本文约3500字，您将用10分钟了解巴纳比·杰克的故事

美剧《国土安全》第二季中，身为鹰派的副总统主张采取强硬手段打击恐怖分子，却被恐怖分子悄无声息暗杀。暗杀的手段令人瞠目——恐怖分子入侵了副总统的无线心脏起搏器，伪造了副总统突发心脏病的假象。

有人质疑这一情节的合理性，甚至专门跑去询问内科医生。而医生的回复是：“这种情况在现实世界不可能发生。”

巴纳比·杰克是这部美剧的忠实粉丝。他在这件事情上的看法与医生截然不同。

“在我的专业角度看来，黑掉一个心脏起搏器，并不是很难做到。”

“专业”所言非虚。杰克是一位知名的白帽黑客。在此之前，他最知名的“战绩”是黑掉了ATM，让机器在舞台上喷吐出白花花的美元。

“虽然生活中，对于任何人来说，心脏起搏器受到非法攻击的可能性很小，但我们认为无论这种风险多小，我们都必须予以充分关注和处理。”

“我希望，我们能够用技术，尽可能地规避风险，让我们的生活变得更好。”

1

自动吐钞的ATM

在2008年的一个午后，杰克花了4000美元，购买了两种品牌的ATM机。这种机器通常出现在酒吧或者超市的入口，基本没人会摆在家里。

送货工人理所当然表示诧异。杰克笑着表示这是自己的特殊习惯，“放在家里不用交手续费。”

“手续费”显然是个托辞。拿到ATM的第二天，杰克就把机器拆了。

杰克并不是什么江洋大盗或者中东悍匪，新ATM机里面也没有可以抢的现金。之所以拆除机器，是因为他要研究机器的主板，并找出硬件结构上的漏洞和程序设计中的错误。

“寻找ATM机的漏洞”这一行为，灵感同样来源于影视作品。在电影《终结者2》中，约翰·康纳将一张假信用卡插入ATM，然后在自己的电脑上随便敲打几下，就可以取出大量现金。

杰克总是想到这情节，于是在接下来的两年时间，他反复研究这两台机器，力求复现电影场景。

令人震惊的一幕发生在2010年的拉斯维加斯。在这一年举办的Black Hat上，杰克把两台ATM机搬到了台上。在杰克的操纵下，ATM的屏幕上并没有像往常一样出现操作菜单，而是浮现出一顶黑色的帽子。

紧接着，屏幕上闪烁出一串单词“Jackpot”，意思是“头奖”。随后，全场惊呼此起彼伏，因为ATM的吐钞口开始源源不断飘出一张张绿色的仿制美元，一旁的杰克面色从容。

全场掌声如雷。

事实上，在开始对ATM的入侵前，杰克并不确定自己是否能成功，因为这些ATM机看起来“如同堡垒一般”。

但是随着破解的深入，他发现其中一个品牌存在远端存取的安全漏洞，他可以通过电话数据机识别ATM的号码，再授权自己对机器进行软件更新，从而安装他自己的恶意软件。

而另一个品牌虽然没有明显远程漏洞，却疏于对主机的防护。一把几美元的万能钥匙就可以打开面板，把带有恶意软件的U盘插入主板接口。

无需信用卡，也完全没必要输入密码。这让人想起了影片《惊天魔盗团》中的魔术表演——在众目睽睽下，影片里的魔术师盗走了法国银行中的350万欧元。

杰克拒绝透露更多技术细节。他表示，“我不是为了发明本"烹饪教材书"教会大家怎么不断去攻击。我的目标是让大家增强这种保护的意识。不是让每个孩子都出门，都开始耍弄ATM机。”

事实上，在Black Hat之前，杰克便已经将漏洞告知了相关ATM制造商，制造商也都已采取了相关补救措施。但杰克仍然感觉不寒而栗：

“我们一直认为这些设备足够安全，但它们显然比我们想象的脆弱。”杰克号召大家重视这些漏洞可能导致的巨大悲剧。

“我从没天真到认为我是唯一一个能破解ATM漏洞的人。曾经有美国黑客入侵花旗银行的ATM网络，让花旗银行蒙受至少200万美元的损失，而这仅仅是ATM漏洞所致巨额损失中的九牛一毛而已。”

2

胰岛素和心脏起搏器

1977年，杰克出生于新西兰奥克兰。如同出色黑客的成长模板般，童年的杰克早早展现出对计算机的痴迷。

在2010年的Black Hat上表演那段惊人的“魔法”之前，杰克已经是一位声名鹊起的白帽黑客。在1999年，他在知名杂志《phrack》上发表了两篇文章，分别成为了安全研究和Windows内核漏洞研究的必读篇目。

在才华的另一侧，人品同样熠熠生辉。黑市上曾有人购买杰克入侵ATM的研究成果，开出令人眩晕的价格。但杰克的拒绝非常干脆，同时他积极与厂商沟通，保护了成千上万用户的权益。

