The Good Hacker: Hacking Businesses before Criminals Do
28:33 Share

头条新闻告诉我们，网络攻击是对商业数据——以及我们自身数据——的一大持续威胁。在本期IBM智慧对话中，马尔科姆·格拉德威尔与“谨慎故事”节目主持人蒂姆·哈福德以及IBM X-Force首席人才黑客斯蒂芬妮“雪”·卡鲁瑟斯讨论了这一话题。“雪”和她的团队正在寻找创造性的解决方案来测试客户的安全性，包括在犯罪黑客之前入侵他们的系统。这是IBM的付费广告。请访问omnystudio.com/listener了解隐私信息。</context> <raw_text>0 哈喽，哈喽。欢迎收听IBM智慧对话，这是普希金工业、iHeartRadio和IBM联合推出的播客节目。我是马尔科姆·格拉德威尔。在本季节目中，我们将与新兴创造者、开发者、数据科学家、首席技术官和其他有远见的领导者们对话，他们正以富有创造性的方式将技术和商业应用于推动变革。他们运用自身的知识和专业技能，正在开发出更具创造性和有效性的解决方案，无论行业如何。

我们今天的嘉宾是斯蒂芬妮·斯诺·克罗瑟斯。“雪”是一个黑客化名，在本期节目剩余部分，我们将以此称呼斯蒂芬妮。“雪”是IBM X-Force的首席人才黑客。她受雇于在犯罪黑客之前入侵客户的企业，以测试客户的信息安全。在今天的节目中，你将听到“雪”运用的一些更具创造性的方法，来说服人们分享机密信息。

她还谈到了网络安全现状以及企业需要采取哪些措施来保护其数据。“雪”与经济记者蒂姆·哈福德进行了交谈，蒂姆是普希金播客“谨慎故事”的节目主持人，也是《金融时报》的长期专栏作家，在那里他撰写“卧底经济学家”专栏。

除了出版了几本关于这个主题的书籍外，蒂姆还是BBC广播公司节目的主持人，主持节目“或多或少”。好的，现在让我们开始与蒂姆和首席人才黑客“雪”的访谈吧。在你告诉我什么是首席人才黑客之前，对你来说，黑客是什么？我认为，如果你让普通人闭上眼睛想象一个黑客，他们会想到……

一个穿着黑色帽衫坐在黑暗房间里，身后全是绿色文本的人，对吧？但对我来说，黑客甚至不必是技术人员。黑客是那些能找到创造性在线解决方案的人。

或者只是找到不同的方法来分解某些东西，以一种它原本不打算的方式让它以独特的方式工作。无论是电脑、人还是设备，都可能有很多东西，对吧？我们看到食品黑客，我们看到生活黑客，这绝对是一种黑客类型。

是的。我想我母亲在去世前会把自己描述成一个黑客。她喜欢拆卸电脑。她喜欢拆卸软件。她只想了解一切是如何运作的。当她再次把它组装起来时，它有时会按照她想要的方式工作，而不是它最初的设计方式。但你最初是如何对这种奇怪的黑客技艺产生兴趣的呢？我实际上是在人生比较晚的时候才参与其中并意识到自己想做这件事的。

我二十多岁的时候去了拉斯维加斯每年举办的世界最大规模的黑客大会

和一群朋友以及我的丈夫一起去了，说实话，我根本没兴趣。我想去拉斯维加斯在泳池边喝饮料。但他们给了我一张参加这个非常酷的会议的通行证，我们参加了第一次演讲，内容非常技术性。他们一步一步地讲解了如何反转恶意软件，我睡着了。

我完全昏过去了。我听不懂。所以我起身开始在这个巨大的会议上四处走动，我找到了一个叫做开锁村的地方。我对此感到非常困惑。比如，为什么人们想开锁？

我的意思是，这个问题有一个显而易见的答案，但是，好吧。那是非常正确的。所以在我的生命中的那个时刻，它根本没有点击。所以我走进去，有人说，“嘿，你想学习如何开锁吗？”我说，“当然。”所以他们让我坐下，教我一切。

