世界每天都在变化,太阳升起的时间、每个浪花拍岸的角度、细胞走向衰老的节奏......我们仰望的英雄,除了生命中那个让他功成名就的决定外,剩下的日子里又是什么样的呢?
从轰动世界的黑客英雄到被 FBI 逮捕的阶下囚,或许他比任何人都更加困惑:究竟发生了什么?
本文由极棒译制组编译自《纽约》杂志长文《灰帽》。记者 Reeves Wiedeman 为我们讲述了一个九零后天才黑客经历的大起大落。
马库斯·哈钦斯,阻止了一次堪称史上最危险网络攻击,三个月后被 FBI 逮捕。
黑客英雄,一定有黑历史吗?
去年八月初,马库斯·哈钦斯飞抵拉斯维加机场,虽然已是中午,他仍在倒时差,在英国此时已经入夜了。这位年仅 23 岁的网络安全研究员离开了自己远在英格兰郊区的家,前往美国参加全球最大计算机黑客大会 DefCon,并开始享受自己的美好休假。
三个月前,一个名为 WannaCry 的勒索软件席卷了英国医疗系统并在全球 150 个国家造成了十亿美元的损失。这场灾难原本可能造成高达上百亿的损失,但是仅仅在攻击发生的数小时后——尽管是个意外——哈钦斯坐自己卧室的电脑前,阻止了病毒继续扩散。
哈钦斯一举成为网络安全领域全球最知名的人。《纽约新闻日报》头版(见下图)用了“天啊!我拯救了全世界”作标题,写道“网络极客意外阻止了强大的黑客攻击”。连爱德华·斯诺登也为他喝彩,甚至有陌生人在伦敦西郊的希思罗机场认出了他。
一年前哈钦斯曾参加过 DefCon,但那次经历对他而言实在不能说是愉快的——“我记得人海缓慢移动,人们闻起来像是几天没有洗过澡一样”——但是 2017 年,哈钦斯收到了思科发出的派对 VIP 邀请,哈钦斯说:“一年前,我并不能进入那里。”当身高 193 厘米的哈钦斯再次出现,却是那么容易被与会者发现,人们不断要求与他合照,然后将照片带上 #WannaCrySlayer(想哭病毒杀手)的标签分享到社交媒体上。
“后 WannaCry 时代”的关注一度让哈钦斯承受不起,但是他热爱拉斯维加斯。他住在拥有城市最大私人游泳池的 Airbnb 民宿,在靶场向目标“本·拉登”射击,开着朋友租来的兰博基尼在路上。哈钦斯不参与赌博,但是他流连赌场里的那些免费饮料。他发推特:“‘穿着刚买的衣服在一个俱乐部醒来’,我将这一条从我的意愿清单中划去。”那天他去了一个夜店 XS,看了一场他最爱的组合之一 ——烟鬼组合的演出。他甚至不为信用卡和 ID 的丢失而生气。“烟鬼组合完全对得起我弄丢的钱包。”
总之,哈钦斯在拉斯维加斯度过了一个 23 岁青年能够经历的一切梦幻,以至于他不曾想到此时在内华达州的美国执法机构正在看着他的一举一动。
哈钦斯对此一无所知,但是在他抵达美国之前,威斯康辛州的一个大陪审团起诉他三年前编写了一个窃取人们网上银行信息、名为 Kronos 的恶意软件,并且他蓄谋将 Kronos 出售给网络罪犯,这些指控让哈钦斯面临最多 40 年徒刑。
执法部门长期以来周旋于那些好的“白帽子”和一些用技术作恶的“黑帽子”之间,全球许多网络安全专家通过探索中间的灰色区域获得了极大的成功。无论早年哈钦斯是否作恶过,现在他看起来都是一个好人、一位英雄,甚至这一场起诉原本摇摇欲坠的黑客与政府的关系受到巨大打击,即使网络原本意味着能够得到所有潜在帮助。
当哈钦斯在机场通过推特发表自己将针对新的网络威胁开始的研究时,他被继而发生的事情吓到:几名联邦官员走过来,需要他协助回答几个问题。
