7.1、遥远的爱沙尼亚

7.1、遥远的爱沙尼亚
- 7.1.1、Peropgie银行
- 7.1.2、个人观点

这个故事告诉我们，有时候，即便一个不是黑客的家伙也能够成功地入侵银行的计算机系统。无论对于银行，还是对于我们任何一个人来说，这可不是一个好消息。

我从未去过爱沙尼亚，或许以后也并不会去。这个国家的名字使人联想到一个被阴森的树林环绕着的古老城堡，周围住着迷信愚昧的农民。如果没有足够的木棍和子弹储备，一个外地人可不会愿意在那种地方四处游荡。这种老套的情景模式归功于那些粗制滥造的低成本恐怖影片。那些电影总是以东欧的树林、部落、城堡为背景。然而对东欧的这种描述早已被证实是完全错误的。

这种描述与实际情况大相径庭。据一个名叫Juhaii的黑客所说，爱沙尼亚要比我想像中的现代化得多。23岁的Juhan是爱沙尼亚人，他独自一人生活在城市中心，居住在一套宽敞的四居室公寓里。“我的房子有很高的天花板，还被粉刷成各种各样的颜色。”

据我所知，爱沙尼亚是一个拥有130万人口（约等于费城的人口数量）的小国家，被夹在俄罗斯与芬兰湾之间。首都塔林（Tallinn）仍然保留着大量水泥公寓建筑物，那是长眠的苏维埃帝国试图最经济地庇护它的臣民而留下来的土灰色历史的遗迹。

Juhan抱怨着：“有时人们想了解爱沙尼亚。但是他们总会问‘你们那里有医生吗？你们那里有大学吗？’等等类似的问题。而实际情况是，爱沙尼亚在2004年5月1日加入了欧盟。”Juhan还说，许多爱沙尼亚人都希望有一天能够搬出那些苏维埃时代的拥挤建筑，在安静的郊区建立一个属于自己的温馨小家。他们为那一天的到来奋斗着，也梦想能够“拥有一辆质量可靠的进口轿车”。其实很多人己经拥有了私家车，并且越来越多的人正在筹备着自己的新家，“所以情况在一年一年改善”。而在科学技术方面，爱沙尼亚也并非处于停滞不前的落后状态。正如Jiihan所说：

早在20世纪90年代初，爱沙尼亚就已经开始了电子银行、ATM以及Internet银行的基础设施的建立。这是很超前的。而且，爱沙尼亚的公司一直在为其他欧洲国家提供计算机技术和服务。

你可能会觉得，我描述的简直就是一个黑客的天堂：所有Internet使用的安全系统都很不健全。根据Juhan所说，事实也并非如此：

爱沙尼亚的Internet安全系统大体上还是很不错的，因为这个国家和这里的社区很小，服务提供商很容易应用新技术成果。至于金融部门，我觉得最能使美国人深有体会的例子就是，爱沙尼亚从未有建立过银行支票方面的基础设施，而支票是美国人在商店里支付大笔账单时必需的。

Juhan告诉我，爱沙尼亚人很少去银行办公室。“其实，大多数人的活期存款账户都可以开支票，但是他们从来不知道银行支票是什么样子。”这并不是因为爱沙尼亚人不擅于理财，而是因为，至少在这个领域，他们是领先于我们的。正如Juhan所解释的一样：

我们国家从未有过任何庞大的银行基础设施。因为早在20世纪90年代初，我们就已经开始了电子银行和Internet银行基础设施的建设。超过90%甚至95%的民众和公司使用Internet银行进行转账。

爱沙尼亚人还使用信用卡，也就是欧洲通用术语所指的“银行卡”。

因为通过Internet银行或者使用银行卡直接付费更加便捷，所以人们没有理由去使用支票。与美国人不同，在这里，几乎每个人都是通过Internet存款或支付账单。

7.1.1、Peropgie银行

当Juhan还只是一个十来岁的小毛孩时，他就深深地迷恋上了计算机。但是他从来不认为自己是一个黑客。如果硬要说他是黑客，那么他觉得自己也应该是一个白帽黑客（为网络和Internet査找安全漏洞的人）。对他的采访进行得很顺利——他的英语口语很好。从二年级开始，他就在学校学习英语，而且这位爱沙尼亚的年轻人很用功。他还经常出国旅游，好让自己有更多的机会提高英语口语交际能力。

前几年的一个冬天，爱沙尼亚特别冷。大雪覆盖了每个角落，温度低至零下25摄氏度（零下13华氏度），一切就跟极地一样。即便是早己适应严寒的本地人，也不愿意在这么恶劣的天气出门，除非迫不得已非得出去。而对于计算机迷们而言，这无疑是粘在显示器屏幕前的黄金时间。他们在计算机的世界里搜寻着任何可以吸引他们注意力的好东西。