当有人第一次开锁时，会发生一些神奇的事情。就像你可以在他们的脸上看到，就像，“哇，这真的很酷而且很容易。”然后，“哦，该死，我刚刚开了一把锁。”

他们会想象他们生活中所有受锁保护的东西，对吧？文件柜、他们的门、保护他们孩子的东西，就像所有这些你用锁来保护的东西，你几秒钟就打开了它。所以对我来说，这是最令人大开眼界的时刻，它真正把我带入了这个职业，并让我认为我可以以此为生。

好吧，这感觉像是从那之后，或者至少是一个很大的差距，也许不是一个很长的差距，从那最初的火花，“哇，我可以开锁，这很重要”，到意识到在这个领域有一个职业，而且我可能真的擅长这个职业。那么，你是如何发现有一个黑客的工作，以及你是如何发现你实际上可能擅长做这份工作的呢？

所以，一旦我参加了那个会议，我就认识了很多不同的人，他们解释了他们的工作。再说一次，在我生命中的那个时刻，这感觉是不可能的，对吧？人们花钱入侵客户的网络和他们的电脑以及所有这些东西。而且它仍然，它加起来不对。但对我来说真正突出的是在同一个DEF CON会议上的另一个村庄，叫做社会工程村。

当我走进去的时候，他们实际上正在给人们拨打实时电话，试图诱导他们提供信息。所以我坐在观众席上，听着这些人是如何做到的。我想，“哇”。

哇，就像我是一个善于与人相处的人。我做过销售。我绝对可以做到这一点。所以从那时起，我和我刚认识的一些人交谈，我的目标只是在那个时候认识人并提出问题，找到了我能找到的关于这个主题的所有书籍，回家练习并自学，实际上连续三年参加了同一场比赛。我在第三年获胜，这意义重大。但这

真的让我能够进入这个职业，一家公司实际上看到我打这些电话，并问我，“嘿，你想要一份工作吗？”那是我的第一份工作。非常令人兴奋。三年时间，“雪”从业余黑客爱好者变成了专业黑客。公司开始付给她真金白银来测试他们的信息安全。但请记住，“雪”的工作不仅仅局限于电子邮件服务器和数据网络。她是一个人才黑客。

她不是试图绕过防火墙或破解密码，而是使用所谓的社会工程学来诱骗用户让她进入她不属于的系统。

在她关于所谓的红队的工作中，“雪”解释了技术和人为因素是如何结合在一起的。所以红队是一组进攻性安全人员或黑客。所以在IBM的X-Force团队中，我们有一个专门负责我们所谓的对手模拟的团队，但我们的红队。它的运作方式是客户进来并说，

这些是我们的核心资产。我们想确保你无法访问它们。我们花了几个月的时间试图访问它们。在此过程中，我们与客户举行了大量的会议，并向他们提供状态更新以及我们的进展情况。但这需要很长时间才能访问客户拥有的最敏感的东西。那么他们是如何向你简要介绍情况的呢？我的意思是，他们是如何向你简要介绍情况，而不泄露他们试图不泄露的信息的呢？如果这说得通的话。是的，所以他们尽可能保持高层次。他们可能会说，例如，让我们使用IP，对吧？他们有这个，他们的秘密武器，如果他们的竞争对手或其他人得到它，他们几乎可以复制他们的业务。所以这些信息是，

可能存在于一些非常安全的文档中，希望只有有限的人可以访问。是的。所以某种软饮料的秘密配方，例如，不提及任何特定的品牌名称。是的，完全正确。

所以他们可能会说，好吧，我们有这个秘密配方，我们想看看你能不能得到它。他们不会告诉我们它存储在哪里或任何其他信息，但他们只会说去做。他们可能有一些禁止事项，但总的来说，我们能否通过任何可能的方式获得它？所以使用了大量的社会工程学，无论是电话还是电子邮件，有时是在现场。

以及大量的技术黑客行为，对吧？如果我们进入一个人的电脑，我们能否进入另一个人的电脑？然后我们能否进入服务器？这需要大量的四处移动和挖掘。但最终，我们在这些类型的任务中非常成功。你提到了某些事情是被禁止的。据推测，黑客，坏黑客并不关心哪些是被禁止的，哪些不是。

