‌·

酒店黑客

来源:南方都市报     2017年09月17日        版次:AA21    作者:Dawn

    科技发展越快,黑客越是“繁荣”,在他们眼中,世界充满缺陷和诱惑。在一名安全研究员发现了电子门锁的漏洞之后,许多酒店便成了犯罪分子眼中不设防的天堂。

    “好像天堂在我面前打开了”

    五年前一个温暖的夜里,美国凤凰城,安隆·堪舍特顺着万豪酒店那铺着红色地毯的二楼走廊走过来,肾上腺素和脱氧麻黄碱在血液里涌动,但尽量显得随意。他六英尺高,金发剪得短短的,穿着黑色运动外套,戴着棒球帽,头低着,好把脸藏在帽檐下面,不被摄像头拍到。

    终于发现一段寂静无人的走廊后,堪舍特选了一扇门,敲了敲。没人应答。他从口袋里掏出墨镜盒,打开,掏出一团连接着电路板和一粒9伏电池的电线。这团东西的一端是一根接着插头的细绳。他看了看面前那扇门的钥匙槽,那是一个金属盒子,有个槽缝,准备接受客人放卡,就像把一片面包放入吐司机一样。

    堪舍特没房卡。但他伸出手去,摸索门锁,找到一个小小的环形插口,将手里的插头塞了进去。然后手持电路板上垂下的一根电线,接上电池,通了电路。锁咔哒一声,把手上方绿光闪烁,门开了。

    有那么一会儿,堪舍特震惊地盯着它,似乎不敢相信。“好像天堂在我面前打开了。”多年以后,回忆起这一刻,他说。

    他推开门,走进房间,关上门。虽然因为吸毒十分兴奋,他仍对自己成功“入侵”感到震撼。在房间的豪华大床上,他躺了差不多一分钟,心怦怦跳。

    然后他腾地坐起来,开始考虑有什么可偷的。

    写字台上方是看上去很贵的电视机,但他没工具,搬不走它。激动之下,他抓住一叠毛巾和一个枕头,将它们夹在腋下,飞快出门,走下楼梯,通过边上一个出口,钻进停在外面的汽车,开走了。

    50美元组装出“万能钥匙”

    这一时兴起的顺手牵羊只是一场盗窃狂欢的开端。接下来的一年里,堪舍特进入一家又一家酒店,仿佛在享用只有他一个客人的盗窃自助餐。他先是偷电视,接着瞄上客人的行李,后来把所有能找到的东西都拿走。他的“猎场”从亚利桑那、俄亥俄延伸到田纳西,每次都抢先一步转移,以免被擒。

    为了抓住这个酒店大盗,美国警方发起了Operation Hotel Ca$h行动。根据2013年6月一份文件,他们估计堪舍特进行了78起酒店盗窃(堪舍特后来对我暗示说实际作案远超100起)。

    但是,2012年夏末,当堪舍特的酒店游戏刚开始,警察还迷惑不已。他们接连接到报案,但没发现一丝入室痕迹(比如打破的玻璃窗或被砸坏的门锁),一开始酒店怀疑自己的员工,但什么样的女服务员能从那么多房间偷走电视或满满当当的行李箱?“什么都没有,没有指纹,没有强行入室的痕迹。”泰勒·沃金斯回忆说,他是亚利桑那州坦佩市警长。“好像是幽灵溜进来,又溜了出去。”

    但是,那年夏天任何一个关注网络安全的人都能猜到答案。事发前几周,24岁的安全研究员科迪·布鲁舍斯刚刚公布他发现的Onity电子门锁漏洞,认为它会导致美国和全世界1000万个酒店房间失守。

    这个漏洞鲜为人知,但原理简单:每个Onity锁下面都有一个插口,酒店员工可以插入一个名为“便携编程器”的东西。它可以读出最近哪些钥匙开了哪些锁,或设置哪些门可以用哪把钥匙打开。鉴于便携编程器本身也有万能钥匙功能,酒店对它们看管很严。