黑帽大会后，杰克又发现了一个和民生息息相关的网络安全隐患——心脏起搏器的安全漏洞。

如同我们开篇提到，这警醒来自于一部美剧，但现实情况要比影视作品中更加复杂。在2006年，美国大约有35万个心脏起搏器和12万个IDC在患者体内工作。在临床状态下，这些设备的应用数量还要乘10。

他为此筹备了一次演讲，在对演讲的介绍中，他提到一旦这其中存在安全隐患，有无数生命都会处于危险之中。

医疗方面的安全隐患并非孤例。2000年，22岁的杰伊·拉德克里夫确诊糖尿病并开始胰岛素注射。他使用的是一款胰岛素注射泵，具有最新的无线功能，医生可以随时根据患者状况调整注射剂量。

然而在10年后，时任McAfee研究员的拉德克里夫处于职业习惯，对注射泵的安全性进行了测试。令他没想到的是，仅仅修改了程序中的一个序列号，胰岛素泵便被成功远程控制，他可以随时调节注射剂量和关闭胰岛素泵。

在第二年的黑帽大会现场，拉德克里夫通过无线设备和自己的笔记本电脑成功遥控了46米外的一台胰岛素自动注射泵。如果有患者正佩戴这台注射泵，遥控者便可以通过大剂量注射令患者昏迷乃至死亡。

杰克同样复现了这一漏洞。他的操作方式更加惊悚：只需在电脑上轻轻一点，半径91米内的所有胰岛素泵就会一次性将所有胰岛素注射给病人。他甚至无需设备识别码，只要距离足够即可。

这也是为什么杰克坚定地认为《国土安全》里的剧情“非常真实”，他表示影视和现实唯一的区别是“他们还需要获得设备序列号，而我的演示什么都不需要。”

2013年的一次会议中，杰克通过一段视频，展示在距离目标50英尺的范围内侵入心脏起搏器，并让起搏器释放出足以致人死亡的830V电压。

大多数的设备都通过无线接收装置控制，而这些无线协议中存在大量漏洞，这便是黑客的可乘之机。杰克表示，为了让医生能够快速操控，大多数时候，这些设备认证只需要简单的用户名和密码。

研究随之深入。杰克发现，可以使用特定的命令获取起搏器的序列号，以便于为其重新编程。事实上，更危险的情况是黑客写出可以在同一品牌起搏器中传播的病毒，危害使用这一品牌所有用户的生命安全。

在2013年8月的黑帽大会上，杰克本计划复现《国土安全》中杀手千里外通过心脏起搏器杀人于无形的剧情。为此，他专门为自己的演讲写了一段介绍。

“这次演讲，将关注于无线植入医疗设备的安全性。我将讨论这些设备的操作和通讯原理，以及通讯协议上的安全漏洞。我们的研究，将揭示如何通过一个普通的数据收发机,来搜索和入侵附近的医疗装置。”

“我也将讨论如何改进这些设计，以增强它们的安全性。”

但这一切却化为包裹着悲剧的泡影——在大会前的一个星期，杰克猝死于美国旧金山的家中。

这一切显得灰暗极了。就在去世前几个小时，杰克还打算和女友出去吃晚餐。这顿晚餐和黑帽大会中杰克对心脏起搏器的漏洞演示一样，成为了这位出色白帽黑客留在世间的最终回响。

杰克去世消息传出，悼念之人络绎不绝。

黑帽大会发表声明，“杰克的生活和工作充满了传奇色彩，他有能力让复杂的技术和抽象的研究变得简单形象，有助于每个人学习和成长。”

无数黑客组织成员也纷纷表示自己的哀思。IOActive说“他是一名黑客大师，也是我们亲密的友人。他在网络安全性上留下了大量遗产，人们应该进行学习并反思。”

人们确实越来越重视这一方面。几年后，美国国土安全部便对心脏除颤器、起搏器的使用提出了安全预警。近几年，医疗行业的设备安全性更是成为了重中之重。这里面，很难说没有杰克这类人的功劳。

正如一位曾与杰克共事的黑客所说：

“最了不起的不是他发现了多少漏洞，而是他唤醒了我们在不同行业对网络安全的重视。我将永远铭记，并始终怀念他。”

参考资料，图片来源：

1.维基百科，巴纳比·杰克词条；

2.http://www.360doc.com/content/12/1224/16/200041_256044007.shtml；

3.https://www.huxiu.com/article/266880.html；

4.https://www.aqniu.com/news-views/19390.html；

5.https://www.zhihu.com/search?type=content&q=%E9%80%9D%E8%80%85%E9%BB%91%E5%AE%A2；

6.https://tech.qq.com/a/20140106/000365.htm；

7.https://cul.qq.com/a/20130808/010167.htm。

●神奇小子乔治·霍兹：黑客界的橡胶果实能力者

●约翰·麦卡锡：窥见未来世界一角

●乔纳森·詹姆斯：天才黑客，误解中陨落