二月的一个星期六,哈钦斯走进了一个位于美国圣塔莫尼卡的酒吧,他身着灰色 T 恤,脚下是一双 Etnies 黑色滑板鞋,直到见到我之后才从他的头两侧取下苹果耳机。 自去年夏天他被捕,在美国威斯康辛州的密尔沃基出庭否认了那些指控,他在狱中度过了一个漫长的周末。一位他从未谋面的黑客替他交了三万美元的保释金,可是他仍然不能回英国去。(哈钦斯的母亲是苏格兰人,父亲则是牙买加人。在途中辗转入住时,一位雇员坚持把他列为非裔美国人,尽管事实上他并不是。他说:“美国是唯一一个拼命宣扬政治正确却依旧充满种族歧视的地方。”)
在等待审判无处可去的时候,他搬到了洛杉矶,尽管那里有他曾经工作过的网络安全公司,但是他几乎不认识一个人。十月的一天,他突然意识到已经有两周没有与任何人说过话了。哈钦斯在推特上写着:“‘十一月不能回家’已经结束了,我正迈向‘十二月不能回家’。”面对联邦指控,他以令人难以置信的坦诚通过推特记录下自己的生活状态:“‘一月继续呆在美利坚’即将来到。”
哈钦斯经历的监控正在逐渐减轻——软禁、宵禁、脚踝装一个 GPS 监控——他原本的生活却已灰飞烟灭。一个过去他常见的女孩不再跟他说话了,他的朋友建议他试一试 Tinder(美版约会软件)。哈钦斯直言“自己面临联邦诉讼,没有自己的汽车,而且不能在晚上九点到早上六点之间外出”,并不是一个好的自白。他每天靠打电子游戏和学习做饭(这是他第一次离家生活)打发时间,他还交易加密货币:一天晚上,哈钦斯喝醉了然后卖掉了自己的比特币,后来他用得到的现金支付了洛杉矶一间卧室三个月的房租。
他的辩护团队无偿为他工作,但是他还是被迫出售了自己的大部分财产用以支付两位指定外来人士律师以及一位“向他解释哪里需要缴税”律师的法律费用。他还被禁止工作,同时患有睡眠障碍。“FBI 把我的一切都夺去了,我的工作、我的女朋友,以及我的比特币。”
哈钦斯称自己是内向而且悲观的人。(他面无表情地说:“我并不真的喜欢人群。”)但是他可以充满年少轻狂般的自信说起自己拥有一项世界上最稀缺的技能:据他的自述,全世界只有五个人拥有这样的技能——“我知道的人有三个,但是‘五’更完整。”
当我提起“后 WannaCry 时代”他是一个“小名人”时,哈钦斯对我的说法表示反对。他甚至对那些为他辩护的人恼火,因为他们说他的技术不足以开发出 Kronos。哈钦斯说:“我不知道哪一点更让人难受。那些人把我当成垃圾,或者他们以为我的编程技术其实不怎么样。”
洛杉矶带给哈钦斯为数不多的安慰当数冲浪——有一次法官去除了他的脚铐。英格兰西南海岸的 Ilfracombe 是一个仅有一万一千人口的小镇,成长在那里的哈钦斯自然会冲浪。他不但是一名游泳健将,还是一名出色的“救生员”。与一张他赤裸上身的老照片上相比,现在他的身材已经走样了。
我问他这些年间都发生了什么?“电脑,电脑和大麻,”他回答。
哈钦斯 12 岁开始学习编程。高中时他技术精湛,管理员谴责他让学校的服务器崩溃。(但他坚称自己是无辜的。)后来他进入当地一所两年制技术学校学习,他觉得那里的计算机科学还十分原始。
2013 年他建立了博客网站 Malwaretech.com,发表一些他“在逆向工程上面的业余探索”。所谓“逆向工程”,一项在网络安全领域的重要过程,研究者通过对恶意软件进行剖析,发现它的工作原理。哈钦斯在这篇题为“为了好玩写个恶意软件,不为盈利(否则就违法了)”的博文中,表示自己是因为无聊才写了一些恶意软件,他还对读者说“在你们拿起电话呼叫你们亲爱的邻居 FBI 之前”,他设计的恶意软件就无法运作了。
