第35章

    第35章 (第2/3页)

曾经的入侵搭档，后来成了抓我的联邦密探），和我一样对新的DEC产品充满了兴趣，他怂恿我和他一起去研讨会。

      现金悬赏

      我们到了那里发现已经有一大群人围着LOCK-II的展台了，似乎开发者设下了现金悬赏，打赌没人能入侵他们的产品，这对我而言实在是难以拒绝的挑战。

      我们把头伸直了往LOCK-II展台里面看，发现有三个此产品的开发者正在操作它，我认识他们，他们也认识我——我那时已经是小有名气的电话盗打者和黑客了，洛杉矶时报报导了我初次尝试社会工程学欺骗的故事，半夜闯进太平洋电话中心，在警卫的鼻子底下拿走电脑手册。（洛杉矶时报为了让报导更有吸引力而公布了我的名字：因为我还是青少年，所以这违反了隐匿未成年人姓名的法律规定。）

      当我和文尼走进去的时候，气氛变得微妙起来，因为他们通过报纸了解到我是个黑客，看到我的出现有些震惊，而我们则是看到他们每个人所在的展台上各贴着100美金的悬赏，只要侵入他们的系统就能获得整整300美金——对于两个青少年而言这是一笔巨额财富，我们都等不及要开始了。

      LOCK-II被设计为具有双层安全验证，用户必须要有一个合法的ID和密码，在特殊情况下此ID和密码只能从被授权的终端登陆（这称为终端基础安全）。要入侵这个系统，黑客不仅要知道一个账户ID和密码，还需要从合法的终端登陆。这是个很好的安全规则，LOCK-II的发明者深信它能抵挡入侵，我们决定给他们上一课，然后将三百美元收入囊中。

      我认识的一个人（RSTS/E的头头）已经在展台打击我们了，几年前他和其他一些家伙向我发出过入侵DEC内部计算机的挑战——在他的搭档让我进去之后，多年以后他成了受人尊敬的程序员，他在我们到达之前就已经尝试过攻击LOCK-II的安全程序了，但没有成功，这让开发者对他们的产品安全更有信心了。

      术语

      终端基础安全：基于特定的计算机终端作为安全验证：这一做法在IBM大型计算机中非常流行。

      比赛很简单：入侵，赢得美金，一场公开的惊人表演……除非有人能打败他们并拿走钱。他们非常相信他们的产品，甚至还在展台上勇敢地公布了系统中的一些账户名称和相应的密码，不只是普通账户，还包括所有的特权账户。

      这其实没有听上去的那么勇敢：我知道，在这种设置类型中，每台终端都插在计算机自身的一个端口上，不难断定他们已经设置了这五台终端只能从非系统管理员权限登陆。看来似乎只有两条路：要么完全突破安全程序（这正是LOCK-II被设计来防范的），要么用开发者难以想象的某种方法绕路而行。

      接受挑战

      文尼和我一边走一边讨论，然后我说出了我的计划……我们在四周徘徊着，隔着一段距离注意着展台。午餐时间，当人群稀疏的时候，那三个开发者会利用这一

    （本章未完，请点击下一页继续阅读）