沃特·斯洛布恩(Wouter Slotboom)今年34岁,他的背包里总是背着一台小型黑色设备,体积略微大于一包香烟,上面有根天线。我遇到沃特是一次偶然的机会,在阿姆斯特丹市中心的一家咖啡馆。那天阳光灿烂,几乎所有的桌子都有人。有些人在聊天,有些人在他们的手提电脑上工作,有些人在玩他们的智能手机。
沃特把他的手提电脑从背包里拿出来,将那个黑色的小设备放在了桌上,然后用菜单盖住了它。一个女招待经过的时候,我们点了两杯咖啡,然后问了Wi-Fi密码。与此同时,沃特打开了电脑和小设备,启动了一些程序,很快,他的电脑屏幕上就布满了绿色的字符串。事情渐渐清晰起来,沃特是在用这个黑色的小设备接入咖啡馆客人们的手提电脑、智能手机和平板电脑。
在他的屏幕上,一个一个词组冒出来:“乔瑞斯的iPhone”、“西蒙的MacBook”。设备的天线截取了我们周围来自手提电脑、智能手机、平板电脑的信号。
越来越多的文本出现在屏幕上。我们可以看到这些设备接入的上一个Wi-Fi网络是什么。有些情况下,这些网络名称是由数字和无规律的字母组成,让我们很难追踪定位,但更多时候,这些Wi-Fi网络泄露了它们来自哪里。
我们可以知道,乔瑞斯此前去了一趟麦当劳,很可能刚刚在西班牙度了一次假(有很多西班牙语网络的名字),而且还玩过卡丁车(他接入过当地一家非常有名的卡丁车俱乐部)。马丁是另一个来咖啡馆的客人,他登录过伦敦希思罗机场和美国的西南航空的网络。在阿姆斯特丹,他可能就下榻在白色郁金香酒店(White Tulip Hostel)。他很有可能还去过一家叫做斗牛犬(The Bulldog)的小咖啡馆。
阶段1:让所有人接入我们假造的网络
女招待帮我们点了咖啡,并给了我们Wi-Fi密码。在斯洛布恩连上网络之后,他就可以给所有的客人提供一个互联网的接口,并且将所有的互联网流量都重新定向到他的设备里来过一遍。
大多数智能手机、手提电脑和平板电脑都会自动搜索和接入Wi-Fi网络。他们往往都倾向于使用一个此前已经建立的互联网连接。打个比方,如果你曾经在火车上登陆过T-Mobile(火车移动)的网络,你手中的设备就会在周围搜索T-Mobile网络。
斯洛布恩的设备可以注册这些搜索记录,并且伪装成为受信任的Wi-Fi网络。我忽然在我的iPhone网络列表里看到了家里的网络,还有我们办公室的网络,还有一系列我去过的公共场合,包括咖啡厅、酒店大厅、火车上等等。我的手机自动地连接上了这些网络之一,但此时它们都出自那个黑色的小盒子。
斯洛布恩还能推送一个虚拟的网络名称,让访客们确信自己就是连上了他们所在的这家咖啡馆的网络。比如说,假设一个地方的Wi-Fi网络是由随机字母和数字组成的(例如Fritzbox xyz123),斯洛布恩就可以提供一个网络名称(例如Starbucks)。他说,人们会更加乐意接入这些有名字的网络。
我们眼见着越来越多的访客接入了我们的虚假网络。这个黑色小设备的魅力就像海妖之歌一样,似乎不可抗拒。已经有20部智能手机和手提电脑是我们的了。只要他想,斯洛布恩现在就可以彻底地毁掉这些接入他网络的人的生活:他可以回溯他们的密码、偷走他们的身份、抢走他们的银行账号。今天晚些时候,他将告诉我怎么做到这一切。虽然他可以通过接入这个网络的任何智能手机和手提电脑来说明他的能力,但我允许他把我给黑了,好向我展示他到底能做到些什么。除了极少数个例以外,一切都能被破解。
关于公用Wi-Fi网络并不安全的的论调早就不是新闻了。但它却是怎么重复都不为过的新闻。目前,全球有超过14.3亿的智能手机用户,美国有1.5亿人拥有智能手机。超过9200万美国成年人拥有平板电脑,超过1.55亿人拥有手提电脑。每年手提电脑和平板电脑的全球需求量都会增长。据估计,2013年全球共售出2.06亿台平板电脑和1.8亿部手提电脑。可能每一个拥有可移动设备的人都至少连接过一次公共Wi-Fi:要么在喝咖啡的时候、在火车上的时候,要么在酒店的时候。