    布鲁舍斯是个胖胖的天才黑客,受雇一个小型创业公司,解码Onity锁,以便开发竞品。公司没能起步,但布鲁舍斯意外发现,便携编程器上触发“解锁”命令的密钥并非存在编程器上,而是存在门锁上,这等于是在酒店房间门口地毡下放了钥匙,就等有心的人来拿。

    布鲁舍斯还发现,只要花50美元,就能买到必要的硬件———包括电路板、电阻、电池、DC插头,组装出自己的便携编程器。将之插入Onity门锁,就能自动读取密钥解锁,整个过程只需几分之一秒。

    为了证明这种说法,布鲁舍斯当时找到了在《福布斯》杂志工作的我,展示了他在eBay上买的一把Onity锁。他把自制编程器接好,把插头伸进测试锁底部。嗡的一声,绿光闪过,锁舌顺从地缩了进去。

    被漠视的黑客警告

    两周后,我们俩花了一天在纽约乱转,测试这一发现。我们选了三家酒店进行了测试:市中心的华尔道夫,布鲁克伦的假日酒店和时代广场的马奎斯万豪。为了避免造成事实上的犯罪,杂志当时出钱订了房。三个目标里,只有一个成功了:马奎斯万豪中庭上方一间房被打开。布鲁舍斯的技术还不够精湛,但这已经足够。我写了一篇报道,警告说常见的一种酒店房锁可能存在严重安全漏洞。

    但布鲁舍斯不肯罢休。一周后,他在拉斯维加斯的黑帽黑客大会上介绍了自己的发现,并更进一步,公布了自制编程器的代码。这样一来,人人都可以造出自己的解锁器。

    在黑帽大会和世界黑客大会这样的场合展示自己的发现,是黑客社区一项悠久的传统。尽管公开披露漏洞可能导致入室、窃听等犯罪行为或其他后果,但他们的逻辑是,公众知情至关重要。对高贵的黑客而言,与用心不良者趁机干坏事相比,逼迫企业修正严重漏洞更加有意义。

    这样的事情我报道过很多。一名黑客迫使苹果修正漏洞,免得蠕虫病毒扩散到每台iPhone上;一名安全研究员迫使一个ATM销售商修正漏洞,否则存款机经过操作会不停往外吐钱;还有人推动克莱斯勒召回140万辆可能被人远程操纵的汽车。总之,白帽黑客负责发现漏洞,企业负责修补。

    但这个故事的走向不是这样。

    哪怕在我的报道出街、布鲁舍斯高调公布自己的发现后,Onity也未出面修正。事实上根本没有补丁。就像许多硬件制造公司一样,Onity销售产品时并无太多防侵害计划。其门锁没有升级机制,若要修正,每个门锁的电路板都要更换。Onity说它不会出这笔钱,客户更不愿意掏钱———每换一个至少25美元,或者正处于懵懂之中,根本不知道问题的存在。

    结果,与布鲁舍斯的本意相反,漏洞的披露为犯罪分子打开了方便之门。很快就有黑客贴出视频,展示存在漏洞的酒店;有人对布鲁舍斯的小发明进行了改造,使它变得更加高效和可靠。芝加哥一名安全员把它做得很小,只有一支白板笔大,插头就藏在笔帽里。连电视剧《黑客军团》第一季里都出现了类似情节。

    但在所有了解Onity门锁秘密的人中,可能只有一个人真正将之用于大规模犯罪,那就是安隆·堪舍特。

    天才罪犯邂逅犯罪密码

    堪舍特的母亲罗利·韩说,儿子对技术的好奇心可能来自外祖父———他是洛克希德·马丁一名太空工程师,为NASA服务多年。她记得儿子从小就表现出工程天分,喜欢拆电话、画设计图。

    但堪舍特的父亲是名暴躁的牧师,对安隆产生了不同的影响。“他星期日虔诚地祷告,然后那一周其他时间狠狠地揍我。”韩这样说前夫。作为家里五个孩子里的老大,堪舍特激烈地反对父亲的权威。“安隆是我的保护人。”

