与美国人不同，在这里，几乎每 个人都是通过Internet存款或支付账单。
    
    银行当Juhan还只是一个十来岁的小毛孩时，他就深深地迷恋上了 计算机。但是他从来不认为自己是一个黑客。如果硬要说他是黑客， 那么他觉得自己也应该是一个白帽黑客（为网络和Internet査找安 全漏洞的人）。对他的采访进行得很顺利--他的英语口语很好。 从二年级幵始，他就在学校学习英语，而且这位爱沙尼亚的年轻人 很用功。他还经常出国旅游，好让自己有更多的机会提高英语口语 交际能力。
    
    前几年的一个冬天，爱沙尼亚特别冷。大雪覆盖了每个角落，入侵的艺术温度低至零下25摄氏度（零下13华氏度），一切就跟极地一样。即 便是早己适应严寒的本地人，也不愿意在这么恶劣的天气出门，除 非迫不得已非得出去。而对于计算机迷们而言，这无疑是粘在显示 器屏幕前的黄金时间。他们在计算机的世界里搜寻着任何可以吸引 他们注意力的好东西。
    
    同样如此。也正是在这个冬天，他无意中发现了一个 Web站点（我们姑且叫它“Peropgie银行”吧）。这个站点似乎是一 个值得利用的目标。
    
    我进入了允许人们发送问题的交互式FAQ（常用问题解答）板 块。我已经养成了查看Web页面源代码的习惯。我只要进入一个 Web站点就会开始查看。我知道自己的步骤--在网上冲浪、浏览， 仅此而已，绝非别有用心。
    
    他发现这个文件系统是Unix所使用的文件系统类型。这个发 现马上缩小了他可能会釆取的攻击类型范围。通过观察几个Web 页的源代码，他发现了一个指向某个文件名的隐藏变量。当他试图 改变隐含的表单元素所存储的值的时候，他说：“很明显，他们并 没有作出任何形式的认证请求。所以无论我从银行内部网站提交输 入，还是从任何其他本地PC提交，银行系统的服务器都会接受。” Juhan修改了指向口令文件的隐含表单元素的属性，这使得他 可以在自己的显示器上看到门令文件。他发现，这个口令并不是“隐 藏的”,也就是说任何一个账户的口令，其标准加密形式都能在他 的屏幕上显示出来。所以，他可以马上下载所有加密的口令，然后 通过口令攻击程序运行这些口令。
    
    选择使用的口令攻击程序非常有名，它有一个比较好笑 的名字“John（John the Ripper）”.Juhan运行了这个程序，使用的 是标准英语字典中的单词来自动拼接，探测口令。为什么用英语而 不用爱沙尼亚语呢？ “使用英语口令在这里很常见。”因为许多爱 沙尼亚人都很好地掌握了英语的基本知识。
    
    因为这些口令都是由一些基本的英文单词加上儿个数字组成第7章银行是否绝对可靠的，所以口令攻击程序并没有花太多时间，在他的PC上仅仅运行 了约15分钟，就完成了任务。其中有一个门令是golden,他恢复 其根口令之后，获得了系统管理员权限。接下来：
    
    我发现了某种计算机化银行业务（我已经记不太清楚该业务的 名称）中的一个账户。看起来，这个账户很可能是在总服务器上执 行服务的系统账户。
    
    但是在这个方面他并没有继续深入下去，他解释说：“获取了 口令之后，我就收手了。”对他来说，这只是一种游戏，游戏的名 字是 “Prudence（谨慎）我可能会惹上麻烦。毕竞，我在信息安全行业工作。很多原因 使我不愿意傲害人害己的事情。
    
    而当时的情形好得不得了。我感觉这可能是一个温柔陷阱，引 诱像我这样的人深陷其中，最后让我惹官司上身。所以我还是和我 的上司取得了联系，让他们报告了银行。
    
    他的坦白并没有让他受到他的老板和银行的惩罚，反倒从此得 到了重用。他的公司分配给他一个任务，让他进行更深入的调查， 然后交出一个修补漏洞的方案。Juhan所在的公司相信他有能力完 成这份他己经丌始了的工作。
    
    事情发展得让我有些吃惊，因为爱沙尼亚的Internet安全系 统实际上比其他任何地方的都要完善。这并不是我在胡扯。很多 外地人来到这里以后都这么认为。所以当我找到了这个漏洞，并 且如此轻易地就获取了非常机密的信息的时候，我多少还是有些 吃惊的。
    
