谈起黑客,人们脑海中出现的是一个模糊而又神秘的形象,像过去的江湖武士,行走在善与恶之间。然而,最近频繁曝光的“小网站遭遇黑客敲诈”让人们心中对黑客仅存的一丝敬畏化作了愤怒。联想起在网上大量存在的游戏账号被盗现象和屡屡曝光的假冒银行网站案件,人们突然间发现,黑客俨然已经变成了“网络黑帮”。不再仅仅是小打小闹,互联网上甚至还出现了出售病毒、代人勒索、诈骗和恐吓,按件取酬的有组织团伙。然而,当人们呼吁网络安全时,却发现达摩克利斯之剑遥远而又昂贵。
■一针见血
网络安全的难以承受之重
乔治。奥威尔肯定想不到自己在《1984》里的那句经典对白“老大哥在看着你”会成为如今网络生活最真实的写照。被认为最具草根性的互联网世界如今正在面临这样的一种尴尬。作为普通用户,当访问互联网的时候,总会有很多双不怀好意的眼睛在窥探和监视着,蠢蠢欲动。
可惜这样的解决方案很多时候都成为我们难以承受之重。动辄数万元乃至数十万元的软件系统,对于更多并不完全指望互联网安身立命的个人站长来讲无异于天文数字。更关键的是,按照道高一尺魔高一丈的朴素推理,作为一贯的弱势群体,被动式的防御根本不可能与主动式的攻击同步。
所以我们更需要的是一把达摩克利斯之剑,只有当这把剑高悬于网络间的魑魅魍魉们头顶时,大多数人可能才会感受到真正的安全。而最关键的是,不应该让普通的消费者去为这把伐罪之剑埋单,因为它过于昂贵。
按照朴素经济学的原理,驱动社会发展的是生产力进步,驱动生产力进步的是技术创新,而驱动技术创新的是科学研究和企业实践。
互联网的发展非常直接地证明了这一原理,但同时也凸现出另外一个问题。当社会发展到一定程度,人民生活过分依赖技术手段的时候,在终端消费者和核心技术驱动者之间会出现一条几乎不可逾越的鸿沟。而一旦核心技术驱动者的群体中出现一小部分道德底线薄弱或人品低下的败类,利用他们所掌握的技术武器去获得利益,处于弱势群体的消费者只能无助地面临一场灭顶之灾。
更让人惊慌的是,曾经的一小部分如今正在因为利益的驱动而迅速膨胀。流窜于网间的各种病毒木马、频繁出现的网络黑帮敲诈、层出不穷的流氓软件,都一再证明了问题的紧急程度。但我们呼唤已久的那把达摩克利斯之剑,却依然掌握在少数人手里待价而沽。
随着三网合一逐渐从技术的可能变成现实的情景,一个以手机为中心的未来网络世界正在逐渐走向台前。但我们实在不敢想象,当越来越多的普通人开始像利用PC一样利用手机时,如果依然等不来那把高悬的利剑,整个世界情何以堪?
小偷大盗型偷游戏账号窃取虚拟财产
运营《魔兽世界》的九城公司最近接到玩家的好几宗投诉,内容都是游戏账号被盗。而在去年年底,一起网络盗窃犯罪案件曾震惊广大游戏玩家。一位游戏玩家盗得《魔兽世界》游戏账号100余个,获利6万余元。
不过,我国对于网络虚拟财产的属性至今没有作出明确规定。据说,一般警方将盗窃游戏账号定性为“盗窃罪”,法院受理时通常会改成“妨害通信自由”。而在网络游戏最发达的韩国,法律已经明确禁止虚拟物品的交易。网游中的虚拟角色和物品独立于服务商而具有财产价值,游戏运营商“弄丢”了玩家的装备,可是要上法庭的。
敲诈抢劫型攻击小网站勒索“保护费”
如果说偷窃者的鬼蜮伎俩见不得光,那么最近频繁曝光的“网络黑帮敲诈案”则是光天化日下恃强凌弱的抢劫。
这样的攻击通常由比较有组织的黑客发起,攻击目标主要针对中小网站站长。最典型的案例是,先通过攻击目标网站的做法向站长示威,随后要求受攻击方向指定账户交纳“保护费”,否则就持续攻击。扬州一家公司被DoS攻击断断续续困扰了两年,不愿意掏“保护费”的他们使用了多种防范方案都没能根本解决问题。前不久,他们求救于国家计算机网络应急技术处理协调中心。在专家分析攻击情况、并与当地运营商协调取得信息,一个星期后终于找到了幕后黑手。
扬州这家公司算是幸运的。由于攻击者往往采用分布式拒绝服务攻击,同时在银行开户所使用的身份证也为伪造,因此幕后黑手很难被找到。随着越来越多的中小企业开始利用互联网开展业务,这样的攻击者逐渐增多,并逐渐形成完整的产业链。甚至还有人专门出租攻击所需要的“僵尸电脑”给黑客使用。
据国家计算机网络应急技术处理协调中心运行部副主任陈明奇介绍,DoS攻击主要针对中小企业网站,而最近开始出现的勒索软件把敲诈蔓延到了终端个人用户。通过木马病毒进入个人电脑,将电脑中的财务数据等重要数据加密。随后,系统会弹出信息,向用户敲诈。半个月前国内首次出现了勒索软件敲诈用户的案例。
“不过与国际上高强度加密无法破解的情况相比,国内的这次事件还处于初级状态,黑客只是把文件放在隐藏文件夹里。”陈明奇说,这种敲诈频率高但通常金额小,被敲诈的用户多半不愿意向公安部门求助,而即使公安部门介入事件,也会因金额太小而无法立案。
解决方案:阻挡DoS的常用方法之一是在网络上设立过滤器或侦测器,在信息到达网站服务器前阻挡信息。针对DoS消耗系统资源的做法,还可以通过增加系统资源、扩充主机集群数量等方式在一定程度上缓解攻击。不过这将增加硬件成本和维护开销。
