巴纳拜·杰克 这个黑客不太黑

白帽黑客

多数白帽子黑客所从事的工作就像安全员，他们被聘请攻击客户的系统，以便测试系统能够承受入侵的程度，修补安全漏洞。

盗亦有道的罗宾汉

“副总统沃尔登在安保严密的美国海军天文台突发心脏病死亡。这是一起谋杀，恐怖分子在获得了其心脏起搏器的编号后，千里之外对起搏器进行控制，令其发出强烈脉冲电流，造成心脏病发的假象。”

这是热播美剧《国土安全》的情节。“这一情节距离现实并不遥远”，传奇黑客巴纳拜杰克在博客中写道，他准备在今年的黑帽子大会上“再现”这一情节，在30英尺外用电脑杀人于无形。3年前的大会上，他展示了ATM（自动取款机）自动吐出钞票，首次让人们感受到这一可怕的安全漏洞。

但这一次，杰克没有机会向人们警示心脏起搏器的安全漏洞了，他于7月25日被发现死于公寓内，死因未明。他去世的消息传出后，朋友们痛惜道：杰克的去世，犹如安全领域被凿开一个大洞。

作为在网络安全领域享有盛名的白帽黑客，巴纳拜杰克洞悉安全漏洞，但从未借此谋取不义之财。他最为公众熟知的就是仅用一根电话解调线，无需银行卡和密码，就令两台ATM吐出所有现金。

这段录像迄今仍是视频网站上的热门，杰克因此一举成名，跻身传奇黑客之列。但其实很少有人知道，杰克本可更早迎来“成名时刻”，他推迟了一年，只因他是盗亦有道的“白客”。

只是提醒厂家有漏洞

2008年，杰克花了4000美元，在网上订购了两台自动取款机，让厂商送到家中。

杰克对ATM的安全性能产生兴趣。“我注意到，ATM只注重物理安全性能，例如是否固定不易搬动，是否装中央监控。但没人注意软件问题，那些软件的缺陷，多得让我震惊。”

2009年，杰克找到了远程访问ATM的方法，不仅可以令ATM自动吐钱，他还可以绕过所有身份认证，进入到这些账户中获取密码。当他把这样的报告交到两家ATM生产商手中时，厂家十分不悦。

亨利施瓦茨是其中一家厂商的网络安全负责人。“看到自己的产品被人挑出毛病，心里总是不好受的。我和同事决定去见见他，当时我们恨不得把刀插进他的心脏。但杰克非常和善，告诉了我们所有的技术细节。”

施瓦茨请求杰克不要在当年的黑帽子大会上演示，给他们些时间，找出修复漏洞的方法。

杰克放弃了这个令他成名的机会，取消演示，为此还遭到不少责骂。施瓦茨说，“现在，我们不仅修复了漏洞，ATM安全性能比之前要强1000倍。”

对于暂时放弃演示，他认为，“黑客大会的目的绝不是为打算抢劫ATM的人提供方法，我是在确保厂商已修补漏洞后，才做这场演示的。”

揭短让他成为厂商眼中钉

去世前，杰克负责研究嵌入式医疗设备的安全措施。嵌入式设备是先进的计算机、半导体等技术相结合的产物，仅在美国，就有逾300万名心脏起搏器使用者。

但嵌入式设备也隐藏着看不见的风险，杰克生前曾指出，这个设备的系统同样可以被入侵，普通的电脑遭遇攻击，可能损失的只是个人信息或者财产，一旦这些医疗装置遭遇到攻击，它们立刻就变身为夺命杀手。

他原计划在今年的黑帽子大会上演示这一安全漏洞，他打算扫描30英尺内的心脏起搏器，覆盖其运行的软件，并向其发送高电压，致使短路。

早在2012年，他已经做到了用十几米外的笔记本电脑，让心脏起搏器放出高达830伏的电压，瞬间置人于死地。杰克说，心脏起搏器有无线接收装置，这些装置存在致命漏洞。

出于保护生产商的目的，他没有公开发表这段视频，并且将漏洞告知了多家厂商，并希望这些厂商及时改善。“我们研究并不是要打击人们对救命仪器的信心，我们不让技术细节外泄，以防有人在现实中实施攻击。虽然这些仪器受到非法攻击的可能性很小，但无论多小，都必须予以充分关注。”

2011年时，杰克还发现了胰岛素泵的漏洞——黑客在百米外可操控胰岛素泵令其释放出足够致命的胰岛素，这项发现迫使生产商们审视并改进产品。

杰克的工作也得到美国政府认可，在他的研究成果上，美国政府问责办公室在去年8月敦促有关机构改善医疗器械方面的信息安全。但医疗设备生产商却不欢迎杰克的研究，“没有人愿意被揭短。”网络安全专家卡明斯基认为，杰克的工作迫使这些厂商不得不投入更多资金提高安全性能。

这也就是为什么有些媒体和黑客怀疑杰克是被谋杀的，即便警方已经排除这种可能性。