凯文·米尼克先生

尊敬的汤普森主席，尊敬的参议员们，委员会的各位成员:

我叫凯文·米特尼克。今天，我来到你们面前，讨论你们为制定立法所做的努力，以确保未来由联邦政府或代表联邦政府拥有和运行的信息系统的安全性和可靠性。

我主要是自学的。我作为一个青少年的爱好是学习方法，战术和策略用来规避计算机安全，并学习更多关于计算机系统和电信系统如何工作。

1985年，我以优异成绩毕业于加利福尼亚州洛杉矶的一所技术学院，主修计算机系统和编程，并成功地完成了一个研究生项目，设计了在计算机操作系统上运行的增强型安全应用程序。该研究生项目可能是“雇佣黑客”的最早例子之一。学校管理人员意识到我以他们无法阻止的方式侵入了他们的计算机，因此他们要求我设计安全增强，以阻止他人未经授权的访问。

我有20年的信息安全措施规避经验，我可以报告，我已经成功地破坏了所有系统，我的目标是未经授权的访问，除了一个。我有两年的私人侦探经验，我的职责包括使用社会工程技术定位人和他们的资产。

当我获得太平洋贝尔公司使用的COSMOS计算机系统(主机操作计算机系统)的用户手册时，我在访问和获取计算机系统信息方面的经验和成功首次引起了全国的注意。

十年后，小说《赛博朋克》于1991年出版，据称是对我1988年因联邦指控被捕的行为的“真实”描述。这部小说的一位作者继续为《纽约时报》撰写了类似的关于我的虚构“报道”，包括1994年7月4日的封面故事。那篇虚构的故事毫无理由、无正当理由或无证据地将我称为“世界头号通缉网络罪犯”。随后的媒体报道将这一说法歪曲为虚假的说法，即我是FBI“十大通缉”名单上的第一名黑客。最近，我在2000年2月10日参加CNN的举证责任节目时，重复了这种虚假的夸大。美联社的迈克尔·怀特向联邦调查局调查了这一问题，ReportsReports联邦调查局的代表否认曾将我列入他们的“十大通缉犯”名单。

我未经授权进入了一些世界上最大的公司的计算机系统，并成功侵入了一些有史以来最具弹性的计算机系统。我使用了技术和非技术手段获取了各种操作系统和电信设备的源代码，以研究它们的漏洞和内部工作原理。

1995年我被捕后，我作为审前被拘留者在没有保释金、保释听证会和没有能力看到对我不利的证据的情况下度过了数年，根据我的辩护团队的研究，这种情况在美国历史上是前所未有的。1999年3月，1人承认犯有电报欺诈和计算机欺诈罪。我被判处68个月联邦监狱，3年监督释放。

根据我的辩护团队的研究，对我施加的监督释放限制是美国联邦法院对个人施加的最严格的条件。在监督下释放的条件包括但不限于完全禁止为任何目的拥有或使用下列物品:手机、计算机、任何计算机软件程序、计算机外围设备或支持设备、个人信息助手、调制解调器、任何能够访问计算机网络的东西，以及任何其他现有的电子设备或新技术，可以转换为或具有其功能，充当计算机系统或访问计算机系统、计算机网络或电信网络的能力。

除了这些特殊情况外，我还被禁止担任从事任何计算机相关活动的个人或团体的顾问或顾问。我也被禁止访问计算机，计算机网络，或其他形式的无线通信自己或通过第三方。

我于2000年1月21日从联邦监狱获释，就在6周前。我服刑59个月零7天，因行为良好而获得180天的休假。我被允许拥有一部陆地电话。

计算机系统及其脆弱性

信息安全的目标是保护信息的完整性、保密性、可用性和访问控制。安全信息受到保护，防止篡改、泄露和破坏。信息安全的实践减少了与信息完整性失去信任相关的风险。

信息安全包括四个主要主题:物理安全、网络安全、计算机系统安全和人员安全。这四个主题中的每一个都值得一本书，如果不是几本书的话，来完整地记录它们。我今天的发言旨在简要概述这些议题，并提出我对委员会制定有效立法的方式的建议。

