作者:田强,Larry Greenemeier,J.Nicholas Hoover
“黑客”——曾经是电脑技术高手代名词,而如今却正在沦为网络世界中的“三只手”。2007年2月,破坏国内上百万个人用户、网吧及企业局域网用户的“熊猫烧香”病毒案告破,这是我国破获的国内首例制作计算机病毒的大案。而让人颇感意外的是,传说中的“毒王”——“熊猫烧香”病毒的编写者李俊只是一名普通的25岁男孩,最高学历仅仅为职业技术学校毕业。这同历史上名噪一时的黑客未免有些差距。与传奇黑客凯文·米特尼克(Kevin Mitnick)仅凭一台电脑和一部调制解调器就闯入了北美空中防务指挥部计算机系统主机的英雄事迹相比,李俊制造病毒的驱动力已经不仅仅是“个人英雄主义”的炫耀,更多源于经济利益。
李俊只是一个缩影,经济利益正在改变“黑客帝国”的游戏规则。热衷于炫耀技术的老一代黑客已经归隐山林,现在的黑客技术绝不只是郎当少年所热衷的把戏,它早已发展为庞大的生意。在线黑市上到处充斥着被盗的信用卡数据、驾照号码、恶意软件、供黑客们用来攻击商用软件的安全漏洞的各种程序等等,不一而足。网络罪犯早已是有组织的犯罪群体,他们通过即时通信工具和BBS进行联系,他们的“成果”就像普通商品一样在电子港湾(eBay)等网站上买卖。从技术提供,到实施入侵,再到在线销售,一条完整的“黑客经济”链条已经成型。
搞清楚黑客经济的内幕并非易事。在这个黑暗的地下世界,没人愿意公开谈论这些问题。但是,我们依然能够以管窥豹。
“数据黑市”催生黑客产业链
一个名为CardingWorld.cc的论坛目前已积累了来自1.3万名注册会员的10万封贴子,其中多数是用俄语写的。该网站的英文部分内容包括:美洲银行(Bank of America)、Fidelity Bank以及贝宝(PayPal)账户登录名的报价、来自全球各地的信用卡信息、有效的礼品卡和大额安全交易服务等信息。该论坛上的多数卖主和买主都要求,无论买卖都得通过BBS或ICQ即时通信中的私人短信实现。另一家名为垃圾国际(Dumps International)的公司则提供美国的信用卡信息。在该公司的网站上,获取美国信用卡号的成本从每张标准信用卡40美元到每张“签名”卡120美元不等,白金卡和企业卡的价格还要高一些。他们甚至还提供特殊“服务”,如以打包的形式购买100张不同形式的卡,价格可降至每张30美元。
类似这样的“数据黑市”在全球已经相当普遍,并且利润十分可观。网名为“Dark Tangent”的杰夫·莫斯(Jeff Moss)表示,他就知道有个欧洲的网络攻击者靠倒买倒卖数据库和客户名单每年可以赚上将近50万美元,莫斯也是《InformationWeek》母公司CMP媒体集团旗下的安全研究和培训机构黑帽公司(Black Hat)的创始人。在中国,由于网络银行起步较晚,因此从建设系统就将安全措施列为首要考虑对象,比如中国工商银行的网上银行系统要求用户必须使用其安全设备——U盾。因此中国“数据黑市”上的“商品”主要集中在QQ号码、Q币[QQ是腾讯科技(深圳)有限公司运营的一种即时通信软件]、网络游戏账号以及装备等“虚拟财产”上。正是这样的“数据黑市”催生了黑客产业链的形成。在前不久于旧金山举行的RSA安全会议上,RSA公司总裁阿特·科韦罗(Art Coviello)对与会观众表示,据国际数据公司(IDC)数据,失窃身份市场的规模已经猛增至10亿美元。扬基集团(Yankee Group)数据也显示,过去5年中,恶意软件市场极尽扩张之能事,膨胀迅速。
解密“黑色利益链”
