《礼记·中庸》第二十九章:“王天下有三重焉。”三重指仪礼、度、考文。意思是说,治理天下最重要的三件事情,不过议订礼仪,制订法度,考订文字规范,这也是今日所谓“三重门”的来历。
不少人知道“三重门”还是来源于曾经的少年作家韩寒的同名小说,也有人把三重门引申成为有志者成功需要经过的几道坎。国内中小型网站发展颇为坎坷:经历了创想、建站和市场拓展、扩大规模过程中的困难,正欲展翅高飞之时,却遭遇第三重门——网络敲诈,背后的黑手就是黑客。
罪恶事实浮出水面
6月下旬,京沪两份大众类型日报不约而同刊登了网络黑客用DDos攻击的办法敲诈中小型网站的报道,而且报道中还称,这种敲诈已经成为了一桩生意,由此这些已经隐藏了很久的罪恶事实终于浮上水面。记者联系上了给上海媒体提供线索的某虚拟服务器提供商,该公司负责人张总(化名)向记者证实,目前他们有不少的客户都有被敲诈的情况。“我们也很无奈,以前DDos攻击更多只是竞争对手或者对网站服务不满的人来作为报复的手段,但现在却成为了一些不法之徒赚钱的生意。我们只能提醒用户尽快报警,不要去汇款。”不过该公司另外一位负责人孙总却对记者否认了他们的客户被敲诈的情况。稍感奇怪的记者随后又联系了另外一家规模较大的某虚拟服务器提供商,该公司总经理也和孙总一样,否认客户被敲诈的情况,对网络上DDos攻击的情况也不愿意多谈,并很快就挂掉了电话。有一位业内资深人士对记者道出了虚拟服务器提供商如此谨慎的原因,“毕竟那是他的客户收到了攻击,虽然可以说,没有那一家虚拟服务器提供商没有碰到过DDos攻击,但是一旦传出去,他们的业务还是会收到影响,所以他们还是会否认。”另外据记者了解,一般虚拟服务器提供商的服务分为两种,其中虚拟主机托管是所有用户共用一个IP,虚拟服务器提供商不负责为这类用户提供任何安防服务;另一种服务器托管业务,只负责在出现问题时协助解决,并且要收费。这就意味着,中小网站的业主们需要自行配置防火墙、黑洞及备份等重要软硬件防护设施,或者聘请专业的维护人员,而这是低成本运作的中小型网站很难负担的,也正因为这个软肋,让他们成为了网络黑客敲诈的首选,更为严重的时候,由于虚拟托管的特性所决定,一家网站受到了DDos攻击,共用一个IP地址的其他网站同样也受到影响。
DDos
攻击防范无着
其实Dos(拒绝服务Denial of Service)与DDos(分布式拒绝服务Distributed DenialofService)攻击并不是一个新话题。自从有了Internet,就有了拒绝服务式攻击方法。由于过去没有大型网站或机构受到过这种攻击,其劣性并不突出。直到2000年初,Yahoo!、eBay及Amazon等遭其暗算,它才露出庐山真面目。在典型的Internet连接中,用户访问一个网站时,客户端会先向网站服务器发送一条信息要求建立连接,只有当服务器确认该请求合法,并将访问许可返回给用户时,用户才可对该服务器进行访问。DoS攻击的方法是,恶意用户会向服务器发送多个连接请求,使其呈满负载状态,并且将所有请求的返回地址进行伪造。这样,在服务器企图将认证结构返回给用户时,它将无法找到这些用户。此时,服务器只好等待,有时可能会等上1分钟才关闭此连接。可怕的是,在服务器关闭连接后,攻击者又会发送新的一批虚假请求,重复上一次过程,直到服务器因过载而拒绝提供服务。这些攻击事件并没有入侵网站,也没有篡改或是破坏资料,只是利用程序在瞬间产生大量的网络封包,让对方的网络及主机瘫痪,使正常使用者无法获得主机及时的服务。一名技术人员用一个比喻来形容Dos攻击,“就像1000个人同时向你家里打电话,这时你朋友的电话肯定打不进来。”
