凯文·米特尼克先生

尊敬的汤普森主席、尊敬的参议员和委员会成员：

我叫凯文·米尼克。我今天来到你们面前，是为了讨论你们为制定立法所做的努力，这些立法将确保由联邦政府或代表联邦政府拥有和运营的信息系统的未来安全性和可靠性。

我主要是自学成才。作为一个青少年，我的业余爱好包括学习规避计算机安全的方法、策略和策略，以及更多地了解计算机系统和电信系统是如何工作的。

1985年，我以优异的成绩从加州洛杉矶的一所技术学院的计算机系统和编程专业毕业，并继续成功地完成了一个在计算机操作系统上运行的增强安全应用程序的研究生项目。这个研究生项目可能是“雇佣黑客”的最早例子之一，学校的管理员意识到我以他们无法阻止的方式入侵了他们的电脑，所以他们要求我设计安全增强，以阻止其他人未经授权的访问。

我有20年规避信息安全措施的经验，可以报告说，我已经成功地破坏了我针对未经授权访问的所有系统，只剩下一个。我有两年的私人调查员经验，我的职责包括使用社会工程技术定位人员及其资产。

当我获得Pacific Bell使用的COSMOS计算机系统（用于大型机操作的计算机系统）的用户手册时，我在访问和获取计算机系统信息方面的经验和成功首先引起了全国的注意。

十年后，小说《赛博朋克》(Cyberpunk)于1991年出版，据称是对我行为的“真实”描述，导致我在1988年因联邦指控而被捕。那本小说的一位作者随后为《纽约时报》写了类似的虚构的关于我的“报道”，包括1994年7月4日的封面故事。ReportsReports这个故事基本上是虚构的，没有任何理由、理由或证据，就把我贴上了“世界头号通缉犯”的标签。随后的媒体报道歪曲了这一说法，称我ReportsReports是FBI“十大通缉犯”名单上的第一个黑客。2000年2月10日，我在CNN的举证责任节目中再次出现了这种虚假的夸大。美联社的迈克尔·怀特与联邦调查局调查了这个问题，联邦调查局的代表否认曾将我列入他们的“十大通缉犯”名单。

我未经授权访问了地球上一些最大的公司的计算机系统，并成功地渗透到了有史以来最具弹性的计算机系统中。我使用技术和非技术手段获取各种操作系统和电信设备的源代码，以研究它们的漏洞及其内部工作。

1995年我被捕后，我作为审前被拘留者在没有保释金、保释听证会和没有能力看到对我不利的证据的情况下度过了数年，根据我的辩护团队的研究，这种情况在美国历史上是前所未有的。1999年3月，1人承认犯有电报欺诈和计算机欺诈罪。我被判处68个月联邦监狱，3年监督释放。

根据我的辩护团队的研究，在美国联邦法院对我施加的有监督的释放限制是有史以来对个人施加的最严格的条件。监督放行的条件包括但不限于完全禁止出于任何目的拥有或使用以下物品：手机、计算机、任何计算机软件程序、计算机外围设备或支持设备、个人信息助理、调制解调器、任何能够访问计算机网络的物品，以及目前可用的任何其他电子设备或可用的新技术，其可转换为或具有作为计算机系统或访问计算机系统、计算机网络或电信网络的能力。

除这些特殊情况外，我不得担任从事任何计算机相关活动的个人或团体的顾问或顾问。我本人或通过第三方也被禁止访问计算机、计算机网络或其他形式的无线通信。

我于2000年1月21日从联邦监狱被释放，就在6个星期前。我在监狱服刑了59个月零7天，因为表现良好，我获得了180天的休假。我获准拥有一部固定电话。

计算机系统及其弱点

信息安全的目标是保护信息的完整性、机密性、可用性和访问控制。安全信息可防止篡改、泄露和破坏。信息安全实践降低了与对信息完整性失去信任相关的风险。

信息安全包括四个主要主题：物理安全、网络安全、计算机系统安全和人员安全。这四个主题中的每一个都应该有一本完整的书（如果不是几本书的话）来完整地记录它们。我今天的发言旨在简要概述这些专题，并就委员会制定有效立法的方式提出我的建议。