一年后,哈钦斯开始找网络安全领域的工作。他说自己申请过英国情报机构 GCHQ,他的简历中包含了他的博客地址以及一个少年时期的游泳证书——但是背景审查耗费了十个月的时间。
那时他开始追踪僵尸网络——由缺乏安全性的计算机、监控器以及其他设备构成的巨大网络被网络罪犯用来部署恶意软件。“我从来没有试图以此为营生。”
等到 2015 年,位于洛杉矶的计算机安全公司 Kryptos Logic 负责人 Salim Neino 看到了哈钦斯关于 Kelihos 僵尸网络的博文,在双方没有见面的情况下 Salin 发出橄榄枝。Salim 说:“他非常有才华。你能教授一些知识,但是在安全领域,先天的才能几乎无可取代。”
忽然之间,22 岁的哈钦斯拥有六位数年薪以及两个向他汇报工作的同事,他可以根据自己的日程安排在卧室面对三块电脑显示器进行远程工作。(“醒来时看到时钟显示 9:30,我的第一个问题是‘上午还是晚上’?#理想工作”)作为一名相当慷慨的社区成员,他迅速在信息安全领域树立起自己的名声:一个保加利亚研究者说哈钦斯帮他追踪到了一个僵尸网络,没有收取回报。
2017 年,他被邀请出席由英国国家网络安全中心举办的一个启动仪式,旨在招募网络安全领域中“最优秀以及最聪明的“人才与政府合作。哈钦斯秉持着黑客怀质疑权威的天性,但是开始相信公共与个人的联合是确保互联网安全的关键所在。这种关系创造出的力量令人振奋:一旦哈钦斯有信息需要分享或者有疑问,他可以立刻与英国情报部门或者 FBI 取得直接联系。
去年八月哈钦斯出庭
2017 年 5 月,恰逢哈钦斯正在享受长达一周的“居家旅游”休假之中。有天他醒来发现新闻在报道英国的电脑被一个名为 WannaCry 的新型恶意软件攻击,同时还勒索比特币。类似的勒索软件攻击已经十分常见,哈钦斯便没有在这件事情上多花功夫转而和一个朋友去吃午饭了。
但是当他回来时,发现每分钟都有新的受害者:超过十二家英国医院、一家西班牙班牙电信公司、罗马尼亚外交部、印度警察局。这一恶意软件利用的 EternalBlue 是由美国国家安全局(NSA)发现的微软 Windows 系统漏洞,但是这个漏洞并没有报告给微软。(自称“影子经纪人”黑客组织数月前将漏洞公开。)哈钦斯发推特:“我真的是选了‘极好’的一周去休假啊。”
哈钦斯从一个朋友那里得到了 WannaCry 的样本然后开始进行分析。很快他发现代码中包含了一个看起来随机的域名地址——iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ——没有被注册。哈钦斯发现 WannaCry 会请求访问这个地址,如果他注册下来或许能把流量转移到“陷阱”里,他便能够监控这次的攻击了。在和老板 Neino 进行过简短的沟通之后,哈钦斯在 NameCheap.com 网站花了 10.69 美元买下了这个域名。
当哈钦斯注册域名时,他并没有想到这会是阻止 WannaCry 继续传播的“致命开关”。这场攻击仅仅在英国就导致大约 19000 个医疗预约取消、5 个急诊室被迫转移病人,哈钦斯挽救了剩下的 92 处设施免受影响,同样提早缓解了攻击在美国工作日的迅速传播。信息安全领域的从业者、哈钦斯的朋友 Dan Tentler 对我说:“网络上每个人都为此喝彩,谁会想到一个人能意外地发现恶意软件的开关从而拯救了全世界呢?”
