隨著(zhù)互聯(lián)網(wǎng)不斷深度介入人們的生活,網(wǎng)絡(luò )上也在源源不斷積累起大量數據。這些數據就像散落在互聯(lián)網(wǎng)生態(tài)中的粒粒珍珠,誘惑著(zhù)網(wǎng)絡(luò )黑產(chǎn)分子瞪大貪婪的雙眼,伺機而動(dòng)……
記者調查發(fā)現,基于這些存在的產(chǎn)業(yè)鏈,上游,是以技術(shù)含量最高的職業(yè)黑客為主,他們通過(guò)挖掘漏洞、編寫(xiě)木馬實(shí)施入侵,獲取數據;中游,是購買(mǎi)這些數據進(jìn)行欺詐的犯罪團伙,他們應用社會(huì )工程學(xué)的理論和知識來(lái)對用戶(hù)實(shí)施欺詐;產(chǎn)業(yè)鏈的下游,則是支撐整個(gè)黑色產(chǎn)業(yè)鏈各種周邊的組織,如取錢(qián)、洗錢(qián)、收卡、販賣(mài)身份證等團伙。
這條近乎完善的黑色產(chǎn)業(yè)鏈,正在挑戰很多網(wǎng)絡(luò )用戶(hù)的安全意識。
天剛亮,段曉龍結束了一晚上的任務(wù)。他擰開(kāi)水龍頭,用涼水沖了一把臉,起身,去公司上班。
落座后,段曉龍打開(kāi)網(wǎng)頁(yè),這次他被一則新聞所吸引:近日,廣東警方偵破了一起特大黑客信用卡詐騙案—“海燕3號”。
令所有人吃驚的是,廣西河池市初中畢業(yè)的18歲男孩阿葉(化名)通過(guò)自學(xué)編程成為一名“黑客”,并以此為自己牟利,帶領(lǐng)一批人在網(wǎng)上大肆盜刷別人的銀行卡,涉案金額近15億元。
比起這則新聞的內容,段曉龍更關(guān)注這名男孩攻擊網(wǎng)上銀行所采用的手段。
黑客白帽
段曉龍通過(guò)瀏覽發(fā)現,阿葉學(xué)會(huì )網(wǎng)絡(luò )編程慢慢融入黑客群體后,2012年開(kāi)始利用網(wǎng)絡(luò )漏洞,通過(guò)技術(shù)手段收集銀行客戶(hù)信息,有選擇地攻擊含有大量客戶(hù)信息的知名招聘網(wǎng)站或其他網(wǎng)站,非法獲取數百萬(wàn)條銀行卡信息。
隨后,阿葉又通過(guò)QQ群發(fā)布信息,尋找變現“通道”和“合作伙伴”。根據媒體報道,阿葉被抓后,很感謝警察在他18歲前抓了他,并表示出獄后想當一名紅客。
紅客是相對黑客而言。黑客是指那些專(zhuān)門(mén)研究、發(fā)現計算機和網(wǎng)絡(luò )漏洞的網(wǎng)絡(luò )技術(shù)高手。紅客則是在網(wǎng)絡(luò )中維護正義,為自己國家爭光的網(wǎng)絡(luò )技術(shù)高手。
正如一個(gè)硬幣有兩面一樣,黑客也有好壞之分。在黑客的世界中,往往用帽子的顏色比喻其好壞。白帽子,是指那些精通安全技術(shù),但工作在反黑客領(lǐng)域的專(zhuān)家們;而黑帽子,則是利用黑客技術(shù)造成破壞,甚至進(jìn)行網(wǎng)絡(luò )犯罪的群體。
確切地說(shuō),段曉龍是黑客中的白帽子,但他更愿意別人稱(chēng)他為紅客。作為一家主營(yíng)網(wǎng)絡(luò )信息安全公司烏魯木齊辦事處的資深技術(shù)工程師,段曉龍每天的工作內容,是通過(guò)識別網(wǎng)絡(luò )客戶(hù)系統中的安全漏洞,發(fā)出漏洞警告,從而提醒客戶(hù)在被黑帽子黑客侵入前修補漏洞,為維護客戶(hù)網(wǎng)絡(luò )信息安全出謀劃策。
段曉龍的服務(wù)對象有銀行、運營(yíng)商,還有企事業(yè)單位等。現在的他幾乎成了“夜貓子”,因為為銀行服務(wù),一般都是晚上零點(diǎn)之后。
段曉龍還記得,有一次下地州,他在一周之內服務(wù)了六個(gè)地方,在路上奔波的時(shí)間,全都用來(lái)睡覺(jué)。
除了得到服務(wù)對象贊許的成就感,很多時(shí)候,段曉龍和同事們面對的是一群對漏洞不屑的人。每次被曝出漏洞之后,許多用戶(hù)尤其是小用戶(hù)并未引起重視。
