Kevin Mitnick 與 Shawn Nunley：社會工程學與和解的傳承

Kevin Mitnick 給 Shawn Nunley 的最後一份禮物

影響力巨大的駭客轉型安全顧問 Kevin Mitnick，留給了他的朋友 Shawn Nunley 一份足以購買 Porsche 911 Carrera 4 GTS 的禮物。這一舉動標誌著一段長達數十年的關係的終點，這段關係始於 Nunley 提供的主要證據，曾被用來將 Mitnick 送入監獄。

1990 年代的 Novell 入侵與捕獲

在 1990 年代，Kevin Mitnick 以 Novell 為目標，這是一家生產包括 NetWare 在內的企業軟體的公司。當時在 Novell 擔任網路管理員的 Shawn Nunley 偵測到了一種持續性的威脅，其特徵是「war dialing」（電話在整棟建築內依序響起）。

Mitnick 試圖透過冒充一名叫做 Gabe Nault 的員工來獲得 Novell 網路的直接入站撥號存取權。Mitnick 聲稱自己正在進行一個名為 "Snowbird" 的最高機密專案，並要求在 Vail 度假期間進行緊急代碼變更——這一細節與 Nault 的實際語音信箱問候語相符。Nunley 對此請求感到懷疑，於是配合演戲並要求 Mitnick 留下語音信箱。這段錄音成為了司法部用來確保 Mitnick 因 14 項重罪電信詐欺罪名被定罪的主要證據。

從對手轉變為朋友

在經歷了五年的審判延遲後，Nunley 因對法律程序感到疲倦而停止與司法部合作。在 Mitnick 接受了認罪協議並獲釋後，他聯繫了 Nunley 並表示道歉。兩人隨後建立了深厚的友誼，並持續了二十五年，直到 Mitnick 於 2023 年因胰臟癌去世。

傳承與專業影響力

Kevin Mitnick 的職業生涯橫跨了對網路安全產業具有影響力的幾個不同階段：

• 早期漏洞利用： Mitnick 早在 1979 年就因存取一家軟體公司的伺服器以複製即將發布的操作系統版本而聲名大噪。
• 社會工程學： Mitnick 被廣泛認為是社會工程學的先驅——這是一種操縱人們洩露機密資訊的藝術。雖然有些批評者認為他更像是一個社會工程師而非技術駭客，但支持者指出，大多數現代駭客攻擊仍依賴於人類的錯誤。
• 白帽顧問服務： 獲釋後，Mitnick 創立了兩家安全顧問公司，教導組織如何防禦他曾精通的那些入侵手段。

對 Mitnick 實用性的看法

業界對 Mitnick 技術貢獻的看法仍然存在分歧：

"His report for a client that turned out to have been rife with SQL injection at the time 那個客戶的報告中，當時那裡充斥著 SQL injection，結果發現他的報告內容大多是電影情節般的實體安全問題... 他的公關活動似乎遠超了他的實際效用。"

相反地，熟悉他的人則為他的效能辯護：

"Kevin was particularly annoying because he never failed to penetrate a target. 因為 Kevin 特別令人惱火，因為他從未失敗過滲透目標。之所以說這很惱火，是因為只要有一個疏忽、一個弱點、一個疏忽大意的管理員，一切就結束了。"

文化影響力

Mitnick 的故事透過各種媒介滲透到了網路安全文化中：

• 文學： 他的事蹟詳述於 Tsutomu Shimomura 所著的 Takedown 一書，以及他自己的回憶錄 Ghost in the Wires。

• 社群符號： Mitnick 以分發一種獨特的金屬開鎖工具名片，這在安全社群中仍被屬於珍貴的收藏品。

• 公眾形象： 對於某些人來說，他的傳承與企業安全培訓有關，其中他的形象經常被用作社會工程學風險的警示案例。