他总是一个人坐在电脑前,周围出奇的安静没有一点嘈杂……他正目不转睛的盯着电脑屏幕,飞快的敲打着键盘。没错,这就是他日常的工作状态。不知是谁,又成为了他们的目标,企业或者是政府机构。
“我不喜欢听音乐,”他说。“因为,音乐会让我无法专注于我的工作。”他的房间很空荡,一张不大的办公桌和一台电脑,还有一张单人床。我简单的环顾了整个房间,一张带有微软认证标志的证书和两张 Anonymous 和 LulzSec 黑客组织的海报,在墙上显得格外醒目。“我渗透时,依然会使用到许多基础的方法,那些都很简单易学,”他说。“我受到 LulzSec 的启发,常常会使用像 SQL [injection] 这样的攻击方法。”
Kapustkiy 将自己描述为“渗透测试者”。 “我想赚钱[利用我的技术],所以我常常会去挖掘一些网站的漏洞,然后提交给一些平台机构,来换取奖金。或者是为一些有特定需求的客户,提供一些技术服务,来获取他们的赏金。“为了证明他自己所说属实,他还向我提供了他的客户截图。同时他还表示,攻击政府只是为了表达不满和抗议的一种形式。“目前,我正在委内瑞拉政府工作,我对尼古拉斯·马杜罗执政非常不满,”他说。
Kapustkiy 比较擅长于,数据库方面的漏洞利用。“如果我想入侵一个网站,我首先会使用手动的方式来查找漏洞。这时,我一般都会从那些最常用的方法开始尝试。例如:SQL,LFI,XSS 和 暴力破解。除此之外,我可能还会用到一些社会工程学方面的工具,这样能使我更好的完成我的任务,” Kapustkiy 解释道。如果这些方法没有找到我想要的,那么我将会尝试使用 web 漏洞扫描器,来帮助我查找漏洞。
在成功的攻击了几个知名大大使馆后,Kapustkiy 申请加入了臭名昭著的黑客组织新世界黑客组织。这是一群年轻而又疯狂的黑客,他们声称对去年发生的,美国 DNS 服务商 Dny 遭大规模 DDoS 攻击事件负责。虽然,NWH 是否真正参与了 Dyn 的攻击,很难被证实。但在其宣布一系列针对 BBC,Twitter 和 Spotify 的类似 DDoS 攻击事件由他们负责后,该组织的政治性动机也愈发明显,并在2016年大幅提升。
Kapustkiy 被 NWH 展现出的惊人天赋,和那一次又一次的辉煌战绩所吸引。其他的那些团队也很棒,他说,“但不如[新世界黑客]他们那样熟练,我想提升我的技能,他们是最好的选择。”加入该组织后,他将继续以一名安全测试员的身份工作并赚钱。同时,他还会帮助组织完成一些 0 day 的利用任务。“这些 0 day 都是我从暗网上购买的,但我从来不会在暗网上卖自己的东西,”他说。
在接受 TechRepublic 的采访中, Kapustkiy 解释了,他和他黑客同事的攻击动机,以及他是如何攻击和入侵系统,如何出售窃取数据等一系列疑问。他的报价在下文略有编辑。
你是谁?
嗨!我是 Kapustkiy。 我喜欢将自己描述为,一名渗透测试者或安全研究员。(抱歉,英语不是我的第一语言。)
你是什么时候开始学习黑客技术的,又是如何学习的?
我是怎么做的?当我还是[一个青少年]的时候,我就开始了我的黑客生涯。我之所以想成为一名黑客,完全是因为受到了一个名为 LulzSec 的黑客团体的影响。那时我非常的崇拜他们[现在亦是如此],我想成为像他们一样的人物。但那时的我很年轻,对黑客这个团体并不是特别了解,更不懂什么黑客技术。所以,我决定做一些有关这方面的研究,例如 LulzSec 是如何侵入一个网站的。我发现了一篇关于他们黑网站的技术文章,从那一刻起,我便开始迷恋上了这些东西,并不断深入研究它们。
你所做的是合法的吗?你担心自己被抓吗?
