有与所爱之人的紧张关系——斯托尔当时的女朋友(现在的前妻)不是每次都能理解他睡电脑桌下只为捕获看不见的白鲸的做法。贝特里奇说:

现在都还有事件响应人员睡在桌下,在奇怪的时间点醒来干活。工作时间完全由入侵者决定。干这行的人可能就跟远离家庭和疯狂工作挂钩了。即便过去了30年,情况基本没变。

不过,斯托尔的故事也有令人激动的点:很多有志成为网络防御者的人,都有一颗成为《杜鹃蛋》之类侦探故事主角的心,安全顾问克里斯·桑德斯 (Chris Sanders) 以《杜鹃蛋》为蓝本,开设了名为《反编译杜鹃蛋》的课程。他说:

怀抱网络安全梦想的人会做类似的事情,他们想象找到牵出大事件的线索。我们都想活得如此精彩。有些人实现了,有些人没有实现。但我们都能在克里夫身上间接投射这样的人生。

今天这位售卖克莱因瓶的疯狂科学家身上,我们是很难找到那位传说中的克里夫·斯托尔的影子了。但事实上,30年博学家古怪念头的层层包裹之下,黑客猎手的灵魂仍在。

混乱的餐厅堆放着成排的书籍,包括一整套20卷的《牛津英语词典》——斯托尔用《杜鹃蛋》预付款最先购置的物品之一。在对往事的回忆中,他娓娓道来书中未曾提及的一段黑客追踪经历。

斯托尔帮助德国警方锁定了劳伦斯伯克利国家实验室黑客在汉诺威的地址,德国警方在那里逮捕了这位名为马库斯·赫斯 (Markus Hess) 的入侵者。之后,警方发现,赫斯及其四名黑客同伙打算将所盗秘密卖给苏联。

书中未提及的是,斯托尔后来与赫斯碰面了。作为专家证人,斯托尔被召至汉诺威附近策勒市出庭作证,就在法院盥洗室里与这名他在线追踪了一年的黑客面对面碰了个正着。赫斯认出了斯托尔,当场用英语质问斯托尔为什么要这么锲而不舍地追踪他。斯托尔回忆道:

他问我,‘知道你在对我做什么吗?你在把我送进监狱!

斯托尔说自己简单回了句“你不懂”,就走出了盥洗室,在法庭上指证了赫斯。(此事详情无法获得赫斯的证实,因为他未留下任何在线联系信息,且几十年间从未公开评论过《杜鹃蛋》甚至赫斯当时的同伙汉斯·许伯纳 (Hans Hübner) 都不知道怎么联系到他。许伯纳还指出,他自己参与黑客活动的主要动机一直都是探索和技术发现,而不是为了俄国人的钱。他还认为,被判20个月缓刑的赫斯也是同样想法。)

对于许伯纳透露的赫斯的想法,斯托尔表示愤怒,想对赫斯说:

如果你够聪明,那就做点儿能让互联网变得更好的事啊!找出漏洞,补上它!用属于无辜群众的信息搞破坏算什么英雄?

说到此处,他一拳砸在餐桌上。

别以为你够聪明就可以随便攻入计算机。才不是这样!你有必要对构建了这些系统的人负责,对维护网络的人负责,对创建了这些专用软件的人负责。你有责任为你那些像我一样的同行而放规矩点,做合乎道德规范的事。

这就是斯托尔热衷黑客追踪的另一原因,也是他网络安全领域众多追随者的内在驱动力——不仅仅是好奇心,还有一种缓缓燃烧的道德义愤。对斯托尔而言,这似乎源自几乎没有几个其他互联网用户记得的时代,一个万维网甚至都还没出现,大多数互联网原住民都还是像他一样的理想主义学者和科学家的时代。那个时代里,黑客,或者说,至少犯罪黑客和国家支持的黑客,还没到来。

斯托尔称:

我还记得互联网纯白无辜的时代,那个可以放心大胆跨越政治界限的时代,互联网是高智商人群玩耍实验的沙箱的时代。现在,那个泡沫破灭了吧。

30年前,他从未想到过,互联网会成为黑暗势力的媒介:谣言、间谍和战争。斯托尔说:

我寻找人性的善。我希望生活在计算和技术为人类谋福利的世界。现在的情况真让我心碎。

参考资料:

meet the mad scientist who wrote the book on how to hunt hackers: https://www.wired.com/story/meet-the-mad-scientist-who-wrote-the-book-on-how-to-hunt-hackers/

上一篇:卡巴斯基:窃取中国新冠情报的越南APT组织绕过了Google Play

下一篇:Fortinet: 由AI驱动的安全运营让您的安全团队更强大