两天之后,一个朋友告诉哈钦斯他的照片出现在了《每日邮报》上。哈钦斯担心遭到 WannaCry 攻击者的报复,曾以匿名的方式接受了采访,同时在维护一个名为“操作安全运动”(OpSec)的他也饱受质疑。(其他人称之为“隐私”。)在信息安全领域他的大部分朋友都不知道他的真实姓名。哈钦斯竭力从网络上删除自己的照片和信息,拒绝所有需要提供他实际地址的服务。但一年前的一次“喝醉之后同意和一群人合照自拍”的意外失足,让英国小报找到了关于他的线索。
突然,哈钦斯无处不在。(《冲浪欧洲》杂志写道:“马库斯哈钦斯可能是自 Wham 的 Andrew Ridgeley 以来英国最著名的冲浪运动员。”)记者们开始在他的家门口围堵,哈钦斯躲在房内,去他最爱的炸鱼薯条店还要从房子后面翻墙而出。最终,他同意接受美联社的采访。在记者要求他拼出自己姓名的时候,他紧张地丢掉了一个“N”。
一个月后,他开始研究另一个勒索病毒攻击。他照例订购了“网络攻击生存便当”——两个披萨和两升“胡椒博士”饮料,外卖员认出了他并且询问他是不是在研究新的恶意软件。他的推特粉丝数增加了五倍,但是他竭力保持冷静,还上传了一张大海的照片和一句数字时代的“鸡汤文”:“五万新粉丝不能让你幸福,但是大海可以。”
他更是安全圈里的宠儿。他在哥本哈根的一次安全会议上发表了主题分享。而在另一场活动中,当他与一个可爱女生交谈时,很多人涌了上来索要合照,最终导致那个女孩生气离场。
七月,他接受了一个网络安全网站的采访,被问到“黑帽黑客从良”能否赚到同样多的钱时,他举例“史上最大网络攻击之一”WannaCry 来说,背后的攻击者最后只得到了 135503 美元——大致等于他这样的恶意软件研究者在不冒“被逮捕”风险下能够得到的薪水。但是哈钦斯对“从良”表达了怀疑。几个月前一个关于黑帽子能否洗白的讨论中,哈钦斯在推特表示:“坏人很少会因为为从良就变成好人,记住这一点。”
目前哈钦斯面临六项指控,包括开发银行木马 Kronos 恶意软件——能够自动在电脑上安装并窃取密码已经其他登录金融网站的相关信息。这个恶意软件首次出现是在 2014 年,正值于哈钦斯从学校毕业至找到工作期间,它依赖僵尸网络 Kelihos 进行传播,哈钦斯更是因为对这个僵尸网络的研究而得到工作。除了制造恶意软件,哈钦斯还被诉以密谋以 2000 美元的价格在暗网 AlphaBay 向网络罪犯兜售 Kronos。AlphaBay 已经被 FBI 查封。
为了入罪,政府不仅要证明哈钦斯制造了 Kronos,还要证明他图谋不轨。据检方描述,哈钦斯在拉斯维加斯机场被捕后的审讯中承认是他制造了 Kronos。(哈钦斯的律师说,审讯是在哈钦斯极度缺乏睡眠和宿醉的情况下进行的。)FBI 还展示了哈钦斯长达 150 页的网上聊天记录,其中他与另一个身份不明的被告就出售 Kronos 以及如何分赃进行的对话。在经过与监狱的漫长通话之后,检方称哈钦斯对此“不予否认”。
致力黑客与政府建立更好关系的著名黑客 Katie Moussouris 表示:“政府通常不会随便起诉,除非他们知道能赢”
网络安全界震惊了。像哈钦斯一样成为英雄然后又被指控为网络罪犯的情况即便在黑客看来都十分罕见。一些人怀疑他,在没有任何证据的情况下“推断”哈钦斯就是 WannaCry 背后的主谋,而且是他在病毒传播不受控制之后就“发现”了病毒开关。(美国及一些政府指责朝鲜发动了这场袭击。)
与哈钦斯一同工作的研究人员则吓坏了,他在网络安全论坛写下:“这实在太糟糕了。我们开始回想他是我们一员的那段时间,所有的流量都可能被控制,还包括我们的名字等都落入各种敌人手里。”
哈钦斯被捕一月后,情况变得更加糟糕了。报道网络安全领域的记者 Brian Krebs 发布了一篇详尽的文章分析哈钦斯用过的网名——“Touch My Malware,” “Da Loser,” “Flipertyjopkins”,出卖了他在少年时曾从事过低级的网络犯罪。