那么，客户会说些什么，比如，“不，你不允许这样做。这是作弊。”是的。所以我们会看到很多次的情况是，不要招惹我们的高管。比如不要给我们的首席执行官发电子邮件，这同样，坏人是没有限制的，他们绝对会继续这样做。但我们不得不尊重这些，不幸的是。但我们偶尔会遇到很多事情。或者他们可能还有另一个系统，我不知道，运行……

一些敏感的东西，对吧？也许这是一家医疗设备公司。他们说，“好吧，不要访问这个系统，因为，你知道，人们的生命可能危在旦夕。”所以我们甚至不会触碰这些类型的系统。最终，这实际上取决于他们不希望我们访问什么。好吧，你是一个人才黑客，所以你是在和人打交道。所以，

所以，我的意思是，那是什么样的？我的意思是，是不是真的打电话给人们，说服他们给你密码？还是现在比这复杂一些？所以我将社会工程分为两种方式。你可以远程或现场操作。当你查看远程操作时，你会看到一些不同的东西。所以第一个是我们所说的OSINT，它代表开放源情报。这实际上并不是积极地攻击一个人，而是在观察人们。

他们的在线账户？他们是否泄露了他们不应该泄露的信息，攻击者可以利用这些信息？这是一种评估类型。我们有网络钓鱼或语音钓鱼。所以这是拨打这些电话以获取信息，或者可能让他们通过电话执行任务。然后是网络钓鱼，这是迄今为止最常见的社会工程评估类型。这是带有链接或附件甚至对话的恶意电子邮件。然后我们进入现场操作，

这是我最喜欢的。它最具体，但它实际上是闯入。所以这是试图进入客户的敏感位置和敏感数据。所以这两种是社会工程的类型。那么给我一些建议吧。如果你试图找到一个弱点，如果你试图说服某人做一些他们不应该做的事情，你都在做些什么？

所以让我们以物理部分为例，比如尾随，对吧？这听起来如此简单和明显，但这是我们闯入建筑物的首要方式。只是跟着一个刷卡进入、解锁门、拥有该访问权限的人。我们只是跟着他们。人们一直接受培训。不要让任何人跟着你。检查你身后的徽章。确保人们刷卡进入。所有这些策略。但是当事情真正发生时，

人们有点害怕问，看徽章或质疑他们。这是粗鲁的。你应该为某人开门。是的。这是人的天性，想要帮助别人。所以这与人们习惯做的所有事情背道而驰。所以这是我们进入建筑物的首要方式。现在，我知道在你进入这个游戏之前，你是一个独立电影的化妆师。两者之间有什么联系吗……

这似乎有点牵强，但化妆师和人才黑客之间有什么联系吗？是的，你会认为这些事情绝对不会联系在一起。然而，我很幸运，当我进行物理安全评估时，我能够利用一些化妆艺术和特效。所以也许我们在第一天就被抓住了，或者有人怀疑。所以我们不想回去暴露我们的身份。所以当我们第二天回去的时候，我们会尽可能地改变我们的外表。所以绝对是我一直利用的东西，而且也很有趣。它只是为工作增添了一点乐趣。这听起来比我预期的网络安全工作更有创造性。哦，绝对的。当你想到网络安全时，你只会想到一个人整天坐在电脑前打字。那根本不是我的工作。我每天在工作中可以利用创造力，这真是太神奇了。你能举个例子吗？

所以，如果你准备好听一个闯入的故事，我实际上有一个故事。这是那些绝对出错的故事之一。我们的客户总部设在美国，他们刚刚开设了欧洲分公司，也就是他们在阿姆斯特丹的总部。所以他们想让我们测试大楼的物理安全，看看它是否能保护他们的人员和数据。

所以其中一些目标是看看我们能否越过所有我们不应该访问的刷卡区域，看看我们是否看到任何不正常的地方，或者可能是危险信号，或者他们应该修复的东西。

所以，我们总是从我们的OSINT，我们的开放源情报开始，我们在网上调查这个地点，我们查看谷歌地图，尽可能多地查看。然而，这座建筑如此新，以至于它们甚至还没有出现在谷歌地图上，所以我们很难找到所有这些信息。我们决定我们必须亲自去现场看看我们能做什么。