“黑客竊取信息之后,立即會(huì )選擇離去,對于客戶(hù)來(lái)說(shuō),這時(shí)再著(zhù)手重新‘粉刷’網(wǎng)站已悔之晚矣。”在段曉龍看來(lái),網(wǎng)絡(luò )信息安全是三分靠技術(shù),七分靠管理,即:網(wǎng)絡(luò )安全中的30%依靠計算機系統信息安全設備和技術(shù)保障,而70%則依靠用戶(hù)安全管理意識的提高。
在大數據和云計算的時(shí)代,得“數據”者得天下。這句話(huà),是互聯(lián)網(wǎng)企業(yè)多年來(lái)的共識,對于日益猖獗的網(wǎng)絡(luò )黑色產(chǎn)業(yè)鏈而言同樣適用。去年,我國網(wǎng)絡(luò )漏洞集中爆發(fā):3月下旬,攜程網(wǎng)安全支付日志可被下載,導致部分用戶(hù)銀行卡信息泄露;11月,130萬(wàn)條考研學(xué)生的個(gè)人信息,在一些黑產(chǎn)群里公開(kāi)叫賣(mài)……
云里漏洞
事實(shí)上,在國內,逐漸形成了一些漏洞舉報的平臺,如奇虎360、烏云網(wǎng)都建立了舉報漏洞的機制,方法各不相同。
在烏云社區,不同級別的白帽子有1260位,他們幾乎每時(shí)每刻都在搜索漏洞。“豬豬俠”2012年4月16日注冊成為烏云網(wǎng)的白帽子,為了挖掘一切漏洞,他制作了一個(gè)掃描器,比起同行們一個(gè)個(gè)尋找,他已實(shí)現了自動(dòng)攻擊,在烏云社區Rank值(提交的漏洞評分總和)高居第一。
對黑帽子而言,積累有大量用戶(hù)數據的訂票、保險、招聘求職類(lèi)網(wǎng)站等都是上好的“獵物”。記者發(fā)現,烏云平臺披露了很多類(lèi)似網(wǎng)站的系統漏洞。
“這些漏洞被曝出來(lái)之前,這些網(wǎng)站的‘后門(mén)’可能早已被打開(kāi)過(guò)。”段曉龍說(shuō)。
黑帽子們會(huì )利用這些漏洞入侵有價(jià)值的網(wǎng)站,盜走用戶(hù)數據庫。這一過(guò)程在黑色產(chǎn)業(yè)術(shù)語(yǔ)中被稱(chēng)為拖庫。去年5月14日凌晨,小米官方論壇800萬(wàn)用戶(hù)的賬戶(hù)信息被拖庫。拖庫成功后,他們還會(huì )進(jìn)行洗庫工作,利用技術(shù)手段清洗數據,提煉出有價(jià)值的用戶(hù)數據將其變現。
通過(guò)拖庫、洗庫得到數據后,一些黑帽子會(huì )將得到的數據在其他網(wǎng)站上嘗試登錄,稱(chēng)為撞庫。去年12月25日,中國鐵路購票網(wǎng)12306網(wǎng)站遭遇撞庫攻擊,超過(guò)13萬(wàn)條用戶(hù)隱私數據在互聯(lián)網(wǎng)上瘋傳。
最近,網(wǎng)友“無(wú)慮”以350元的價(jià)格,在QQ交流群里低調招收黑客技術(shù)的學(xué)徒。提到撞庫,他解釋說(shuō),撞庫就是黑客用其他渠道獲得的用戶(hù)名和密碼嘗試登錄某網(wǎng)站,成功后,就可以獲得用戶(hù)在某網(wǎng)站交易時(shí)所需的身份證號等個(gè)人信息。
“無(wú)慮”介紹說(shuō),在一家網(wǎng)站上撞庫成功后,黑客也會(huì )嘗試去撞其他的庫,如淘寶、京東等,如果成功,黑客又會(huì )多了用戶(hù)個(gè)人支付賬號、消費記錄等數據。
隨著(zhù)拖庫、撞庫的網(wǎng)站不斷增加,用于詐騙分子詐騙的社工庫也不斷增多,對用戶(hù)的威脅也越來(lái)越大。社工庫網(wǎng)站的主要業(yè)務(wù),就是銷(xiāo)售自己掌握的他人的賬號和密碼信息,而且是公開(kāi)兜售,只要給錢(qián)就賣(mài)。