在国内某黑客论坛上,记者认识了一名黑客——小Y。据小Y介绍,他今年22岁,高中毕业后开始自学电脑,现在深圳一家软件公司担任程序员。小Y的QQ名字就叫“出售源码”,个人简介里清楚地写着“(提供)各类黑客服务:出售各类程序,黑站挂马,黑站拿程序!入侵!DDOS!等!”小Y解释说:“这是我工作专用的QQ。”显然,在他眼中,从事黑客服务已经成为他的“第二职业”。通过与小Y的深入交谈,黑客经济背后神秘的利益链逐渐浮现。
小Y对“业内知名人士”李俊颇有些不以为然。“我只想靠这个挣钱,我不明白他为什么要把病毒做得那么张扬。”小Y说他平时比较谨慎小心,“客户”来源一般都是通过BBS或者熟人介绍,然后双方通过QQ进行交流。“我的服务针对特定客户会有所不同,不会像李俊那样把一个病毒程序到处卖。”小Y解释说,这样做的目的是防止出现大面积的病毒爆发。像小Y这样具有病毒程序编写能力的“黑客”在圈内被称为“卖枪者”。他们的主要任务是制造出黑客工具,然后将这些黑客工具卖给下游的买家。
买家花费几百元至数千元不等的价格在小Y这样的“卖枪者”手中买到“黑客程序”——目前大多数是木马病毒。下一步的动作就是将这些病毒植入特定的网站,这个步骤叫“挂马”,可以由买家自己完成,买家若没有能力完成,则可以聘请专门的“挂马者”完成。小Y有时候也会替买家做一些“挂马”的动作。挂马的对象一般是一些有一定流量且有安全漏洞的网站,这些网站一旦被植入木马,其浏览者就很有可能在不知不觉中感染木马病毒,其电脑上有价值的信息也就可能落入买家之手。另一种“挂马”的方式则是通过垃圾邮件,或者在论坛上张贴含有木马病毒的文件吸引用户下载。
一旦成功,大量的目标信息就会源源不断地被黑客工具所盗取。批量传送给黑客信息在圈内叫做“信封”,根据产品不同分为“装备信封”、“QQ信封”等等。“信封”的销售就相当于产品销售中的批发环节。一般黑客会从中扫出最有价值的信息,比如位数较短或级别较高的QQ号码。然后这些经过筛选的“二手信封”就流入“零售环节”。“零售商”将“信封”解封后,通过BBS甚至某些电子商务网站等渠道对盗来的Q币、网游装备等“虚拟财产”进行最终的销售。
“卖枪者”、“挂马者”、“大买家”、“零售商”,每个环节都有利可图,经济利益让“黑客”这一曾经有些“技术骑士”色彩的名词迅速污名化(Stigmatization)。小Y说:“在这个链条中,真正赚钱的是大买家(即‘信封’的盗取者,作者注),如果用得好,一个月赚几万元钱不是难事。”就这样,通过少则2~3人,多则10余人的合作,源源不断的有价信息通过这条黑暗的链条被盗取,然后卖往世界各地。
据中国国家计算机网络应急处理中心估计,目前这条“黑色产业链”的年产值已超过2.38亿元人民币,造成的损失则超过76亿元。
漫漫“反黑”路
面对来势汹汹的“黑客经济”,如何避免类似“熊猫烧香”的病毒大面积爆发,成为摆在企业和个人面前的难题。从技术上看,目前蠕虫、恶意软件、木马程序以及网络钓鱼等各种互联网威胁已经开始融合,单凭技术手段很难做到万无一失。这正应了那句老话——“道高一尺,魔高一丈”,再加上经济利益的趋使,互联网的安全形势越来越复杂。“世界上没有不透风的墙。”趋势科技(中国)有限公司技术总监蔡钦说,“黑客的攻击很难用纯粹的技术手段来解决。”
从“黑客产业链条”上我们可以看出,无论是在“挂马”,还是在盗取信息的环节,网站和用户电脑的漏洞是必不可少的。可以说,漏洞是黑客们赖以成功的关键因素。黑客小Y也承认他的工具并不是百分之百成功的,遇到安全防范比较好的网站和电脑同样也会铩羽而归。但目前互联网上普遍存在的安全漏洞使得黑客攻击的对象比比皆是。这种漏洞并不完全是指用户的安全习惯,操作系统和应用软件中普遍存在的漏洞也让用户防不胜防。迈克菲公司(McAfee, Inc.)亚太区产品总监陈联说:“目前广泛使用的操作系统和浏览器存在较多安全漏洞,即使用户不去恶意网站,不点击可疑的邮件,不下载陌生的软件,还是有可能中招。”