1.人身安全

不受控制的对计算机系统和计算机网络的物理访问极大地增加了系统能够并将遭受未经授权访问的可能性。

1.1.1硬件安全

可能被锁在房间或建筑物内，配备警卫、安全摄像头和密码控制的门。在明显安全的硬件环境中，信息安全面临的最大风险是员工或冒名顶替者，他们似乎拥有对安全空间的授权。

1.1.2数据安全

政府机构需要正式的备份程序，以确保数据不会丢失。同样严格的要求必须到位，以确保这些备份文件的完整性和安全性。入侵者无法获得安全数据的访问权，但却获得了对数据备份的未授权访问权，从而成功地破坏了可能存在的任何安全措施，而且被检测到的风险要低得多。

2.网络安全

2.1独立计算机比连接任何类型网络的计算机更不容易受到攻击。与没有连接到任何网络的计算机相比，连接到网络的计算机通常会出现配置错误或服务启用不当的情况。网络“不安全”的等级如下:—独立计算机—最不容易受到攻击

-连接到局域网的电脑-更容易受到攻击

--可通过拨号上网访问的计算机和局域网-更容易受到攻击

——连接到互联网的电脑和局域网——最容易受到攻击

2.1.1未加密的网络通信

未经加密的网络通信允许对网络进行物理访问的任何人使用软件来监视在网络上传播的所有信息，即使这些信息是为其他人准备的。一旦安装了网络监听，入侵者就可以监控所有的网络流量，并安装软件，使他们能够从网络传输中捕获或“嗅探”密码。

2.1.2拨入访问

通过向任何可以访问普通电话线的人开放接入点，拨号接入增加了漏洞。通过增加网络和远程计算机的可访问性，站点外访问增加了入侵者获得网络访问权的风险。

3.计算机系统安全

没有连接到任何网络的计算机系统尽可能提供最安全的计算环境。然而，即使对独立计算机系统进行简单的回顾，也会发现它们可能在许多方面受到损害。

3.1.1操作系统

操作系统控制计算机的功能:信息如何存储，内存如何管理，信息如何显示——这就是机器的主程序。操作系统的核心是一组离散的软件程序，这些程序被组装成一个包含数百万行代码的更大的程序。大型现代操作系统不能彻底测试安全性异常或“漏洞”，这代表未经授权访问的机会。

3.1.2非法软件

“流氓”软件应用程序可以秘密安装，也可以在他人无意中的帮助下安装。这些程序可以安装一个“后门”，它通常由编程指令组成，这些指令禁用操作系统中模糊的安全设置，并允许将来在没有检测的情况下访问；一些后门程序甚至记录用于访问受损系统的密码，以供入侵者将来使用。

3.1.3无效的密码

计算机用户经常选择字典里的密码，或者与个人相关的密码，这些密码是可以预测的。静态或不变的密码是另一种攻破计算机系统的简单方法——一旦密码被攻破，用户和系统管理员就无法知道入侵者已经知道密码。动态密码或非字典密码对许多用户来说是有问题的，他们把它们写下来，放在自己的计算机附近，以便于访问——无论是自己的，还是任何破坏计算机安装物理安全的人。

3.1.4卸载软件更新

包含已知安全问题的过时系统软件很容易成为入侵者的攻击目标。系统管理员无法保持系统更新，这是由于工作超负荷、相互竞争的优先级或无知造成的。系统的弱点是公开的，过时的系统通常会提供众所周知的容易访问的漏洞。

3.1.5默认安装

一些操作系统的默认安装禁用了给定操作系统中的许多内置安全特性。此外，系统管理员无意中错误配置系统，或包含不必要的服务，可能导致未经授权的访问。同样，这些弱点在计算社区中被广泛宣传，默认或错误配置的安装很容易成为攻击目标。