記者梳理整個(gè)黑色產(chǎn)業(yè)鏈發(fā)現,產(chǎn)業(yè)鏈的上游,是以技術(shù)含量最高、最為隱蔽的職業(yè)黑客為主,他們通過(guò)挖掘漏洞、編寫(xiě)木馬實(shí)施入侵,獲取數據;產(chǎn)業(yè)鏈的中間環(huán)節,是一個(gè)龐大的進(jìn)行欺詐的犯罪團伙,他們通常有著(zhù)較高的情商,能夠熟練應用社會(huì )工程學(xué)的理論和知識來(lái)對用戶(hù)實(shí)施欺詐;產(chǎn)業(yè)鏈的下游,則是支撐整個(gè)黑色產(chǎn)業(yè)鏈各種周邊的組織,如取錢(qián)、洗錢(qián)、收卡、販賣(mài)身份證等團伙。
漂白黑產(chǎn)
不可否認,在數據泄露的過(guò)程中,數據保管者有著(zhù)不可推卸的責任。
在本土一家網(wǎng)絡(luò )公司負責人顧杰看來(lái),漏洞是造成泄露的一大因素,但幾乎每個(gè)網(wǎng)站都可能存在漏洞。一些網(wǎng)絡(luò )安全公司的成立,就是為了減少因漏洞造成的泄露,在泄露之前對漏洞曝光,并通知廠(chǎng)商及時(shí)修補。在新疆,目前網(wǎng)絡(luò )安全公司有10多家。
自治區通信管理局統計顯示,2014年,該局對當前流行的499種木馬家族和72種僵尸程序家族的活動(dòng)進(jìn)行了抽樣監測,發(fā)現新疆地區累計有23萬(wàn)臺主機被木馬和僵尸網(wǎng)絡(luò )控制,其中不乏政府單位和大型企業(yè)。
業(yè)內人士分析,這些企業(yè)數據安全意識不強,數據庫的設計缺陷也是數據可能泄露的原因。顧杰發(fā)現,在新疆,開(kāi)展網(wǎng)絡(luò )信息安全工作的部門(mén)和企業(yè)不到一半。
自治區通信管理局相關(guān)負責人表示,移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展使手機惡意程序越加泛濫,隱私竊取類(lèi)病毒所占的比重正在上升。移動(dòng)設備里面存儲的通訊錄、短信息、照片、視頻等敏感內容易被竊取。去年,新疆感染移動(dòng)互聯(lián)網(wǎng)惡意程序的用戶(hù)累計超過(guò)170萬(wàn),其中流氓行為類(lèi)占比21%,隱私竊取類(lèi)占比15%。
相對應地,互聯(lián)網(wǎng)環(huán)境治理力度也在加大。去年,自治區通信管理局摧毀活躍度較高、控制規模較大的境外木馬和僵尸網(wǎng)絡(luò )控制端518個(gè),協(xié)調重要信息系統單位清理木馬和僵尸網(wǎng)絡(luò )受控端共計11513個(gè),有效降低了新疆發(fā)生大規模網(wǎng)絡(luò )安全事件的風(fēng)險。
這些年,我國也相繼出臺了一些法律法規,包括民法關(guān)于人格隱私保護的規定、刑法修正案第7條、全國人大常委會(huì )關(guān)于加強網(wǎng)絡(luò )信息保護的決定及有關(guān)部門(mén)規章等。但在新疆社會(huì )科學(xué)院法學(xué)研究所助理研究員陳琪看來(lái),由于我國沒(méi)有制定專(zhuān)門(mén)性的網(wǎng)絡(luò )安全監管法律規范,互聯(lián)網(wǎng)行業(yè)的自律規范尚顯凌亂。
針對這種情形,我國正在制定相應的管理標準,擬對網(wǎng)絡(luò )服務(wù)提供者出現信息泄露后應承擔的責任作出明確規定。對一些網(wǎng)絡(luò )服務(wù)提供者不履行網(wǎng)絡(luò )安全管理義務(wù),造成嚴重后果的情況,我國也計劃通過(guò)立法增加其刑事責任。
相對樂(lè )觀(guān)的是,隨著(zhù)大數據和移動(dòng)互聯(lián)網(wǎng)在各行各業(yè)的深入運用,很多廠(chǎng)商的信息安全意識在逐步提高。發(fā)現和舉報漏洞的白帽子人才市場(chǎng)也逐漸形成,這意味著(zhù),從事黑產(chǎn)的人會(huì )越來(lái)越少。“讓黑產(chǎn)上的人變成白帽子,這或許是未來(lái)的方向。”段曉龍說(shuō)。
