【文/陶立烽 编辑/王一鸣】16岁，他进入了麦当劳的点餐系统，让一些消费者“获益”；

到了高中，他通过自制程序盗取了计算机老师的电脑密码；

他曾FBI通缉，被美国联邦法院起诉，并被单独监禁了1年，原因是法官检察官认为他会危害国家安全，甚至“发起第三次世界大战”。

他，就是被称为世界头号黑客的凯文·米特尼克（Kevin Mitnick）。

不过那都是过去式，现在的凯文已经摇身一变，成为FBI的一名网络安全顾问。

（警方抓捕米特尼克后公布的肖像，电影《你瞧，网络实现的幻想》截图）

虽然他还会做一些“黑客”工作，并且有一家自己的公司，不过并非是黑道生意，而是为了测试企业的安全系统。

15日，在北京参加2017CSS大会时，首次来华的米特尼克分享了自己的黑客经历。观网小编也有幸来到现场，为你带来黑客世界的奥秘。

在会上，米特尼克坦言，随着互联网的发展，安全成为了各大公司最重要的问题。所以对于他这样做渗透测试的公司也有了更多的机会。

米特尼克

所谓渗透测试，是为了证明网络防御按照预期计划正常运行而提供的一种机制。米特尼克自信的表示他们的渗透测试成功率达百分之百，希拉里在这里躺枪：“最近我们有一位员工，也是很好地解密了希拉里的一封邮件。”

今年成为热点的美国法国大选黑客疑云，米特尼克自然也没有放过，他表示国家一些工作场所的网络安全实际上和企业是一样的，总是会受到攻击。因为在很多情况下，防病毒的软件可以防止一些恶意代码，但是实际上是很容易绕过的，这是一个真正挑战性的问题。

那么黑客到底是如何攻击的？米特尼克给我们演示了三个场景。

闯入大楼（门禁卡密码是怎样盗取的？）

米特尼克重现了攻入银行企业HID门禁控制系统的过程，有些银行大楼使用这种门禁控制系统，进入银行需要使用一张卡，卡内有每位租户的各种ID信息，包括密码等。在大楼内部一个房间到另一个房间也需要用到这种卡。

进攻的第一步就是获取卡内的信息，有一种特殊设备可以复制智能门禁卡的信息，然后将信息拷贝到另一张空卡中。

不过这种设备需要距离被拷贝者比较近，因此可以选择咖啡厅、吸烟室、卫生间等场所进行拷贝，并将上述设备用皮包等物体掩饰，找机会靠近目标人物，瞬间便可以复制对方门禁卡的信息。

当然，不是所有人都会让陌生人靠近你。不用担心，还有更夸张的设备，可以在三英尺之外就读取卡中的信息。

当成功复制到门禁卡里的信息后，将这些信息克隆到另一张空卡中，你就获得了一张门禁卡，这样就可以自由出入企业了。

攻入电脑

虽然进入了企业，来到了办公室，但电脑一般都有密码保护。凯文以自己的MacBook Air为例，演示了破解电脑密码的方法。

破解电脑的开机密码同样需要用到一款特殊的设备，这款设备可以读取用户目标电脑内存中的信息。

米特尼克称，使用这款设备并不能保证每次都能成功，有趣的是，在下午的演示中，他第一次尝试在锁屏状态下获取自己电脑的开机密码就失败了。

当再次尝试时，他成功了，经过一些简单的操作之后，在大屏幕上显示出了凯文MacBook Air的开机密码。

不过他之后就明确表示了，会改掉密码！

勒索病毒的进攻

此前沸沸扬扬的比特币勒索病毒WannaCry米特尼克也没有放过，他现场还原了用户是如何一步步中招的。

首先，以中国互联网安全领袖峰会为例，米特尼克演示称自己收到了一封邀请邮件，需要用户确认参加。

而用户则会理所当然地打开，而确认参加的过程引导用户打开另一个网页的链接，这个名为Go to meeting的网页链接中需要用户确认参加会议。

这个网页看起来没有任何问题，版面、颜色也和真正的Go to meeting网站一样，也需要用户复制粘贴与会ID进行验证。

但实际上是个虚假网站，验证后网页会诱导用户运行一个程序，该程序号称是用来确认参加会议的，但其实是一个WannaCry的病毒程序。

点击确认运行后，电脑便中招了，随后打开任何文件，便会发现我们熟悉的WannaCry勒索界面。

在演讲的最后，米特尼克向大家展示了自己准备的小礼品——别具一格的名片。很自然的，一大群米特尼克的拥趸很快就在边上排起了长队。

小编拼了半条老命还是没拿到名片，实在是没办法，就向一位拿到名片的小哥借了一下，给各位观网读者老爷们饱饱眼福！