IT厂商因为发售带有安全漏洞的软件,为恶意代码和失窃数据的恣意横行大开方便之门,但他们却不会为此承担相应的责任。据国际商业机器公司(IBM)旗下的系统科学研究所(ISS)报告,去年该所报告的软件安全漏洞总数高达7,247个,比2005年增加了将近40%;其中,微软公司(Microsoft)、甲骨文公司(Oracle)和苹果公司(Apple)销售的软件系统被攻破的最多。互联网论坛上不时会出现关于这些漏洞的详细说明,“在互联网上指明这些没有补丁的漏洞不算犯罪。”eEye数字安全公司(eEye Digital Security)创始人兼首席黑客官马克·麦弗雷(Marc Maiffret)指出。正是这些漏洞使得安全厂商面对各种攻击总显得有些滞后。
“熊猫烧香”病毒的制造者李俊的被捕成为中国用法律手段遏制“黑客经济”繁荣的重要标志。虽然对李俊的审判仍未进行,但他的迅速落网仍然大大震慑了国内的“黑客经济”从业者,虚拟世界并非无法无天的犯罪乐土。同现实生活一样,法律也不可能让“黑客经济”消亡,但正如《中国日报》网站副总裁兼技术总监封志谦所说:“用法律手段打击‘黑客经济’,会大大提高网络犯罪的成本。”不过法律手段也并非万能。我国虽然是世界上较早从法律上规定“黑客有罪”、应予处罚的国家,但1994年颁布的《中华人民共和国计算机信息系统安全保护条例》已经不能满足我国互联网发展的现状,而且它尚未上升到国家法律层面,缺乏完整性、严密性和足够的震慑力。反观国外,从上世纪80年代起,美国就相继推出《计算机安全法》等一系列打击网络犯罪、维护信息安全的法律,并且成立了专门负责对网络犯罪进行调查的联邦机构——美国秘勤局(The Secret Service)。2002年,秘勤局下属的纽约电子犯罪特遣队就以身份窃取、信用卡欺诈和洗钱等罪名起诉了保德信人寿保险公司(Prudential Insurance,下称保德信)前数据库管理员唐纳德·麦克尼兹(Donald McNeese)。麦克尼兹从保德信含有6万名员工信息的数据库中窃取记录后,在他企图在网上出售这些偷来的数据时,被长岛那苏县(Nassau County)警察局警员比尔·默耶兰(Bill Moylan)发现。后者拥有25年探案经验,当时正秘密为特遣队工作,他于是接触了麦克尼兹,麦克尼兹将20名保德信员工的身份信息给了默耶兰,并撺掇他利用这些偷来的记录建立假冒信用卡,并将部分获利寄到麦克尼兹在佛罗里达的家中。麦克尼兹最终被判3年缓刑,并被勒令交还3,000美元。
2004年,该局特工又逮捕了一帮黑客,这些人运行着一个名为Shadowcrew.com的网站;次年,这些黑客中的6名在联邦法庭上被判犯有贩卖被盗信用卡、银行卡号码和身份信息等罪。去年3月,秘勤局宣布逮捕了7名嫌疑犯,并在接下来的3个月内总共逮捕了21人,这一系列行动都是滚石行动(Operation Rolling Stone)的一部分,滚石行动的目的旨在“通过犯罪性Web论坛”对身份窃取和在线欺诈等行为进行调查。
虽然美国等国家在打击“黑客经济”上投入了巨大的人力物力,但互联网的无国界性使得这种努力事倍功半。“无国界性在一定程度上带来无秩序性。”蔡钦说,“这是用法律手段打击‘黑客经济’面临的问题之一。”DoxPara Research公司安全研究人员丹·凯民斯基(Dan Kaminsky)也有同感,他说:“根本问题在于,我们的执法模式以地理位置为基础,但在互联网上根本不存在地理的概念。有关联邦机构无法实现跨洋窃听,或者在没有本地合作伙伴配合的情况下搜查异国他乡某个居民的房子,他们在及时高效地追踪这些犯罪行为方面还是显得有些力不从心。”