2000年初攻击Yahoo!的元凶还不是简单的DoS,虽然与DoS攻击一样,也是向被攻击目标连续发送大量伪造的IP包,以导致服务器不能为合法用户提供正常服务(比如当时给Yahoo!站点路由器发出的无效请求高达1GB/s),但是它区别于DoS的“绝妙”之处在于:动员了大量“无辜”的计算机向目标共同发起进攻,采用了分布式拒绝服务(DistributedDenialof Service,DDos)攻击手段。
DDos
把DoS又向前发展了一步,DDos的行为更为自动化,它可以方便地协调从多台计算机上启动的进程,让一股DoS洪流冲击网络,并使网络因过载而崩溃。从2000年到现在,已经过去了6年多的时间,全球有很多黑客在潜心研究DDos攻击。随着技术的进步,DDos攻击也在不断开发新的程序,因此也更加难以追查,DDos攻击仍然没有很好的解决办法,这也是因为Internet所使用一些网络通讯协议本身固有的缺陷所决定的。上海市信息化服务热线9682000的汪浩工程师告诉记者,“对于DDos攻击,目前没有很好的解决办法。装防火墙也没有不能彻底的防范。”谈及现状,他显得很无奈,“我们只能告诉那些被DDos攻击的客户怎么去操作,怎么才能更安全。”
汪浩建议要抵御DDos,最好还是购买类似天融信公司出台的硬件防火墙,不过动辄几万元的售价,显然中小型网站是“无福消受”的。专业杂志《黑客防线》技术编辑郝先生认为,虽然DDos攻击是一种比较原始的攻击办法,但是就目前来看中小型网站是没有技术力量去解决这些专业问题。而黑客网站——华夏黑客同盟的王先生也证实了这样的观点,“目前没有很好的防范措施,只是进行一些网站配置以及加上硬件防火墙。”
记者在网上查找时发现,不少黑客网站都在卖一些几百元到几千元的软件防DDos攻击的软件以及软件防火墙产品。汪浩对记者表示,这些产品对于大量的DDos攻击都是无效的,“只是能说他们具有防DDos的功能,但是这些功能很简单的一种,就是分析攻击来源的IP地址,把这些IP地址屏蔽掉,实际上只要网站技术人员有一定的能力就可以手工屏蔽掉。华夏黑客同盟王先生也持类似的观点。而且有抗DDos能力的防火墙软件只能防范一部分攻击,系统优化则通常以牺牲部分访问和停掉部分服务为代价。
敲诈已成为一门生意
在京沪媒体的两篇报道中所提到网站站长被敲诈了几千元不等,而且DDos攻击敲诈还衍生了一门新生意,就是出租肉鸡(被黑客控制可以实施DDos的电脑)。记者在百度贴吧,用“肉鸡”作为关键字搜索,轻易就找到了几百条信息,去除重复发布的信息,“供需”信息多达50多条,价格低至每台每次几元钱,发贴人号称肉鸡遍及欧美亚。记者甚至还找到了一名自称为高中生的网友请求人教授求肉鸡以及寻找高手教学的帖子。在某些黑客网站上记者也发现,他们号称在可以帮客户解决DDos攻击的同时,还提供所谓“专业手段”帮客户获取或修改指定网站或电脑的数据等资料,按照客户要求使指定网站无法访问或不能够正常访问,而且还可以分期付款,虽然这些网站号称这些服务仅限国外站点或国内非法站点,但在利益的驱使之下,很难说这些黑客能够把持得住不过国内的网站下手。另外一方面,DDos攻击很难追查,也是敲诈者肆无忌惮的原因。据了解,一般黑客组织一次攻击时,总会使用木马程序先控制肉鸡,再肉鸡控制更多的计算机,从而指挥这些计算机同时向一个目标“开火”。这就等于他掌握了几个傀儡,实际攻击的指令都是这些傀儡发出的,黑客则藏在幕后,很难追查。另外由于网络地域的不确定性使得网络监管和追查黑客源头变得异常艰难。无法采用一般的侦查方式来处理,只能采用一些间接的手段,比如黑客要收到钱,就要涉及账户等信息,公安机关可以通过这些线索来找到黑客。上海市计算机病毒防范服务中心技术部副主任吴恩平告诉记者,“接到敲诈要正式处理的话只能去公安局报警,但是事实上,报警以后追查起来也有难度。据安全公司赛门铁克公司表示,肉鸡以及僵尸网络的出租,已经可以让一个普通用户无需技术要求只要出钱就可以利用僵尸网络散布垃圾邮件,进行网页仿冒欺骗或盗取机密信息。