“10岁的时候，我就对魔法感兴趣，‘黑客’在我眼里就像有魔法一样；上高中的时候，我就知道怎样通过破解电话解调器的密码，往全世界任何地方打免费电话，还破解了老师上课用的系统密码……”眼前的凯文•米特尼克（Kevin David Mitnick），已经是一名身材发福的中年大叔，但他的传奇经历却是整个互联网界津津乐道的话题：

16岁时，他仅凭一台电脑和一部调制解调器，闯入了“北美空中防务指挥部”；此后，美国国防部、五角大楼、美国国家税务局、纽约花旗银行等防守最严密的网络系统都曾被他攻破。

正因为此，凯文•米特尼克被称为“世界头号黑客”，且因窃取国家核心机密遭受美国联邦调查局（FBI） 通缉，于1995年被捕，吃了五年牢饭。不过出狱后，他转型成为知名的网络安全咨询师，还有了FBI网络安全顾问的新头衔。

“我想用自己的亲身经历告诉大家，每个人都可能遭遇网络安全事件。”这两天，凯文•米特尼克来到中国，亮相第三届中国互联网安全领袖峰会，讲述有关网络安全的故事，希望全世界、各行业、每个人都重视网络安全。

“熊孩子”从入侵麦当劳开始

“我最喜欢的一次黑客攻击发生在我10多岁时。” 凯文•米特尼克回忆说，当时他入侵了麦当劳为开车用户提供的订餐系统，诱骗不少消费者说他们是第100名顾客，能享受免费订餐，结果多名消费者由此免费享用了很多食品。麦当劳发现订单差错后进行调查，发现这居然是一名10多岁孩子的把戏。

随着年龄的增长，“熊孩子”凯文•米特尼克的胆子越来越大，入侵的地方越来越多，“我做黑客不是为了钱，而是因为好奇。”

最终，他因黑客行为威胁国家安全被逮捕。审判时，公诉人向法官要求将凯文•米特尼单独囚禁，不能让他接触电话等任何电子设备，担心他一接触电话，就能通过黑客技术“发起第三次世界大战”。公诉人这么做是有原因的：当时的凯文•米特尼克几乎无所不骗，他能用一些比较简单的技术就诱使人们泄露各种信息，包括账号、密码等，他还窃听技术人员的电话、秘密监控政府官员的电子邮件。

听了公诉人要求不让他接触电话的申请，“我在法庭上就笑了，但是法官并没有笑。” 凯文•米特尼克回忆说，后来为了预防他的黑客技术，他在监狱里被单独监禁了一年时间。

门禁？没什么能禁得住黑客

出狱后，黑客凯文•米特尼克完成了身份转型。他成立了一家网络安全公司，为很多企业测试网络安全，寻找漏洞。此时，“世界头号黑客”的技术又发挥了作用。凯文•米特尼克毫不谦虚地说：“我们的安全团队在做测试时，渗透率可以达到100%。”

这个数据让很多人吃惊，但凯文•米特尼克觉得很正常：几乎所有的安全系统都有漏洞。为了证明这点，他还当场演示起来。

凯文•米特尼克重现了如何突破物理安全防护措施——攻入金融机构HID门禁控制系统。他说，现在有很多可以近距离复制门禁卡内信息的设备，虽然很多金融机构门禁森严，但黑客只要以访客的身份进入大楼后，再选择卫生间、咖啡厅、吸烟室等公共场合物色携带门禁卡的人选，用皮包等物体遮掩门禁卡复制设备，再靠近被复制的门禁卡，就能完成复制。“还可以假装要租办公室，让物业展示一下门禁卡，然后就完成复制。” 凯文•米特尼克说，除了近距离复制门禁卡信息的设备外，眼下还有一种可从三英尺（约合0.9144米）之外远程读取卡片信息的设备，当成功读取卡内信息后，将信息复制到另一张空卡中，便完全了门禁卡的复制，从而可以自由进出相关企业。

物理防护阻拦不了黑客，那么软件呢？凯文•米特尼克直接演绎了“WannaCry”勒索病毒怎样诱骗用户：用户收到一场会议的邀请邮件，需要确认参加；打开这份邮件，用户被要求前往一个名叫“Go to meeting”（直译为“参加会议”）的网站确认参会信息。这个网站与真正的“Go to meeting”网一模一样，需要用户复制粘贴与会ID进行验证。但实际上，这是一个虚假网站，验证后网页会诱导用户运行一个程序，该程序号称是用来确认参加会议的，但其实是“WannaCry”病毒程序。凯文点击“确认运行”后，电脑便中招了——打开任何文件，便会显示“WannaCry”勒索界面。

凯文•米特尼克说，这个演示只是用“WannaCry”勒索病毒说明网络安全攻击的防不胜防。在日常生活中，很多公司的线上会议、电话会议等，都可以通过类似的方式被黑客入侵或监控。

谁都可能遭遇网络安全事件

凯文•米特尼克直言，他很喜欢黑客技术，一生都愿意进行黑客活动，只是很高兴“今天可以以合法的身份从事黑客活动”，因为现在他进行黑客活动的目的是为了帮助更多的机构和企业提高网络安全防范能力。

不过，并非所有人和企业都意识到黑客就在身边，维护网络安全迫在眉睫。

凯文•米特尼克说，这次他来中国讲述自己的故事并现场演示，就是为了告诉大家：“网络安全知识普及应该成为一件主流的事。对于机构来说，应该用一些公共服务或通过电视教育公众，告诉他们网络安全的重要性，他们非常容易成为受害者。”

他表示，作为一项工作，他的安全团队经常向企业提供防范建议，告诉企业如何应对钓鱼网站、如何避免网络攻击。在他看来，这些建议和防范教育还应深入社区、学校，让每个人都有安全意识：“对那些网络攻击者来说，他们不会停止恶意的网络攻击，他们总是希望找到受害者，对他们发起攻击。所以我们要做的，就是教育受害者，让他门变得更加聪明。”