    但当父母最终离婚,堪舍特和母亲的关系却变得冷淡。14岁时他搬到父亲那里,17岁时又离开,跟一个吸毒贩毒的朋友住在一起。他很快迷上冰毒,两年后,他的朋友在酒店被人用枪爆头。从那以后,堪舍特的母亲说,他就“完全失去了控制”。

    22岁时,堪舍特因用激光打印机伪造支票和身份证件首次入狱。在狱中,他上了电脑课,学会了组装电脑。出狱后他进一步磨练技能,学会了焊接,装出了长距离无线天线,还找到工作,成为一名汽车技师。

    但后来,堪舍特因藏毒和醉驾再度入狱。当几年后他假释出狱,车管局要求他在车内装一个酒精测定仪,每次开车前要对着它吹一口,证明没喝酒,车子才能启动。堪舍特可不会被这种难题击倒,在网上一番查找,他就知道了如何给车子打火,同时绕开传感器。每个周末他都会在测定仪上做手脚,能喝多醉就喝多醉。车管局检查时,光看记录,会以为他非常负责,每个周末都主动不开车。

    但常在岸边走,哪能不湿鞋。一天晚上,醉驾的堪舍特被警察逮个正着。因为假释期违法,他要回监狱待五个月。令他意外的是,出来后法庭撤销了对他这次酒驾的指控。堪舍特感觉这是上天给他过正常生活的机会,接下来10个月里,他远离毒品和犯罪,甚至在一家挺高级的墨西哥餐馆找到了服务员的工作。

    然而一年后,2012年夏天,堪舍特收到法庭来信,说不仅醉驾指控恢复,还因之前多项违法累加,附带重罪指控,刑期最少六年半。

    堪舍特崩溃了。他将这次逆转视为一种背叛,一种证明:即使他遵纪守法,世界也不会让他自由地生活。随着开庭日子临近,他再次回到吸毒与犯罪生涯中。他又开始伪造支票,打开别人的汽车,甚至利用Linux黑客工具箱侵入无线网络,盗取纳税文件,用于欺诈。用他自己的话说就是:“如果还要回去坐牢,就要坐得值。”

    就在那个月,他看到了一段电视新闻,讲的就是布鲁舍斯对Onity锁的破解。

    能打开98%的目标门锁

    他花了好几天跟踪报道,然后到布鲁舍斯的网站上找到了代码及整套制作教程。根据指导,他花了大约50美元,买来必需的部件,几个小时就组装出了初步版本。在万豪酒店打开了第一扇门后,他迷上了这件事。

    白天他依然做着服务员。到了晚上,他吸着毒,不睡觉,不停地做解锁器,让它变得更漂亮、更低调。最后的成品依然藏在Oakley墨镜盒里,吊在他脖子上,但插头放在拉链那边,伸缩自如,还有了一个开关按钮,藏在字母O那儿,再也不需要胡乱摸索乱糟糟的电线和电池。他发现这个设备能打开大约98%的O nity锁,比布鲁舍斯最初那个版本高效多了。

    随着设备升级,堪舍特的盗窃也在升级。从万豪拿走毛巾和枕头一周后,他带着螺丝刀回去,卸走了37英寸的纯平电视。之后几天,他又从各个酒店的空房间偷了更多电视,然后开始盯上客人的财物。

    现在他有了帮手,那伙来来去去的朋友中的一个。一开始他们只偷手提电脑、iPad等物品,但有一天,堪舍特偶然看了客人的洗漱包,发现一只袜子里包着百年灵手表,价值数千美元。从那以后,他们什么都拿,将客人所有物品扔到行李箱里,若无其事地从后门离开。