4.人员安全

4.1信息安全中最复杂的因素是使用信息所在系统的人。人员安全方面的弱点抵消了其他三种类型安全的努力和成本:物理、网络和计算机系统安全。

以下4.4.1社会工程

社会工程，或“堵嘴”，被定义为通过欺骗获得情报。员工们接受的培训是要乐于助人，在工作场所要循规蹈矩。有经验的社会工程师会利用这些特质来获取信息，以实现他们的目标。

4.1.2邮件附件

电子邮件附件可能会在发送时嵌入隐蔽代码。大多数人在收到邮件后会启动附件，这样可以在用户不知情的情况下降低目标机器的安全设置。使用这种方法成功安装的可能性可以通过以下方式来提高:在电子邮件提交之后，通过电话提示用户打开附件。

信息安全漏洞

信息安全利用是用来破坏信息的完整性、机密性、可用性或访问控制的方法、战术和策略。发现泄露的信息安全有几个后果，其中最重要的是与泄露的信息和包含该信息的系统相关的信任水平下降。下面是典型的安全漏洞示例。

5.物理安全漏洞

5.1数据备份漏洞利用欺骗或虚张声势，入侵者可以走进场外备份存储设施，假装来自某个机构，要求进行物理数据备份。入侵者可以声称执行数据恢复需要特定备份。一旦入侵者实际拥有数据，入侵者就可以像拥有超级用户或系统管理员权限一样处理数据。

5.2物理访问漏洞

如果入侵者获得了对计算机的物理访问权并能够重新启动计算机，那么入侵者就可以完全控制系统并绕过所有安全措施。阿里非常强大的利用手段，但却让入侵者面临巨大的个人风险因为他们就在现场。

5.3网络物理访问漏洞

对网络的物理访问使入侵者能够在网络电缆上安装窃听器，该窃听器可用于窃听所有网络流量。窃听使入侵者能够在密码通过网络传播时捕获密码，从而能够完全访问密码被泄露的机器。

6.网络安全漏洞

6.1存在探测计算机弱点的网络软件。一旦发现一个系统的弱点，并且系统受到威胁，入侵者就可以安装软件（称为“嗅探器”软件），危害网络上的所有系统。然后，入侵者可以安装软件，记录用于访问受损机器的密码。用户通常在多台机器上使用相同或相似的密码；因此，一旦获得一台机器的一个密码，那么多台机器就可能受到威胁（请参阅“人员安全漏洞攻击”）。

7.计算机系统利用

7.1可以利用程序（例如UNIX程序sendmail）中的漏洞远程访问目标计算机。许多系统程序都包含漏洞，使入侵者能够诱使软件以非预期的方式运行，以获得未经授权的访问权限，即使应用程序是计算机操作系统的一部分。

北卡罗莱纳罗利的一篇论文《罗利新闻与观察家报》在运行中的计算机上的配置错误显示了系统配置错误的问题。我使用UNIX程序“Finger”在我控制的计算机系统上创建了一个用户名，该程序可以识别当前登录到计算机系统的用户。我为自己分配的用户名与目标主机上存在的用户名完全匹配。错误配置的系统被设置为“信任”网络上的任何计算机，这使得整个网络对未经授权的访问开放。

8.人员安全利用

8.1社会工程——包括欺骗或说服人们透露信息或在入侵者的命令下采取某些行动。我的私人侦探工作很大程度上依赖于我在社会工程方面的技能。

在我成功地通过社会工程进入摩托罗拉的过程中，我使用了一个三级社会工程攻击来绕过当时正在使用的信息安全措施。首先，我能够说服摩托罗拉运营的员工向我提供他们安全访问设备上的密码，以及静态PIN。这之所以非同寻常，是因为他们接入设备上的密码每60秒就会改变一次:每次我想获得未经授权的访问权限，就得打电话给指挥中心，询问那一分钟内有效的密码。