1.物理安全

1.1对计算机系统和计算机网络的不受控制的物理访问大大增加了系统能够并将遭受未经授权访问的可能性。

1.1.1硬件安全

可能被锁在房间或建筑物内，配备警卫、安全摄像头和密码控制的门。在明显安全的硬件环境中，信息安全面临的最大风险是员工或冒名顶替者，他们似乎拥有对安全空间的授权。

1.1.2数据安全

政府机构需要正式的备份程序，以防止数据丢失。必须制定同样严格的要求，以确保这些备份文件的完整性和安全性。无法访问安全数据但未经授权访问数据备份的入侵者成功地破坏了可能存在的任何安全措施，并且检测风险大大降低。

2.网络安全

2.1独立计算机的脆弱性低于连接到任何类型网络的计算机。与未连接到任何网络的计算机相比，连接到网络的计算机通常提供更高的错误配置或不适当启用的服务。网络“不安全”的层次结构如下：——独立计算机——最不易受攻击

--连接到LAN或局域网的计算机-更易受攻击

——电脑和通过拨号接入的局域网——更加脆弱

--连接到internet的计算机和LAN-最易受攻击

2.1.1未加密的网络通信

未加密的网络通信允许任何物理访问网络的人使用软件监控网络上传输的所有信息，即使这些信息是为其他人准备的。一旦安装了网络窃听器，入侵者就可以监控所有网络流量，并安装软件，使他们能够从网络传输中捕获或“嗅探”密码。

2.1.2拨入访问

拨号接入通过向任何可以接入普通电话线的人开放接入点增加了漏洞。异地访问增加了网络和远程计算机的可访问性，从而增加了入侵者访问网络的风险。

3.计算机系统安全

3.1未连接到任何网络的计算机系统提供了最安全的计算环境。然而，即使是对独立计算机系统的简要回顾也会揭示出它们可能会受到损害的许多方式。

3.1.1操作系统

操作系统控制着计算机的功能：信息的存储方式、内存的管理方式以及信息的显示方式“这是机器的主程序。操作系统的核心是一组离散的软件程序，这些程序被组装成一个包含数百万行代码的较大程序。现代大型操作系统无法彻底测试是否存在安全异常或“漏洞”，这些漏洞代表了未经授权访问的机会。

3.1.2恶意软件程序

“流氓”软件应用程序可以偷偷安装，也可以在不知情的情况下安装。这些程序可以安装一个“后门”，它通常由一些编程指令组成，这些指令可以禁用操作系统中模糊的安全设置，使用户能够在不被发现的情况下进入系统;一些后门程序甚至会记录密码，以便进入被入侵的系统或系统供入侵者使用。

3.1.3无效密码

计算机用户通常选择字典中的密码，或者与个人相关的密码，并且这些密码是可预测的。静态或不变的密码代表了另一种入侵计算机系统的简单方法——一旦密码被泄露，用户和系统管理员就无法知道入侵者是否知道密码。对于许多用户来说，动态密码或非字典密码是有问题的，他们记下密码并将其放在计算机附近以便于访问——他们自己的，或者任何破坏计算机安装物理安全的人。

3.1.4卸载的软件更新

包含已知安全问题的过时系统软件很容易成为入侵者的目标。由于工作过载、优先级竞争或无知，系统管理员无法保持系统更新。系统的弱点被公开，过时的系统通常会提供众所周知的漏洞，以便于访问。

3.1.5默认安装

某些操作系统的默认安装会禁用给定操作系统中的许多内置安全功能。此外，系统管理员会无意中错误配置系统，或包含可能导致未经授权访问的不必要服务。同样，这些弱点在计算界广为宣传，默认或错误配置的安装很容易成为攻击目标。