好消息是,有些网络的保护比另一些做得更好;有些电子邮件和社交网络服务采用了加密的方式,在安全性上比它们的竞争对手做得更好。但是跟着沃特·斯洛布恩在城里走上一天你就会发现,几乎所有地方、每一个接入公用Wi-Fi的人都可以被黑客侵入。
来自威胁性情报咨询公司Risk Based Security的一项研究指出,2013年,全球共有超过8.22亿份档案被暴露,包括信用卡号、出生日期、医疗信息、电话号码、社会保障号、地址、用户名、邮箱、名字和密码。其中65%的档案都来自美国。据信息技术安全公司卡巴斯基实验室称,2013年,有3730万来自全球的用户和450万来自美国的用户成为网络钓鱼或者域欺骗企图的受害者,这也就意味着他们的详细支付信息都已经从被黑掉的电脑、智能手机和网页中盗取了。
一份又一份报告都说明,数字身份诈骗正在逐渐成为一个普遍存在的问题。现在有非常多种不同的诡计可供黑客和网络罪犯们任意使用。而且现在到处流行的开放的、未经保护的Wi-Fi网络给他们提供了更为有利的条件。荷兰国家网络安全中心是安全与司法部的下属部门,他们颁布过一条建议,并不是空穴来风:“不建议在公共场所使用公开Wi-Fi网络。如果这些网络是曾经使用过的,最好能避免在此进行工作或者是金融相关的活动。”
斯洛布恩称他自己是一个“有道德的黑客”,或者说是站在好人一边的技术爱好者,想帮着揭露互联网和科技的潜在危险。他就“如何更好地保护自己和自己的信息”向个人和公司提出建议。他做这些、还有做今天这件事情,通常是为了演示要造成损失到底有多容易。
阶段2:读取名字、密码,还有性取向
带着斯洛布恩的背包,我们到了一家以在拿铁泡沫上画漂亮的花而著名的咖啡馆,那儿也经常会有自由职业者带着笔记本电脑去工作。现在这里坐满了专心盯着屏幕的人。
斯洛布恩打开了他的设备。他带着我们又进行了一次之前的操作,没过几分钟,20来台设备就接到了我们的虚拟网络上。我们又一次看到了它们的Mac地址和登录历史,有一些还能看到它们的主人的名字。在我的要求下,我们又往前操作了一步。
斯洛布恩又打开了一个软件(这个软件也很容易能下载到),它可以让他从连接到自己这儿的智能手机和笔记本电脑上提取出更多的信息。我们能看到连接过来的智能手机的具体型号细节(比如三星的Galaxy S4)、不同设备的语言设置,以及它所使用的操作系统的版本号(比如iOS 7.0.5)。如果一台设备所用的是旧版本的系统,那就一定会有已知的“漏洞”,也就是它的安全机制中有可以被很容易地利用的漏洞。知道了这些东西以后,你就拥有了足以入侵它的操作系统、接管整个设备的信息。对咖啡馆里的顾客进行取样调查之后发现,他们没有一个人把设备的操作系统升到了最新版。而所有这些旧版系统的漏洞都列在网上。
我们现在可以看到一部分我们周围的人正在访问的网络流量。我们看到有一个在用MacBook的人正在访问Nu.nl,许多设备正在用 WeTransfer发送文档,一些人正在连接Dropbox,而一些人正在浏览Tumblr。我们还看到有一些刚刚登录了FourSquare,这个人的名字也显示了出来,而在Google了他的名字以后,我们发现他就是坐在离我们只有几英尺远的地方的那个人。
信息不断地涌进来,有些访客甚至都没有在积极地工作或者上网。许多邮件程序和应用不断地在和服务器通话——这是设备收取新邮件必须做的事情。对于一些设备和程序,我们能看到它们发送了什么信息、发到了哪个服务器。