第二个层次涉及说服员工在他们的一台机器上启用一个帐户供我使用，第三个层次涉及说服一位已经有权访问其中一台计算机的工程师给我他的密码。我说服了这位工程师，让他相信我是摩托罗拉的一名员工，并且我正在看一份记录了他用来访问摩托罗拉网络上个人工作站的密码的表格，克服了他强烈不愿意提供密码的心理——尽管事实上他从未填写过任何此类表格！一旦我获得了对那台机器的访问权，我就获得了对目标机器的Telnet访问权，这是我一直在寻求的访问权。

8.2语音邮件和传真漏洞

此漏洞利用依赖于说服一家大公司的员工启用语音邮箱：入侵者将呼叫为目标公司管理语音邮箱的人员并请求邮箱。借口是入侵者为另一个部门工作，并希望在不拨打长途电话的情况下检索消息。

一旦侵入者进入了语音邮件系统，侵入者就会打电话给接待员，自称是公司的雇员，并要求他们帮他记录信息;最后但并非最不重要的是，入侵者会要求传真号码，并要求接收的传真被保留以备取件。这为呼叫公司的目标部门奠定了基础。

此时，入侵者将呼叫目标部门启动传真利用，以获得目标公司的机密信息。在通话过程中，入侵者会称自己是语音信箱和传真系统刚刚被入侵的部门的员工，他会引用语音信箱来证明自己的身份，并且会对目标员工进行社会工程，让他们把目标信息传真到他们另一个办公室的被泄露的传真号码。

现在，闯入者会打电话给接待员，告诉他正在开会，并要求接待员将机密材料传真给“酒店”。入侵者在二级传真中接收到包含机密信息的传真，无法追踪到入侵者或目标公司。

我利用这一漏洞成功地破坏了ATT受保护的网络接入点。ATT已经了解到一个系统被一个叫做“DataKit”的中央网络接入点的未经授权的进入所破坏。他们在所有DataKit上设置网络接入密码以禁止未经授权的访问。我联系了经理的一位秘书，并利用传真漏洞说服秘书将密码传真给我，使我能够访问一个数据包，该数据包控制ATT全球计算机网络的拨号访问。

9.建议

语音邮件和传真漏洞证明了我今天证词中最重要的内容：验证机制是信息安全中的薄弱环节，语音邮件和传真是用于验证寻求物理、网络或计算机系统访问的人提供的凭据真实性的工具。

最有效地减少入侵者破坏信息安全的能力的方法是全面的用户培训和教育。仅仅制定政策和程序是不够的。即使有监督，政策和程序可能也不会有效:我能进入摩托罗拉、诺基亚、ATT和Sun，取决于人们的意愿，绕过已经存在多年的政策和程序，然后我成功地妥协了它们。我所违反的公司安全措施是由一些业内最优秀、最聪明的人制定的，其中一些人甚至可能在你们起草法案《1993年参议院法案》(Senate Bill S1993)时被委员会咨询过。

S1993是朝着提高政府计算机系统信息安全的目标迈出的良好的第一步。我有几项建议，希望能提高你的法案的效力。

1.每个机构都要对他们想要保护的资产进行彻底的风险评估。

2.执行成本效益分析，以确定保护这些系统的价格是否代表真正的价值。

3.执行与风险评估和成本效益分析一致的政策、程序、标准和指南。员工培训以识别复杂的社会工程攻击至关重要。

4.在实施这些政策、程序、标准和指导方针之后，创建一个审计和监督项目，以衡量受影响的所有政府机构的合规情况。审计的频率应根据某一特定机构的任务来确定:数据越有价值，审计过程就越频繁。

5.创建一个数字“信任排名”，量化并总结上述审计和监督项目的结果。数字“信任排名”将提供对包括上述四个主要类别:物理、网络、计算机系统和人员的特征的一目了然的排名——如果你愿意，也可以称之为报告卡。

6.有效的审计程序（自上而下实施）必须是适当的奖励和后果系统的一部分，以激励系统管理员、人事经理和政府雇员维护与本委员会目标一致的有效信息安全。

结论

---------------