■技术解读DoS攻击
DoS攻击就是由于一些网络通讯协议本身固有的缺陷,通过伪造超过服务器处理能力的请求数据,造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。
DoS攻击往往可以通过一台或有限的几台主机给被攻击方造成很大的破坏,特别是DDoS攻击(分布式拒绝服务攻击),可以通过控制“僵尸网络”策划进攻。
DoS攻击并不是一种复杂的技术,具有初级安全知识的人就可以很容易策动和实施危害很大的攻击,但对其的追查却很困难。
坑蒙拐骗型网上盗取银行账号诈骗钱财
从“中奖短信”到“假工行网站”再到“您的信用卡被盗用”。利用技术手段隐藏在网络背后的骗子们手段越来越高明,骗局也越来越周密。
据国家计算机网络应急技术处理协调中心统计,网上银行账号盗窃案这几年频频发生,且呈上升态势。去年该中心接到了200多起此类案件的投诉,而今年上半年已经达到了200多起。
据该中心运行部副主任陈明奇介绍,黑客盗取用户网上银行账号及密码,通常采取仿冒网站或木马程序等方式进行。因为个人用户的网络安全意识不够,甚至在一些不安装杀毒软件的电脑上使用网上银行业务,就很容易成为黑客作案的主要目标。
一个网站多大程度上的相似被认为是仿冒?缺乏量化标准也使得仿冒网站的侦察相当困难。而对于没有边界概念的互联网来说,这样的查找更像是“大海捞针”。目前,一个由政府执法部门、软件供应商和银行等环节机构组成的国际组织ATWG已经建立,专门防范网络“钓鱼”情况发生。根据该组织公布的数据,中国的网站仿冒数量一直“名列前茅”。这种有组织犯罪通常采取流水线式作业,一批人负责仿冒网站或者黑目标机器,另一批人盗取账号和密码,第三拨人再负责取钱转账。
瑞星科技公司市场网络部副总经理马刚指出,国内银行对网银用户的保护不足,网银用户要想取得高等级保护,往往需要支付费用,也迫使一些网上银行用户采用不安全的保护方式。在香港地区,银行会为普通用户提供免费的电子证书、手机随机密码认证等安全措施。
流氓无赖型流氓软件人人喊打
中搜的一款网络猪桌面搜索工具让安装它的用户“痛不欲生”,因为一旦“养”了这只“猪”,连重装系统都无法卸载。网络猪成了“流氓猪”。
和前面三种黑帮的表现形式不同,这里的网络流氓不是个人或小组织,而通常是互联网企业。他们为了实现自身访问量或其他方面的需求,在提供给用户的软件程序中捆绑恶意代码,在不提前告知用户的情况下,让用户成为企业利用的工具和傀儡。
对此,瑞星市场网络部副总经理马刚表示,一直以来,免费软件和共享软件在国内难以找到很好的盈利模式。流氓软件的出现,似乎让他们找到了某种推广途径。对于中国用户来说,过分依赖于免费和共享软件也增加了流氓软件的传播渠道和危害范围。
■律师说法
网络犯罪立法相对滞后
“利用互联网犯罪,成本低而效率很高,攻击性也远远大于传统犯罪方式。”北京市蓝鹏律师事务所张起淮指出,近年来,网络犯罪的数量越来越多,但是我国对于网络犯罪的立法却相对滞后。
张起淮指出,目前中国在这方面投入的精力和资金也很少。比如一个地区公安部门设一个处专门研究网络犯罪,但是技术人员只有几个,很难有效办案。而美国显然在网络安全领域方面走得更远。据了解,美国计算机应急预备队在回应网络攻击时担任主要的协调责任,它每年得到的经费平均达到7000万美元,占整个美国国土安全部财政预算的0.2%。
黑客小传
神秘的黑客是网络里来去无踪的夜行侠。当越来越多的黑客背离当初的“黑客道德”时,人们早已忘记黑客曾经是电脑革命的英雄。
上世纪50年代诞生的黑客代表着一种荣耀。黑客英文hacker的原意就是对电脑技术有着超常把握能力的高科技人才。
他们编写出的程序代码就像艺术家的作品,足以让整个行业尊敬和推崇。也正是这批最接近先进技术的黑客把高高在上的电脑、互联网推进了“个人时代”。
当IBM研制出世界上第一台工业电脑时,向来喜欢挑战权威的黑客们认为电脑不应仅属于高级专业人员所有。于是,黑客乔布斯和他的伙伴们在车库里攒出了世界第一台个人电脑,从此改变了普通大众获知信息的方式。这群给更多人带来新技术体验的黑客还包括微软的盖茨、自由软件之父Stallman等。
进入21世纪后,情况发生了变化。一些黑客不再仅仅是想着在互联网上扬名立万,单纯攻击转向了非法牟利。互联网犯罪风险低、获利丰厚,而破案率还不到5%。更重要的是电子商务、公司信息化的普及,也给黑客们提供了越来越多可攻击的机会。
他们制造出“蠕虫”和“特洛伊”木马程序,盗用银行卡和其他财务信息;将受到感染的计算机变成“僵尸”服务器,随意发送垃圾邮件;更有甚者,攻击公司网站进行要挟,如果对方拒绝付钱,就再次发动攻击。
自黑客出现了“好坏”之分后,其称谓也逐渐分化。在国外,往往以黑客与骇客来表示彼此不同(黑客建设,骇客破坏)。而国内则截然相反,红客是“正义之士”,黑客则偏离了最初含义。