    个人观点诸如此类的经历让Juhan逐渐认识到，一个公司不应该将黑客 告上法庭，而应该与他们和解，力他们提供工作，让他们来解决他入侵的艺术或她）所发现的问题，这样才能使公司利益最大化。这有点像”如 果不能打败他们，就加入他们“的逻辑。当然，政府并不会总是按 照这种方式处理这类事情。对Adrian Lamo的追捕事件（参见第5 章”黑客中的绿林好汉“）再次证实了这一点。尽管Adrian Lamo 实际上是给公司提出了他们所存在的弱点，并且还为公司提供了公 共服务，但是最后他得到的是：重罪在身。尤其是如果公司还不知 道那些常被黑客用来渗透公司网络的漏洞的存在，那么起诉绝对是 一种损失、一种畋局。
    
    如同膝跳反射一般，尽管成千上万的防火墙和其他的防御措施 已经上市，但聪明的黑客总能发现那些被完全忽视，不易察觉的漏 洞，更不用说那些已经对计算机了如指掌的黑客团体了。Juhan用 下面这句话形象地总结了他的观点：
    
    虽然你努力想使自己的计算机系统完善并且安全可靠，但是总 会有不及你聪明的人，能比你要富有创造力得多。
    
    远距离的银行黑客住在加拿大的一个小城镇里，他的母语是法语。尽管 他说自己是一个对系统进行安全审查的白帽黑客，他还是坦言自己 ”在无聊到接近绝望边缘的时候“,或者当他发现某些”安全系统 是如此的粗劣，以至于我想要教训教训那些软件制造者“的站点的 时候，”我当过一两次黑客但是，一个住在加拿大农村的家伙是如何攻击远在美国南部某 州的一个银行的呢？首先，他发现了一个Web站点上显示有“哪些 IP地址范围（网络地址块）分配给了哪些特定的组织” \然后，他幵 始搜索含有“政府、银行或其他任何这样的词汇”的列表。就在这 时，突然出现了一个他可以搜寻资料的IP范围（例如69.75.68.1至 69.75.68.254）。
    
    在Gabriel无意中发现的表项中，有一个是属于某个特定银行第7章银行是否绝对可靠的IP地址。这个银行位于美国南部某个州的中心。这个发现使得 他幵始很投入地猛烈攻击该银行系统。
    
    黑客是学出来的，不是天生的有一台128MB硬盘配置的386计算机。？一幵始他用自 己的机器玩Doom之类的游戏。15岁的时候（你町能已经从前面的 章节中得知，这个年龄开始有些晚了。这就像梦想进入NBA,但 是从高中才幵始打篮球），Gabriel己经幵始用计算机作黑客了。计 算机也从玩具变成了他的朋友。随后Gabriel发现自己的计算机很 慢，无法完成他想要做的事情，于是他花了很多钱去当地的网吧玩 网络游戏。
    
    计算机里的世界很有诱惑力。能从学校激烈的竞争中脱离出 来，再到这个虚幻的世界里放松一下，是多么惬意的事情啊！在学 校，因为Gabriel与众不同，他每天都得忍受同伴们的嘲笑，尽管 他是新搬进街区的孩子，在班上他的年纪也最小。在他家搬来之前， 他是在另一个省念书的。没有人会说，做一个被人嘲弄的小丑没什 么大不了的。
    
    他的父母都是政府职员。他们并不了解为什么自己的儿子会如 此地痴迷计算机。然而对于那些在科学技术日新月异的年代里成长 起来的新一代，这似乎在当时是一个普遍存在的问题。Gabriel回 忆说：“他们从来没有想过要给我买一台计算机。”他们只想他能 “出门做点其他的事情”.他的爸爸和妈妈非常担心孩子，还带他 去看心理医生，希望他变得正常一点。但是，在那段时间，无论发 生了什么，这个身材瘦长的男孩子也从未放弃他对计算机的热爱。
    
    在本地一所贸易学院学习Cisco课程。他自学到的知识 常常比老师知道的还要多。老师有时候还向他请教问题。这位现年 21岁的加拿大人似乎拥有一种独立发现某呰漏洞的黑客天赋。这 种能力标志着这个黑客与那些“照本宣科者（指使用别人发现的方 法或者使用别人幵发的程序进行攻击的菜鸟级黑客，译者注）”完 全不同。他们毫无自主创新能力，只知道从Web下载东西。
    
    入侵的艺术他最喜欢的一个程序叫Spy Lantern Keylogger.这种程序可以 在人们工作的时候，监控他们的计算机，黑客可以用来秘密拦截在 目标计算机系统上进行的每一次击键，而且这些在目标计算机上是 完全看不见的。

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org