同样如此。也正是在这个冬天，他无意中发现了一个Web站点（我们姑且叫它“Peropgie银行”吧）。这个站点似乎是一个值得利用的目标。

我进入了允许人们发送问题的交互式FAQ（常用问题解答）板块。我已经养成了查看Web页面源代码的习惯。我只要进入一个Web站点就会开始查看。我知道自己的步骤——在网上冲浪、浏览，仅此而已，绝非别有用心。

他发现这个文件系统是Unix所使用的文件系统类型。这个发现马上缩小了他可能会釆取的攻击类型范围。通过观察几个Web页的源代码，他发现了一个指向某个文件名的隐藏变量。当他试图改变隐含的表单元素所存储的值的时候，他说：“很明显，他们并没有作出任何形式的认证请求。所以无论我从银行内部网站提交输入，还是从任何其他本地PC提交，银行系统的服务器都会接受。”

Juhan修改了指向口令文件的隐含表单元素的属性，这使得他可以在自己的显示器上看到门令文件。他发现，这个口令并不是“隐藏的”，也就是说任何一个账户的口令，其标准加密形式都能在他的屏幕上显示出来。所以，他可以马上下载所有加密的口令，然后通过口令攻击程序运行这些口令。

Juhan选择使用的口令攻击程序非常有名，它有一个比较好笑的名字“John（Johnthe Ripper）”。Juhan运行了这个程序，使用的是标准英语字典中的单词来自动拼接，探测口令。为什么用英语而不用爱沙尼亚语呢？“使用英语口令在这里很常见。”因为许多爱沙尼亚人都很好地掌握了英语的基本知识。

因为这些口令都是由一些基本的英文单词加上儿个数字组成的，所以口令攻击程序并没有花太多时间，在他的PC上仅仅运行了约15分钟，就完成了任务。其中有一个口令是golden，他恢复其根口令之后，获得了系统管理员权限。接下来：

我发现了某种计算机化银行业务（我已经记不太清楚该业务的名称）中的一个账户。看起来，这个账户很可能是在总服务器上执行服务的系统账户。

但是在这个方面他并没有继续深入下去，他解释说：“获取了口令之后，我就收手了。”对他来说，这只是一种游戏，游戏的名字是“Prudence（谨慎）”

我可能会惹上麻烦。毕竞，我在信息安全行业工作。很多原因使我不愿意傲害人害己的事情。

而当时的情形好得不得了。我感觉这可能是一个温柔陷阱，引诱像我这样的人深陷其中，最后让我惹官司上身。所以我还是和我的上司取得了联系，让他们报告了银行。

他的坦白并没有让他受到他的老板和银行的惩罚，反倒从此得到了重用。他的公司分配给他一个任务，让他进行更深入的调查，然后交出一个修补漏洞的方案。Juhan所在的公司相信他有能力完成这份他已经开始了的工作。

事情发展得让我有些吃惊，因为爱沙尼亚的Internet安全系统实际上比其他任何地方的都要完善。这并不是我在胡扯。很多外地人来到这里以后都这么认为。所以当我找到了这个漏洞，并且如此轻易地就获取了非常机密的信息的时候，我多少还是有些吃惊的。

7.1.2、个人观点

诸如此类的经历让Juhan逐渐认识到，一个公司不应该将黑客告上法庭，而应该与他们和解，为他们提供工作，让他们来解决他或她）所发现的问题，这样才能使公司利益最大化。这有点像“如果不能打败他们，就加入他们”的逻辑。当然，政府并不会总是按照这种方式处理这类事情。对Adrian Lamo的追捕事件（参见第5章“黑客中的绿林好汉”）再次证实了这一点。尽管Adrian Lamo实际上是给公司提出了他们所存在的弱点，并且还为公司提供了公共服务，但是最后他得到的是：重罪在身。尤其是如果公司还不知道那些常被黑客用来渗透公司网络的漏洞的存在，那么起诉绝对是一种损失、一种败局。

如同膝跳反射一般，尽管成千上万的防火墙和其他的防御措施已经上市，但聪明的黑客总能发现那些被完全忽视，不易察觉的漏洞，更不用说那些已经对计算机了如指掌的黑客团体了。Juhan用下面这句话形象地总结了他的观点：

虽然你努力想使自己的计算机系统完善并且安全可靠，但是总会有不及你聪明的人，可能比你要富有创造力得多。