所以我走，我走进大楼，走进大厅。我刚走进去，这位女士就几乎把我赶了出去。我甚至没有张嘴解释我为什么在那里。一开始就说，出去。所以对于进行这种评估来说，这……

太糟糕了。这位客户花了这么多钱让我去那里测试他们的物理安全。而我却在最初的五分钟内就被赶了出去。那太糟糕了。尽管这听起来他们的物理安全还不错。是的。是的。不，他们的接待员很尽职。所以我回到了我的酒店房间，像是在撞墙一样。我该怎么进去？我找不到网上的信息。他们在我尝试之前就把我赶了出去。就像我只是想进去看看它是什么样子，因为我不知道我走进的是什么。所以我又回到了网上，就像，“好吧，我必须，我必须弄清楚这一点。”最后，不知从哪里冒出来，它突然出现在我的脑海里。好吧，它必须是某个不是本地人的人，因为我不是来自阿姆斯特丹。我必须利用某种权威地位，某种我应该在那里存在的理由。

所以我想到投资者关系。我要假装自己是来自美国的一位投资者关系经理，我要去他们的新地点与一些潜在投资者会面。所以我给接待员打了电话。我伪造了我的号码。所以我让它看起来像是我从美国办事处打来的电话，

并稍微改变了一下我的声音，说我们明天会有人来现场。请给他们他们需要的一切。他们将与所有这些潜在的高端客户会面。所以只要确保他们感到舒适即可。第二天我走进去，我又不得不改变一下我的外表，因为她看到了我，但她并没有在意。她欢迎我。她给我倒了咖啡。她把我送到他们在大门上写着我名字的办公室，说，“我们能帮上什么忙吗？”

所以从那时起，我能够完成我的目标，但令人惊奇的是，你必须利用多少创造力，甚至有时还要现场即兴发挥，才能真正完成这些目标。是的，“即兴发挥”这个词是我听到这个故事后想到的。我想一定有一些策略手册，有很多事情你会尝试，

然后如果你策略手册不起作用，你就必须即兴发挥。这个策略手册总是在变化吗？这是一场持续的军备竞赛吗？

持续不断。它也取决于我的目标是谁，对吧？我会改变我提问的方式，我设置事情的方式，完全取决于我是在和年轻人、老年人还是男性或女性交谈。有很多事情绝对会适应我最终与之交谈的人，因为

人们是不同的。我想确保我与之交谈的每个人都感到舒适，并且我可以让他们信任我。这是一种合作的过程吗，这种道德黑客行为，还是非常孤独的狼？

这两种都有。这取决于评估的类型。有很多变量。我更喜欢团队，对吧？与尽可能多的人一起工作，因为我可能从我的角度看待问题。但是如果我有另外两三个具有完全不同背景和经验的人，他们会从另一个角度考虑这个问题。所以我们合作得越多，通常我们也越成功。

我很想知道“雪”一天的生活。在一个完全典型的一天里，你都在做什么？

所以这就是我喜欢我的工作的原因，我没有典型的一天。有一天我可能会在曼哈顿醒来，闯入大楼。第二天我可能在我的家庭办公室写报告。就像到处都是。这就是让它如此令人兴奋的原因，它不是单调的。它在不断变化。我喜欢这样。就像，“是的，有一天我在写报告。另一天我正在闯入曼哈顿的一座大楼。”太完美了。是的。

我看到的一种描述是，你就像一个秘密购物者，只不过你不是一个餐厅或连锁店的秘密购物者，而是一个闯入并窃取密码的秘密购物者。这是准确的吗？我会说这是准确的。如果人们雇用你来探测他们的安全并找出弱点，你有没有回来说过，“不，它很完美。我什么也没得到。进不去。”