    为了伪装,堪舍特戴上白色假发和一顶扁呢帽。他每次都细心地戴上手套,以免留下指纹。为保证汽车不被追踪,他会偷一些车牌,定期更换。当他发现酒店员工一般将他当做客人,礼貌以待时,不安和焦虑慢慢消退。偷了住客那么多个人物品,他有没有自责过?堪舍特说,当时自己的意识被毒品控制着。毕竟,为了保持兴奋,他吸了很多,甚至开始出现幻觉,能看见黑色精灵和“影子人”。到了那个程度,他说:“良心基本上扬长而去了。”

    一天作案多达四起

    随着醉驾庭审日期临近,堪舍特决定开溜。他驱车去俄亥俄州找朋友,沿途用解码器打开路边的汽车旅店房间住宿。终于到达后,他又偷了几家酒店,才决定收手。但他没能潜伏多久。一天晚上,他们在朋友邻居家的院子放臭名昭著的M80烟花,还用上了堪舍特自己组装的高能激光枪。警察闻讯而至,在现场发现了毒品,以藏毒罪名逮捕了堪舍特,并将他铐在客机上,引渡回了亚利桑那。

    但那时警方依然没有把堪舍特跟酒店失窃案联系到一起。他最终还是因醉驾入狱,不久又获假释。堪舍特更加大胆,他提高了作案频率。虽然请了一位律师针对醉驾指控上诉,但他最终没有出现在法庭,而是再次选择逃跑。

    接下去的四个月里,他和朋友,还有一位忽来忽去的女友,疯狂地盗窃酒店,有时一天作案四起。假日、戴斯、希尔顿、汉普顿、万豪、拉昆塔、喜来登……他们穿越整个亚利桑那中部,有条不紊。

    每次作案,他先细心观察目标,看其大门是不是用的Onity锁。如果是,就戴着那顶标志性的白色软帽,走进大堂,墨镜盒吊在他的脖子上。一旦到了客房楼层,他会寻找酒店管理人员推的小车,找到客房清单,看哪些房子是空的,哪些房间住了人。然后选择住人的房间,敲门测试,如果有人过来应门,就转身离开,继续往前。如果没人,就径直进去。拿着住客的财物离开之前,堪舍特或同伙会往清单上的入住房间逐个打电话,确认客人不在,方便继续作案。

    在非常高效地偷了大约一个月后,堪舍特遇到了挑战。他疑惑发现,解码器插进数据接口时总是遇阻。原来,Onity终于认真对待布鲁舍斯的警告,开始向客户提供免费维护,并逐家通知客户注意这个漏洞。但公司的解决方案不是完全召回或更换缺陷部分,而是用便宜的塑料插口封住漏洞插口。

    一开始堪舍特很沮丧,“目标一下子变少了。”他说。

    但是,毕竟在这个“事业”上投入了那么多心血,堪舍特下定决心,不能被锁商打败。他试着偷偷把塑料插口撬松,用烙铁把它熔掉,没有成功。最后,他让一个朋友望风,自己把车停到一家汽

    车旅馆门前,两边都有遮挡物,不会被人看见。他拿出工具包,坐在门前,开始干活。到了下午,他已经确认,T10T orx螺丝批可以卸掉门锁表面部分的金属底座,深入锁的内部,去掉那个塑料插口,打通漏洞插口,再把其他东西组装回去。练了几回以后,他技艺纯熟,不到20秒就可以完成整个流程。同一天,他就恢复了“业务”。

    社交媒体暴露证据

    从一开始,堪舍特就知道这一行总有到头的时候。毕竟,他是个通缉犯,已经两次在假释期逃逸。到2013年初,他的盗窃生涯出现了危机。

    在加州与亚利桑那州接界处的哈瓦苏湖城,堪舍特想偷一名中年女士的车牌,好为下一轮盗窃做准备。他正蹲在那儿卖力地拧车牌时,车主回来了。堪舍特驱车逃跑,但是那位女士报了警,追踪中他跳墙逃脱。但望风的同伙被抓,将警察带到了酒店房间———房间是用堪舍特的名字登记的,还放着一套备用的酒店开锁工具。