对于个人和企业来说,技术和法律手段都不能确保万无一失,那么自我防范就成为避免成为“牺牲品”的重要手段。对于个人来说,需要提高安全意识,及时更新防火墙和防病毒软件,避免浏览不良网站,在使用网上银行等业务时,确保防火墙和防病毒软件的实时监控功能处于开启状态。而对于企业来说,则需要全面部署信息安全系统,提高对员工电脑的控制程度,增强对关键数据的保护。“反黑”路漫漫,只有技术、法律和安全意识相结合,才能最大限度地控制“黑客经济”的蔓延。
黑客编年史
20世纪70年代早期
在那个时候,“黑客”(Hacker)还是一个褒义词,指的是那些尽力挖掘计算机程序的最大潜力的电脑精英。
1983年
美国联邦调查局首次逮捕6名少年黑客(因其所住地区电话区号为-414-,又被称作“414”黑客)。这6名少年黑客侵入到60多台电脑,其中包括了斯洛恩-凯特林癌症纪念中心和诺斯阿拉莫国家实验室。
1984年
艾里克·克力(Eric Corley)在美国创办黑客杂志《2600:黑客季刊》,该杂志成为黑客交换信息的重要场所。
1985年
地下记者“塔兰王”和“闪电骑士”创办电子杂志《弗里克》(Phrack),专门介绍攻击计算机的知识。
1987年
17岁的高中生赫尔伯特·齐恩(又称“影子鹰”)承认侵入美国电话电报局新泽西州电脑网络。齐恩是美国被判有罪的第一位黑客。
1988年
美国康奈尔大学学生、22岁的罗伯特·莫里斯(Robert Morris)向互联网上传了一只“蠕虫”。这个程序为攻击Unix系统而设计,侵入其他电脑并自我繁衍,占用大量系统资源,使当时近十分之一互联网瘫痪。
1989年
就在这一年美国加利福尼亚大学的系统管理员克利弗·斯托尔发现了5名西德电脑间谍入侵美国政府和一些大学网络。这5名西德人最终因为间谍罪被逮捕起诉。
1990年
美国一个黑客组织“末日军团”中4名成员因盗窃南方贝尔公司(BellSouth)911紧急电话网络的技术秘密而被逮捕。
同年,美国联邦特工处发动“阳光罪恶行动”对黑客进行了严打。
1994年
美国宇宙航天局的电脑网络受到两名黑客的攻击。
1995年
俄罗斯黑客列文(30岁)在英国被捕。他被控用笔记本电脑从纽约花旗银行(Citybank)非法转移至少371万美元到世界各地由他和他的同伙控制的账户。
1996年
一位代号Johnny的黑客向全球大约40位政治家、企业领导人和其他个人发送邮件炸弹,一个周末便制造了高达2万条邮件垃圾。
1998年
美国国防部宣布黑客向五角大楼网站发动了“有史以来最大规模、最系统性的攻击行动”,打入了许多政府非保密性的敏感电脑网络,查询并修改了工资报表和人员数据。
1999年5月
美国参议院、白宫和美国陆军网络以及数十个政府网站都被黑客攻陷。黑客在美国新闻署网站留下的信息最引人注目—“水晶,我爱你。”署名为:Zyklon。
1999年11月
挪威黑客组织“反编译工程大师”破解了DVD版权保护的解码密钥并公布在互联网上,引起震惊!
2000年2月
在3天的时间里,黑客组织使全球顶级互联网站—雅虎(Yahoo)、亚马逊(Amazon)、电子港湾(eBay)、CNN等陷入瘫痪。黑客使用了一种叫作“拒绝服务式”攻击手段,即用大量无用信息阻塞网站的服务器,使其不能提供正常服务。
2000年6月
黑客对雅虎(Yahoo)进行了攻击,盗走了用户的密码并查看了一些用户的资料。这次黑客进攻的方法是:把一个木马程序用邮件的形式传给雅虎的一名职员,而这个职员不小心运行了程序,最终导致了一场灾难。
2006年1月
一种名为“熊猫烧香”的蠕虫病毒在中国大面积爆发,它不但对用户系统进行破坏,导致大量应用软件无法使用,还可删除扩展名为gho的所有文件,造成用户系统备份文件丢失,从而无法进行系统恢复。该病毒的制造者是名为李俊的少年黑客。