Da Loser 曾炫耀自己创造了一个能够窃取密码的程序;Flipertyjopkins 曾在 YouTube 上发布了一个演示如何使用某一恶意软件的视频。Krebs 强调了这些所谓罪行并“不值得一提”(fairly small-time),而且他没有发现哈钦斯与 Kronos 有关系的证据,但是文章在信息安全论坛流传:哈钦斯的过去,并不单纯。
当然,还有很多信息安全人员为他辩护。安全研究者 Robert Gramham 说:“许多人都有犯罪经历——或者犯罪表现——但是我们也遇到过许多无辜人由于一些原因被逮捕。”哈钦斯曾经多次与执法部门合作,包括 WannaCry 事件他曾公开致谢 FBI 曾提供的帮助。2014 年哈钦斯曾经发过的一条推特:“有人抓到 Kronos 样本了么?”似乎证明他和其他安全社区的人差不多同时知道 Kronos(或者这是他的巧妙伪装)。
安全社区还有一些人对于《计算机欺诈和滥用法》(CFAA)表示怀疑,这是项已经三十二岁的高龄法案。它是包括哈钦斯的案件在内许多网络犯罪起诉的幕后依据。执法部门和安全社区都认为这项法律已经过时了——它对计算机的定义还是“打字机和手持计算器”——当然它还引发了几桩存在疑点的起诉,其中就包括如何处理那些意图不明确的年轻黑客。
2010 年,前摩根士丹利程序员 Stephen Watt 以编写一个名为“变富或去死行动”窃取信用卡的恶意程序而被定罪。但是他并没有真的部署这个恶意软件,他甚至没有收到钱,而且自称不知道用它来做什么。法官 Nancy Gertner 在听说了这个案件后告诉我,她在量刑时举棋不定——检察官在狱中争论了五年,被告想要缓刑——最后判了两年监禁。Gernter 说:“人们丢了钱,那么他应当受到惩罚,但同时他又是个孩子。”
Brian Krebs 揭露的哈钦斯那些“年少任性”的确带来了麻烦,而许多安全研究者从中看到了自己。“像马库斯这样的人是如何变得有才能的?”他的老板 Neino 说:“最棒的安全研究者需要将自己暴露在威胁面前。许多研究者与地下论坛的人交往甚至和犯罪分子成为朋友。”
网络安全的历史上同样有许多改邪归正的情况。上世纪 90 年代因为各种网络犯罪而入狱五年的凯文·米特尼克(见上图),现在经营着一家为 FBI 提供顾问服务的安全公司。现在 31 岁的 Amit Serper 去年帮忙抵御了一场来自俄罗斯的网络攻击,他告诉我,他和许多这个领域的人在十几岁的时候都做过一些“可能被认为是非法的”事情。几乎每一个与我交谈过的安全从业者都会引用一项研究,表明人类大脑直到 25 岁左右才完全形成。
许多天才型安全专家在青年时就通过边界测试来磨练自己的技能。Moussouris 告诉我:“我称之为‘愤怒年代’,大概是人生中第一次感受到自己很重要同时有强大的力量。那是你第一次感受到、我们所有人都渴望得到的肯定——你很重要。”
在法庭上,检察官也认为哈钦斯的罪行是“历史性行为”,并且允许哈钦斯在候审期间继续使用互联网。这极不寻常,表明他们认为他已经不再是个威胁了。如果哈钦斯通过出售 Kronos 获得了钱,那可能也不多——聊天记录中他曾抱怨过收入的太少——即使 Kronos 袭击了包括加拿大到印度等多国的银行,它还是一个影响力相对较小的恶意软件。
2014 年,美国司法部(DoJ)在一系列指导下提出几项担心的问题——而非仅仅就是否在 CFAA 下起诉判决是否有罪——包括“威慑使用增加”。在 WannaCry 攻击事件中,哈钦斯的出现另他成了一个公开的目标。亦或者政府向哈钦斯施压索要更多关于 WannaCry、俄罗斯黑客或者其他情报,结果被他拒绝了。
他的拥趸也表示即便他罪有应得,但是针对他的起诉传达一个复杂的信息。哈钦斯一度安全领域中是政府与个人合作的模范,即便是在政府招募网络安全人才遭遇瓶颈之际(FBI 前总管 James Comey 曾将 FBI 招人难归咎于“这些孩子想在接受采访时吸大麻”而激怒了网络安全社区)。一些安全研究者表示,他们会停止与政府分享情报以示抗议。在 ACLU 网络安全部门工作的 Jennifer Granick(见下图)说:“这让社区中的人感觉遭到了迫害。”