现在我们得到的东西就真的非常个性化了。我们看到一位客人在他的智能手机上装了同性恋交友应用Grindr,我们还看到了他在用的手机的名字和型号(iPhone 5s)。我们没有再多了解他的信息,但想要知道这台手机属于谁,那是易如反掌。我们还看到有人的手机正在试图连接一台俄罗斯的服务器,而我们可以截获它发送过去的密码。
阶段3:获取有关职业、爱好,以及与此相关的问题
许多应用、程序、网站和各种软件都利用了加密技术。这些技术是为了保证设备发送和收到的信息不被未经许可的人看到。但当用户连接到斯洛布恩的Wi-Fi网络上以后,在解密软件的帮助下,这些安全手段就能被比较容易地绕过。
让我们都感到惊讶的是,我们看到一个应用把用户的个人信息发送给了一家卖网络广告的公司。这些信息中包括了位置数据、手机的技术信息,以及Wi-Fi网络的信息。我们还能看到一位正在使用社交书签网站Delicious的女士的全名(包括名和姓)。Delicious可以让用户分享他们感兴趣的网站的书签。原则上讲,Delicious的用户分享的页面都是能公开访问的,但当意识到我们可以基于这些信息了解到关于这位女士的那么多信息之后,我们还是不由自主地有了一种窥淫癖的感觉。
我们先是Google了她的名字,所以我们马上知道了她长什么样子、她在咖啡馆里坐在哪里。我们了解到她生于欧洲另一个国家,最近才到了荷兰。通过Delicious,我们还发现她正在访问一个学习荷兰语的网站,而且她已经收藏了一个有荷兰语综合课程相关信息的网站。
在不到20分钟的时间里,我们就了解到了这位坐在我们10英尺之外的女士的以下信息:她出生在哪里、在哪儿上的学,她对瑜珈有兴趣,她收藏了网上一个提供防打鼾心理治疗的网站,最近她还去过泰国和老挝,而且她还对那些提供如何拯救一段恋情的建议的网站特别感兴趣。
斯洛布恩还向我展示了一些别的黑客技巧。使用一个在他手机上装的应用,他能更改任何网站上的某些文字。比如无论哪里提到了“Opstelten”这个荷兰政治家的名字,人们都会在页面上看到“Dutroux”这个已经被判了刑的连环杀人犯的名字。我们测试了这个应用,它是有效的。我们还尝试了另一个技巧:任何人打开带有图片的网站,都会看到由斯洛布恩选择的一幅图片。如果你是在看什么恶作剧,可能会觉得这听起来很搞笑,但它也有可能在一些人的智能手机上加载儿童淫秽图片,而持有这些图片是违法的。
DNS欺骗:截取密码
我们又去了另一家咖啡馆。我向斯洛布恩提出的最后一个要求,是请他向我展示一下如果真的想伤害我,他能做些什么。他让我上一下微软的电邮网站Live.com,并随机输入一组用户名和密码。几秒钟后,我刚刚的输入的信息就出现在了他的屏幕上。“现在我知道了你的电邮账号的登录信息,”斯洛布恩说。“我首先会改掉你的账户密码,并向你使用的其他服务提出忘记密码的请求。大多数人都会在所有服务上用同一个邮箱注册,所以这些新密码就会被发到你的邮箱,也就是说我也可以随意处置这些密码。”我们在Facebook上进行了同样的尝试:斯洛布恩同样可以轻易地截取我输入的用户名和密码。
斯洛布恩用到的另一个技巧,是转移我的互联网流量。比如当我试图访问我的银行页面时,他已经用他的程序把我重定向到了一个由他所有的网站上:这是一个克隆网站,看起来和受信任的网站一模一样,但实际上却受到斯洛布恩的完全控制。黑客把这种技巧叫作 DNS欺骗。我在这个网站上输入的信息就被存在了斯洛布恩拥有的服务器上。在不到20分钟的时间里,他就得到了我的各种登录信息,包括我在Live.com、SNS银行、Facebook和DigiD上的账户名和密码。
在没有采取安全措施的情况下,反正我是再也不会连接到不安全的公共Wi-Fi了。
(本文原文发表于荷兰《Correspondent》报,由Jona Meijers翻译为英文,is 译社刘昉翻译成中文。