所以我闯入了超过130座独特的建筑物。我只有一座建筑物我没有能够闯入。那是因为这是一家位于偏远地区的规模较小的公司，那里每个人都彼此认识。这并不是因为……

他们一定有所有这些，你知道的，他们已经实施了昂贵的安全控制措施。只是，我像个眼中钉一样突出，无论我说些什么，他们都知道我不应该在那里。但这有点可怕。我闯入的一些非常大型的组织，位于这些著名的摩天大楼中，他们已经投资了数十万，如果不是数百万美元到他们的物理安全中，但我能够进去，对吧？如果你考虑一下，这有点可怕。

无论是实体黑客行为还是使用更高级的技术，其根本原理都是相同的，即利用欺骗来获得你想要的东西。

为了结束他们的谈话，蒂姆和“雪”谈到了全球网络安全行业的现状，骗局的艺术走向何方，以及公司为应对这些情况做好了多少准备。现在让我们稍微回顾一下，看看全球黑客行业，如果这是一个说法的话，或者全球安全行业的现状。在过去几年中，安全和网络安全发生了哪些变化？新的趋势是什么？蒂姆“雪”

那么发生了什么变化呢？我会说我们生活中更多的东西都在线上了。这有点可怕。从你的物联网灯泡到你的烤箱到……物联网是指物联网，对吧？基本上现在每样东西都有一个网址。没错。所以现在有更多这样的东西。它只是包围着我们。我们的生活现在都在线上了。

而且由于这么多东西都在线，所以我们必须保护更多东西，或者不幸的是，我们必须担心更多东西。所以这显然提高了赌注。我希望也会有更多的意识。人们不再轻易上当受骗了。你认为公司是否足够重视安全？在高管层面，这是否具有足够高的优先级？

我希望我能说“是”。然而，情况各不相同。我与一些客户合作过，他们倾尽所有来阻止攻击者并保护他们的环境。我过去见过一些客户，他们只想打个勾，证明他们进行了评估，然后他们想继续做其他事情。所以不幸的是，真正拥有这种安全思维的人的类型范围相当大。我总是在新闻中阅读

关于漏洞和这些安全漏洞的新闻。有时它们听起来非常耸人听闻。有时它们听起来令人难以置信地平淡无奇。就像，“哦，是的，有人只是将所有密码以纯文本形式放在网上。哎呀。”我的意思是，坏人是否有标准程序？是否有90%的漏洞是这样发生的？

现在不是这样了，仅仅是因为他们有很多不同的进入方式。我的意思是，他们中的大多数都是出于经济动机。所以最终，一旦他们进入，他们就会看看他们是否能以某种方式赚钱，无论是勒索软件还是寻找高端高管的凭据。这取决于他们的最终目标，但真正重要的是他们是如何进入的……

这很棘手。同样，社会工程学是进入的首要方式之一，通常是通过网络钓鱼，发送某种恶意有效负载。如果他们的目标确实打开了它，这就会让他们进入他们的环境，然后他们从那里开始转向，看看他们可以访问什么。当安全受到破坏时，成本是多少？

IBM在2021年发布了一份报告，平均数据泄露的成本超过400万美元，这令人难以置信。这让你不禁想知道，当他们想到这个数字有多大时，为什么他们不更重视他们的安全和安全意识培训以及更新他们的机器等等。为什么这么大？

原因有很多。根据他们所在的行业，他们可能需要支付罚款。他们必须为受影响者的信用监控、法律费用等支付费用。当一家公司真正遭到入侵时，有很多事情需要处理。

我可以做一些事情来尝试阻止它们。首先是雇用像我这样的人来测试他们的环境，看看哪些漏洞，以便他们可以修补它们。为他们的内部团队进行持续的培训，以确保他们是最新的，他们知道如何阻止这些类型的攻击。真正关心安全总的来说会有很长的路要走。

现在，我的意思是，在某些方面，你所描述的是变化多端，有很多创造力，很多即兴发挥，很多变化。在其他方面，这似乎很简单。你试图闯入某些地方。那么最先进的技术是什么？你如何推进人才黑客技术的最先进水平？

不幸的是，社会工程学有点停滞不前。我的意思是，如果你回顾过去……这不幸吗？这感觉可能是个好消息。对我来说，这很不幸。好吧，明白了。好吧，我从攻击者的角度来看，所以这是非常正确的。但是如果你回到中世纪，那时人们也在进行诈骗。