4.人员安全

4.1信息安全中最复杂的因素是使用信息所在系统的人员。人员安全方面的弱点抵消了其他三种安全类型的努力和成本：物理安全、网络安全和计算机系统安全。

4.1.1社会工程

社会工程，或称“堵嘴”，被定义为通过欺骗获得智力。员工被培训为乐于助人，并按照工作场所的指示行事。熟练的社会工程师会利用这些特点来获取信息，从而实现自己的目标。

4.1.2电子邮件附件

发送电子邮件附件时可能会嵌入隐藏代码。收到电子邮件后，大多数人都会启动附件，这会在用户不知情的情况下降低目标机器上的安全设置。使用此方法进行成功安装的可能性可以通过以下方式增加：在提交电子邮件后打电话提示用户打开附件。

信息安全漏洞

信息安全漏洞攻击是用来破坏信息的完整性、机密性、可用性或访问控制的方法、策略和策略。发现信息安全受损会产生多种后果，其中最重要的是与受损信息和包含该信息的系统相关的信任级别下降。下面是典型的安全漏洞攻击示例。

5.物理安全利用

5.1数据备份漏洞利用欺骗或虚张声势，入侵者可以走进场外备份存储设施，假装来自某个机构，要求进行物理数据备份。入侵者可以声称执行数据恢复需要特定备份。一旦入侵者实际拥有数据，入侵者就可以像拥有超级用户或系统管理员权限一样处理数据。

5.2物理访问利用

如果入侵者获得对计算机的物理访问并能够重新启动计算机，入侵者可以完全控制系统并绕过所有安全措施。阿里利用了极其强大的漏洞，但这会使入侵者面临巨大的个人风险，因为入侵者在现场。

5.3网络物理访问漏洞

对网络的物理访问使入侵者能够在网络电缆上安装窃听器，该窃听器可用于窃听所有网络流量。窃听使入侵者能够在密码通过网络传播时捕获密码，从而能够完全访问密码被泄露的机器。

6.网络安全漏洞

6.1存在探测计算机弱点的网络软件。一旦一个系统的弱点暴露出来，系统被攻破，入侵者就可以安装软件(称为“嗅探器”软件)，危害网络上的所有系统。然后，入侵者可以安装软件，记录访问被入侵机器的密码。用户通常在多台机器上使用相同或类似的密码;因此，一旦获得一台机器的一个密码，那么多台机器就可能被入侵(参见“人员安全漏洞”)。

7.计算机系统利用

可以利用程序(如UNIX程序sendmail)中的漏洞远程访问目标计算机。许多系统程序都含有漏洞，使入侵者能够欺骗软件，使其行为超出获得未经授权的访问权限的目的，即使该应用程序是计算机操作系统的一部分。

7.2北卡罗来纳州罗利的《罗利新闻与观察家报》上运行的计算机上的错误配置安装说明了系统错误配置的问题。使用UNIX程序“Finger”，可以识别当前登录到计算机系统的用户，我在我控制的计算机系统上创建了一个用户名。我为自己分配的用户名与目标主机上存在的用户名完全匹配。配置错误的系统被设置为“信任”网络上的任何计算机，这使得整个网络开放供未经授权的访问。

8.人员安全漏洞

8.1社会工程——涉及欺骗或劝说他人透露信息或应入侵者的要求采取某些行动。作为一名私家侦探，我的工作在很大程度上依赖于我的社会工程技能。

在我成功地通过社会工程进入摩托罗拉的过程中，我使用了三级社会工程攻击绕过当时使用的信息安全措施。首先，我能够说服摩托罗拉运营部的员工反复向我提供他们安全访问设备上的密码以及静态PIN码。之所以如此不同寻常，是因为他们的接入设备上的密码每60秒就改变一次：每次我想获得未经授权的接入，我都必须打电话给运营中心，询问当时有效的密码。