    随着调查的深入,警方发现了富矿:堪舍特的社交媒体通讯记录。里面全是犯罪证据:一次聊天中,他向朋友解释为何自己会带着关于酒店失窃案的系列报道跑路,“你会上瘾的!”他说,“这是一种肾上腺素刺激!各种酷!”另外一次聊天中,他给朋友发了照片———站在一张铺满手提电脑、手机、平板电脑的床后面。在和女朋友的合影中,他戴着那顶标志性的白帽子,这顶帽子可以将他和每一段监控录像对上号,尽管他一直煞费苦心地用它遮着自己的脸。“就这样,我们发现了他。”坦佩市的警长沃金斯说。

    感觉到警察正在收网,堪舍特再次驱车逃亡。这次他一路开往田纳西州,在阿巴拉契亚地区偷了更多酒店,然后回到加州一个农场,他妈妈的住处。

    有那么几周时间,远离唾手可偷的酒店诱惑,远离毒品,他尝试过正常生活。但他有种想法,如果跨越边境,投奔加拿大一个朋友,或许可以为自己争取到更多时间。他没有护照,担心一申请就会被逮捕。一个弟弟答应替他申请一个,他们长相相似,堪舍特希望这招能行,于是开车去了弟弟家。

    就在那里,一天上午,一队法警涌了进来———堪舍特相信是弟弟的申请触发了警报。他们先是把弟弟当成了堪舍特,摁到了地上。与此同时,堪舍特从浴室跳窗逃跑。他慌慌张张跑过草地,正准备攀越栅栏时,另一边出现了持枪的执法人员。一条凶猛的警犬咬住了他的胳膊,法警说堪舍特揍了警犬(他自己后来否认),于是电击了他。

    “我不知道自己当时要大便。”堪舍特回忆说。但强大电流解除了他的肌肉控制能力。“我很快发现自己屙了一裤子。”他说,警察把他铐起来,甚至都没让他回去换件衣服。接下来四个小时里,他就在自己的排泄物上坐着。

    漏洞依然部分存在

    差不多在布鲁舍斯向我介绍O nity锁漏洞整整五年后,我在监狱的会客室见到了堪舍特。因为狱中的锻炼,他强壮了很多,眼神也更加清澈敏锐。尽管亚利桑那州监狱系统毒品盛行,但他说自从第三次服刑就戒了毒,甚至连烟都不抽了。

    堪舍特对三次酒店盗窃认罪,检察官有着无懈可击的证据。他获刑九年,但希望七年半以后就能出狱,发誓出去后再也不沾酒店盗窃了。他说,自己有种复杂的感觉,为给受害者带来的创伤感到羞愧,同时又为自己造成的影响感到骄傲。他希望有一天在安全行业找份工作,甚至销售自己的发明,申请专利,防止支票伪造。“也许我可以为凯文·米特尼克或弗兰克·阿巴内尔工作。”他说。那两位是全球知名的改过自新的黑客和造假大师。

    但堪舍特也说,他想警告世界,布鲁舍斯发现的漏洞依然存在。“我保证,如果你在中西部一些酒店试一下,20次里还有19次能打开。”他谴责Onity的漠视:“他们就是不管。”

    Onity公司回应说,它已经“向所有已知受到影响的客户提供了机械解决方案,使得他们可以进行安全升级。”但没有细致说明,这些“机械方案”里到底有多少是指真正替换了电路板,还是只使用了堪舍特可以轻松拆卸的塑料插口。

    2012年12月,漏洞披露四个月后,Onity的确跟一些主要的连锁酒店达成协议———包括万豪、凯悦、洲际———准备支付其更换门锁的全部或者部分成本。酒店保险公司Petra Risk Man-agement风险管理部负责人托得·赛德斯说,第一年的危机过去后,他没再听说其他失窃事件。他认为问题多少是解决了,毕竟,堪舍特已经入狱多年,不了解现状。“从那之后,这一页就翻过去了。”但是赛德斯承认,一些家庭经营的小型旅馆可能还不知道这种锁的漏洞,至今还在使用有缺陷的旧版本。