美国司法部二月在西南偏南会议上举行了一个想黑客传(授)道(德)的分享——政府一直试图改善与黑客的关联,推动这些有才华的年轻人走向光明,给这些拥有“哈钦斯技术”的青年在漂流时送上一个指南针。
回望哈钦斯被指控编码 Kronos 的那年,他正在推特上努力搞清楚如何得到一份工作、简历格式以及是否应该加入领英这些问题。在某个时刻,他担心自己可能不会找到工作。从这个角度来看,即便是那些对哈钦斯批判的解读也都充满希望:他曾经做过一些不该做的事情,但是他意识到了做好事比做坏事可以得到更多奖励,无论是金钱上或者其他。
哈钦斯的安全圈朋友 Tentler 说:“一辆车就能装下那些为了好玩做这些事的人,互联网真正的守护者。如果你想和黑客保持良好关系,那么毁掉他们的生活可不是个好主意。”
今年一月,哈钦斯在洛杉矶
在我们一起喝酒的几天后,哈钦斯和我在 Venice Beach 海滩散步。后来,有天晚上我们分开的时候,他对我说要去见一些朋友然后“喝到烂醉,直到想不起任何东西来”。他说他会邀请我一起去,但是那是一群搞信息安全的人,其他的人可能不会同意。哈钦斯说:“他们都很偏执。”
谈到 Kreb 的文章时,哈钦斯大方表示:“我想每个人都能看到我过去做过一些阴暗的事情。”他似乎并没有意识到这非同寻常。他接着说:“大部分网络安全人员做了一些他们不该做的事情,我们谈论的只有那些被抓的人。”哈钦斯说他知道一个伪装成白帽子的网络罪犯,他的话有时还被媒体引用。他说,也有的网络罪犯从论坛消失几个月后,突然出现开始为政府工作。
我们在木板路上走了半小时,哈钦斯突然停下来,望着大海。他说:“这段时间我都没有在真正的沙滩上走过。”他一直都去冲浪,却从来没有想过随便走走。当我们走在水边时,脚上依旧穿着鞋子,哈钦斯说他过去并没有想过要离开 Ilfracombe。他的朋友在那里,房地产也很便宜——他曾经计划用他的储蓄和比特币一次性支付四十万美元,买一个大房子——况且,他在卧室就能阻止世界上的网络攻击,何必再搬去伦敦或者旧金山。
但是在洛杉矶的这些日子给他展示了一个更加广阔的世界,他能够去许多播放“烟鬼组合”音乐的俱乐部,而在 Ilfracombe 只有一家;受他不正常作息影响,这里他能使用 app 在任何时候叫到外卖。哈钦斯说,无论如何官司结束之后他会回英国去,但不知能不能或者何时能够回去。
哈钦斯大部分时候都处于无聊之中,他想继续工作。哈钦斯抱怨“不能再进行僵尸网络的监视工作真的令人沮丧”。哈钦斯拒绝讨论他的案件细节,他坚持自己的无辜的——案件仍在审理中,类似的案件最后往往以和解告终——他担心的是不可挽回的伤害已经造成。
网络安全是一个基于信任的行业,他担心这些指控让他失去就业机会。(他最近关注到有推特僵尸在这个案件中留下反美的评论,他怀疑这件事被用来分裂美国网络安全社区。)
当我们走到圣塔莫尼卡码头时,哈钦斯突然有些伤感——回想到那些充满无限可能的时光——他可以去任何地方而非这里。他确信在 WannaCry 之后他成了目标,一生中最辉煌的时刻造成了现在最坏的局面。
世界从未像现在这样依赖哈钦斯这群人,他们对数字系统的深刻理解让我们以为这些理所应当。但他意识到这是一种特权,也是负担。“我喜欢过这种关系与力量,但是现在我不确定这是否真的值得。”
彼时,码头上一位小提琴演奏家拉起了一曲《和岁月一样古老的故事》。
本文于 2018 年 2 月 19 日首次发表在《纽约》杂志,在线地址为 http://nymag.com/selectall/2018/03/marcus-hutchins-hacker.html。
声明:本文来自GeekPwn,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。