在我第一次成功入侵进印度大使馆,并被新闻媒体在头条报道后,我确实有点害怕被抓。因为我在一些报道中看到,他们正试图通过一些技术手段,来追踪我的 IP。事件发生后,我开始帮助他们修复漏洞,并告诉他们,管理这些重要的数据时,做好安全防护是如何的重要。我没有将所有的泄露数据公布,只是将其中的一小部分给公开出来。我这么做,只是希望他们能意识到事态的严重性。这是合法的吗?在我看来,它是合法的。因为你只是泄露了一小部分数据,来让他们意识到自身的问题。还总是向他们报告漏洞,让他们知道你正试图在帮助他们。
你的动机是什么?
触使我这么做动机有很多。很多的管理员都会非常感激我,因为我帮助他们提升了网站的安全性。我还因此得到过,印度大使馆和意大利政府的“谢谢”。他们已经修复好了漏洞,我为自己感到自豪。
为什么你认为自己是渗透测试者,而不是黑客?
很多人都问过我同样的问题,我之所以将自己描述为渗透测试者而不是黑客,是因为我喜欢帮助那些网站提高它们的安全性,而不是黑它们。我一直把我的重点放在 Web /网络安全,而不是其他的东西。 在我看来,黑客必须是一个知识面非常广的人。
能详细描述下你的黑客历史,并解释你的个人目标吗?
在我还是青少年时期,我就开始了我的黑客生涯。我做的第一件事,就是了解 SQL 注入攻击和我能用它来做什么。因此,我入侵了英国大学的官网,并脱了他们的数据库,这导致了他们的官网三天无法被正常访问。之后,我意识到了我那样做是错的,因此我决定不再这么做了。我设法突破了印度大使馆,意大利政府,威斯康星大学,匈牙利人权基金会等。我入侵他们的网站,是想让他们意识到数据泄露问题的严重性。同时,我也会尽我所能的帮助那些管理员来修复漏洞,这些都是我的目标。让他们看到危险,并提高他们的安全性。
你和其他一些黑客团体保持友好关系吗?
我是一个名为“强大的希腊军队”黑客组织的前成员之一。我也知道[其他黑客团体]的一些成员。我有时会与他们取得联络。
你是如何赚钱的?
我会尝试在我国家范围内的网站中寻找漏洞(大多数都是XSS),并帮助管理员们修复它们,或者向他们报告相关漏洞,让他们自己去尝试修复。PS:我只会将我的时间花在寻找一些大站的漏洞,像银行或大学的网站。
能谈谈你的渗透策略吗?
这很简单,我做的事其实并不难。我的第一件事,就是将可能存在安全隐患的网站列出来,然后我会使用一些工具(像 PentestBox)来寻找漏洞。 最后,但并非不重要。 我会尝试访问数据库,并将我找到的漏洞报告给管理员们。
当你进入一个系统,你希望找到什么?
我希望能找到一些包含个人信息的数据,像真实姓名,地址,电话号码等。在我看来,这比寻找用户名和密码更为重要,因为你无法重置你的个人信息。
你有什么不可逾越的红线或者说什么是你坚决不会做的?
我绝不会泄露人们的个人信息,例如他们的地址或银行信息。
企业和个人该如何保护自己免受黑客攻击?
我认为沟通是最重要的事情之一。大多数公司对发来的邮件都不是特别在意,甚至连看都不看一眼。有很多人通过邮件向他们报告漏洞,但却很难得到他们的回应。 另外,你还需要定期的对你的网站做渗透测试,这样能让你及时的发现并修复一些问题,提升网站的安全性。没有绝对安全的系统,但我们总是可以通过安全加固,来增加黑客入侵的难度。
为了保护 Kapustkiy 的匿名及安全,本次采访 TechRepublic 使用了加密的应用程序,与 Kapustkiy 沟通。再次重申,TechRepublic 不支持任何违法犯罪和不道德的行为。