从20世纪初开始就有大量的诈骗。而且我们仍然在采用其中一些诈骗，只是将其改编到今天的数字世界中，在那里有所改进。但总的来说，社会工程学并没有什么变化。所以这实际上是我去年特别重视的事情，尤其是在我的团队中，那就是一旦我们进入并完成评估，我们就将最后20%的时间花在

尝试一些新的东西，尝试一些新奇的东西。这种技术有效吗？也许是走进一栋建筑物，说，“我不应该在这里。”有人会阻止我们吗？对。任何类似的事情。我们实际上能逃脱什么？这就是我乐于做的事情，并推动我的团队去看看我们能学到什么以及界限在哪里。

你能举一个中世纪诈骗的例子吗？我很好奇。是的。好的。所以在中世纪，有，你听说过“口袋里的猪”这个词吗？是的，我听说过这个词。我一直想知道它从哪里来的。

是的。所以“口袋里的猪”来自当时的供应商或在街上工作并销售各种商品和食物的人。他们会把一只乳猪放在他们所谓的口袋里，也就是一个麻布袋子里，然后缝起来。这就是他们要卖的东西。人们会买下它，然后把它当晚餐吃。

然而，当时并不缺乏小狗和小猫。所以一些有创意的人会把这些动物放在袋子里，缝起来，赚很多钱，然后搬到下一个城市，继续这个骗局。所以同样，骗局已经存在了很长时间。

我想事实上骗局本身并没有太大变化。在某种程度上，这似乎让生活变得容易，对吧？没有什么变化。但另一方面，这只是表明我们一次又一次地拥有相同的弱点，而人们几个世纪以来一直在利用它们。没错。如果它没有坏，为什么要修呢？是的。或者如果它以某种方式坏了，这将使你……

能够利用它。非常喜欢这次谈话。非常感谢，再见。绝对的。非常感谢你邀请我。“雪”提到了一些很难忘记的事情。她试图闯入超过130座独特的建筑物。在这些建筑物中，她只有一座建筑物没有能够闯入。这太不可思议了。

头条新闻告诉我们，网络攻击是对企业数据——以及我们自身数据——的一大持续威胁。在本期IBM智慧对话中，马尔科姆·格拉德威尔与谨慎故事节目的主持人蒂姆·哈福德以及IBM X-Force首席人才黑客斯蒂芬妮“雪”·卡鲁瑟斯讨论了这一话题。“雪”和她的团队正在寻找创造性的解决方案来测试客户的安全性，包括在犯罪黑客之前入侵他们的系统。这是IBM的付费广告。请访问omnystudio.com/listener了解隐私信息。</context> <raw_text>0 “雪”教会我们的经验是，我们必须以更全面的方式看待信息安全。它必须包括网络和计算机，也包括员工和办公楼。当然，没有任何防御是完美的。这就是为什么对公司来说，拥有像“雪”这样的人在他们身边非常重要的原因。因为在一个企业注定会被黑客入侵的世界里，真正的问题是，是否有优秀的、为你服务的黑客？

在下一期IBM智慧对话中，我们将讨论五月花自主航行船，以及IBM的人工智能如何为世界上第一艘自主航行船提供动力。我们将与布雷特·瓦诺夫和唐·斯科特讨论他们如何使用IBM技术来彻底改变海洋学。IBM智慧对话由莫莉·索查、大卫·贾、罗伊斯顿·普雷泽夫和伊迪丝·鲁西洛与雅各布·戈德斯坦共同制作。

我们的编辑是珍·格拉。我们的工程师是杰森·甘布雷尔、莎拉·布鲁格尔和本·托利迪。主题曲由格拉马斯科普创作。特别感谢卡莉·米利奥雷、安迪·凯利、凯西·卡拉汉以及8 Bar和IBM团队，以及普希金营销团队。

IBM智慧对话是由普希金工业和iHeartMedia制作的。要查找更多普希金播客，请在iHeartRadio应用程序、Apple Podcasts或您收听播客的任何地方收听。我是马尔科姆·格拉德威尔。这是IBM的付费广告。