第二级涉及说服员工在他们的一台机器上为我开通一个账户，第三级涉及说服一个已经有资格进入其中一台电脑的工程师给我他的密码。我克服了工程师的活力不愿提供的密码通过说服他,我是摩托罗拉员工,和我看的形式记录了密码,他用来访问他的个人工作站在摩托罗拉的网络——尽管他从来没有填写任何此类表格!一旦我获得了对那台机器的访问权，我就获得了对目标机器的Telnet访问权，这是我一直在寻求的访问权。

8.2语音邮件和传真

这种攻击依赖于说服一家大公司的员工启用语音信箱:入侵者将呼叫管理目标公司语音信箱的人员并请求一个邮箱。借口是入侵者为不同的部门工作，想要检索信息而不需要长途电话。

一旦入侵者进入语音邮件系统，入侵者会打电话给接待员，将自己作为公司的一名员工，并要求他们为他记录信息；最后但并非最不重要的一点是，入侵者会请求传真号码，并要求保留传入的传真以便接收。这为打电话给公司目标部门奠定了基础。

此时，入侵者将呼叫目标部门发起传真攻击，目的是获取目标公司的机密信息。在那次通话中，入侵者会确认自己是该部门的一名员工，其语音邮件和传真系统刚刚遭到破坏，他会引用语音信箱来证明自己的身份，并且会通过社会工程师将目标员工的信息传真到位于其其他办公室的受损传真号码。

现在，入侵者会打电话给接待员，告诉接待员他正在参加一个商务会议，并要求接待员将机密材料传真到“酒店”。入侵者在第二份传真上收到包含机密信息的传真，该传真无法追溯到入侵者或目标公司。

我用这个漏洞成功地破坏了ATT受保护的网络接入点。ATT已经了解到一个被称为“DataKit”的中央网络接入点的未经授权的入侵已经危及了一个系统。他们在所有DataKits上设置了网络访问密码，以阻止未经授权的访问。我联系了经理的一位秘书，利用传真漏洞说服秘书传真给我密码，使我能够访问控制ATT全球计算机网络拨号访问的DataKit。

9建议

语音邮件和传真漏洞证明了我今天证词中最重要的内容：验证机制是信息安全中的薄弱环节，语音邮件和传真是用于验证寻求物理、网络或计算机系统访问的人提供的凭据真实性的工具。

最有效地将入侵者危害信息安全的能力降至最低的方法是全面的用户培训和教育。仅仅制定政策和程序是不够的。即使有监督，政策和程序也可能无效：我与摩托罗拉、诺基亚、ATT、Sun的接触取决于人们是否愿意绕过在我成功妥协之前已经存在多年的政策和程序。我违反的公司安全措施是由行业中一些最优秀和最聪明的人制定的，其中一些人甚至可能在你起草立法时得到了委员会的咨询，即1993年参议院法案。

S1993是朝着提高政府计算机系统信息安全的目标迈出的良好的第一步。我有几项建议，希望能提高你的法案的效力。

1.每个机构都对他们想要保护的资产进行彻底的风险评估。

2.进行成本效益分析，以确定保护这些系统的价格是否代表实际价值。

3.执行与风险评估和成本效益分析一致的政策、程序、标准和指南。员工培训以识别复杂的社会工程攻击至关重要。

4.在执行政策、程序、标准和指南后，创建一个审计和监督计划，以衡量整个受影响政府机构的合规性。这些审计的频率应根据特定机构的任务确定：数据越有价值，审计过程越频繁。

5.创建一个数字“信任排名”，量化和总结上述审计和监督计划的结果。数字“信任度排名”将提供上述四大类别（物理、网络、计算机系统和人员）特征的概览排名——如果你愿意的话，可以是一张成绩单。

6.有效的审计程序（自上而下实施）必须是适当的奖励和后果系统的一部分，以激励系统管理员、人事经理和政府雇员维护与本委员会目标一致的有效信息安全。

结论

---------------