而另一方面,由于利益因素驱使,会有更多黑客热衷于控制僵尸网络,对互联网的威胁将日益严重。另外一家安全公司趋势科技也在回顾2005年国内外重大的信息安全事件时发现,几乎所有重大的事件都与经济利益有关,借助写病毒炫耀技术、扬名立万的时代已经过了。“听从指示汇给我200美金,收到钱后你会拿到译码程序”这是5月份侦测到的TROJ_PGPCODER.A木马勒索病毒;Zotob的两名青少年犯案动机是为了伪造信用卡;情人间谍软件制造者以出售监视情人网络行为的间谍软件而遭判刑;以色情或名模图片为饵的娘子军黑客集团,游走两岸盗取线上游戏等密码拍卖获利;在英国租赁以僵尸网络发动DoS攻击而使他人网络瘫痪的男子,已经被判10年徒刑。
法律缺失责任难定
造成国内网上DDos攻击、木马、肉鸡泛滥的一部分原因是因为法律的缺陷。汪浩告诉记者,“在计算机网络司法方面,没有对提供肉鸡者有什么限制,只是当别人攻击了以后盗取了数据,才能够通过做计算机司法鉴定去起诉,但是对提供肉鸡或者木马的人没有法律依据可以去限制。即使是制造病毒的人,如果没有对国家安全、公司以及个人财产造成损失,也是没有办法去处理的。
他还表示像网上的灰鸽子、安哥等木马都是在正大光明在卖,网上还有病毒制造机在下载。“他们可以辩护说那些木马是为了让人去参考、研究,这也是说得过去的。”上海恒泰律师事务所张一君律师给记者分析了如果界定黑客行为的行为模式。“通常而言:黑客行为主要包括以下几类行为:盗窃信息资料;攻击网站,造成网络堵塞; 删除、更换网页;进入网站,告知漏洞。”从法律上来说,“现行《刑法》第286条第3款为“制作、传播计算机病毒罪”。根据该款的规定,制作或者传播计算机病毒的,应当以该罪名判处5年以下有期徒刑。”但是张一君律师也强调,“制作黑客工具的行为并不都是制造病毒,因此,制作一定的黑客程序,并不制作病毒的,不构成上述罪名。”
而对类似灰鸽子、安客等黑客工具的提供者,张一君律师也表示“根据我国刑法“罪行法定”的原则和计算机类犯罪的罪状表述:仅仅出售黑客工具,并不实施黑客行为,一般不具有社会危害性。应当认定为无罪,也不会承担因此而产生的民事赔偿责任。但是一旦出售行为牵连到传播行为,则有可能涉及犯罪或承担民事责任,如:以传播为目的出售病毒,有可能涉及“制作、传播计算机病毒罪”。
而对于那些利用黑客技术敲诈网站的人,张一君更倾向于他们范了“强迫交易罪”而不是“敲诈勒索罪”。肉鸡:肉鸡就是具有最高管理权限的远程电脑。简单的说就是受黑客控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他。大多数的肉鸡是开了3389端口的Win2K系统的服务器。要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码律师观点IT时报:一方出钱购买黑客服务攻击某网站,承担什么责任?上海恒泰律师事务所张一君律师:刑法第285条规定了“侵入计算机信息系统罪”,286条第1款规定了“破坏计算机信息系统罪”,第2款规定了“破坏计算机数据,程序罪”购买黑客服务攻击网站,可能实施不同的行为,有可能构成不同的罪名。A盗窃国家事务、国防建设、尖端科学技术领域信息资料的,构成“侵入计算机信息系统罪”,B盗窃一般其他单位保密资料的,可能涉及“侵犯商业秘密罪”,也可能涉及一般民事赔偿。C攻击网站,造成网络堵塞,一般不会涉及刑事罪名,但造成当事人损害的,有可能承担相应的民事赔偿责任;D删除、更换网页,一般也不会涉及刑事罪名,但是,网页是有著作权的,擅自更换网页,有可能侵犯他人的著作权,如果将非法图片链接到他人网叶,有可能侵犯他人名誉权;E进入网站,告知漏洞,一般没有社会危害性,不承担刑事责任或民事责任。