    于是我决定再亲自测试一下。利用买来的配件和在布鲁舍斯网站上找来的代码和教材,我制成了自己的解码器。布鲁舍斯的指导非常清晰,哪怕我这种技术盲也能轻松理解,加上一些手巧的工程师朋友的帮助,组装和调试只花了几个小时。

    当然,我的成品没有堪舍特做得那么漂亮,就是电路板、电线和电池凑在一起。但是当我把它插入eBay上买来的二手Onity锁,立即听到嗡的一声,锁闪着绿光,开了,就像堪舍特第一次在万豪酒店经历的那样。

    我开始重温自己多年前的经历。首先,我去了华尔道夫酒店,订了一间房,尝试解锁,没成功——— 看来Onity丑闻之后换过了;然后我到了河对岸的假日酒店,又订了一间房,再试,只遇到了久久的沉默;最后,我折身去了时代广场的马奎斯万豪。2012年,布鲁舍斯的解码器就是在这里成功的。但我试的这第三把锁仍然毫无回应。身为酒店黑客的第一天,我遭遇了彻底的失败。

    到了这一步,杂志同意追加一笔风险投资,让我再试一次。我选择了一间大众的连锁酒店。

    在房门前,我深吸一口气,将粗糙的解码器插进银色门锁,等待另一次失败。

    但是,它清晰地嗡了一声,闪出了奇妙的绿光。

    链接

    客人床上睡着

    他们继续偷窃

    堪舍特和同伙虽然配合默契,但是有时难免遇到“意外”。有一次,堪舍特还在房间里时,客人回来了,他只好从二楼的窗户跳出去逃走。另外一次,他们大中午溜进一个房间,看见一个大块头男人正在床上呼呼大睡,鼾声如雷。堪舍特吓了一跳,撤了出来,但同伙说这个人睡得太熟了,可以大胆偷,结果他们真的在男人醒来之前把行李给拿走了。最惊险的一次,是堪舍特和同伙正忙着把东西往袋子里装,一名男子从卫生间走了出来。情急之下,堪舍特的同伙热情跟人家打了招呼,来了个大大的拥抱。困惑的客人以为他们是一个朋友邀请来的熟人,三个人兴致勃勃地聊了一会,才挥手告别。堪舍特觉得刺激到了极点,驱车离开时,他在后座干呕起来。

    偷了太多行李箱

    一个房子放不下

    因为不懈地对解码器进行升级,堪舍特的犯罪活动相当高效,收获颇丰。在他搞到的战利品中,有一位收藏爱好者收藏的各种枪、一位法警的手枪和佩章、两个有乐队签名的定制吉他、一名飞行员的制服和证件、摩托车头盔、摄像机、高尔夫球具、手表、钱包、整套酒店保险柜、护照、珠宝,还有无数电视、手提电脑、手机、平板电脑,当然还有行李箱———特别是行李箱,因为太多了,房子里堆得满满的,又在另一处房子放了一些。

    多数时候他找贩毒的朋友兼职销赃,或通过凤凰城一个珠宝店老板走货。尽管他很“勤劳”,但一直没存下多少钱,大把钞票都花在毒品、夜总会和赌场上了。

    叮嘱妈妈

    别把东西留在酒店房间

    去年夏天,堪舍特的妈妈罗利·韩前往亚利桑那州的Yuma监狱,几个月来第一次见到了儿子。

    这么长久的分别之后,堪舍特问的第一个问题是妈妈住哪家酒店。她说了。他立即问门锁的种类——— 门卡是这样横着插进去的,还是像那样竖着插进去的?他妈妈说是后面那种,就像把面包片放进吐司机。

    “那,不管你要干什么,”堪舍特认真地告诉妈妈,“都不要把东西留在房间里。”

    原载:《连线》

    编译:Dawn

手机看报
返回奥一网 意见反馈