引文:“教授的掛馬、盜號技術不是早先意義上的黑客技術,更不是網絡安全培訓,這是在培養互聯網上的小偷。”8月11日上午,由公安部掛牌督辦的“8•2”全國最大的制作、傳播“溫柔”系列木馬黑客團伙案件,在江蘇省徐州市鼓樓區人民法院公開開庭審理,“溫柔”木馬病毒的制作人呂軼眾、曾毅夫等11名被告人到庭受審。
這個名叫“溫柔”的軟件其實一點也不溫柔,它讓網易公司、北京暢游時代數碼科技有限公司等13家網絡游戲公司蒙受了重大經濟損失,至少造成800萬個游戲玩家的游戲帳號密碼、游戲裝備被盜,其計算機信息系統被非法侵害,涉案金額高達3000萬元。
這起黑客團伙犯罪案件目前共有32人進入到訴訟程序,其中除1人為1978年出生外,其余均為“80后”,有人因此把“溫柔”木馬病毒稱為“80后制造的陷阱”。近幾年,黑客犯罪數量成上升趨勢,低齡化、不計后果,成為現在所謂黑客的公眾形象。現在,讓人擔憂的是,掌握類似技術的黑客正在互聯網上一個個所謂的“黑客培訓學校”被成批復制。
網絡安全培訓等于黑客培訓?
據中國互聯網絡信息中心發布的報告,今年上半年,有1.95億網民上網時遇到過病毒和木馬的攻擊,1.1億網民遇到過賬號或密碼被盜的問題。而這些問題都與黑客有關,網絡安全和“黑客”產業鏈問題日益受到公眾關注。
近兩年黑客類網站暴增,在互聯網搜索引擎百度的搜索頁面輸入“黑客培訓”,竟然可以檢索出多達176萬條的相關網頁。這些“黑客培訓”的授課內容幾乎囊括了各種病毒、木馬制作技術和各種網絡攻擊技術,而且他們只教授如何掛木馬、抓肉雞等“實用技術”,使用那些自動化的黑客工具或技巧,黑到誰算誰,培訓價格則由數百元到近萬元不等。由于黑客技術的傳授涉嫌違法,所以,這些“黑客培訓”中有不少是打著“網絡安全培訓”的旗號進行的。
含有網絡安全培訓業務的國內最大中文黑客網站“黑客基地”的安全顧問王獻冰在接受本刊記者采訪時認為,國內網絡安全技術培訓目前是魚龍混雜。“從網絡安全技術培訓角度來說,可以歸為兩大類,一類是正規的技能培訓,它有明確的辦公地點、聯系方式、教學團隊;另一類則是教授簡單黑客技巧的不正規的培訓,沒有固定的辦公地點、教學隊伍、聯系辦法,培訓基本上都是通過網絡進行的。”
“參加不正規的培訓,你可能連人都見不到,你把錢匯過去,人家不教你你也沒辦法。這就導致所謂的教授黑客技術的培訓80%以上都是欺詐性的。”王獻冰說。
1997年畢業于鄭州大學的王獻冰是中國第一代黑客中的佼佼者,他的網名“孤獨劍客”在曾經的黑客界大名鼎鼎。王獻冰強調“黑客基地”進行的是網絡安全技術培訓。“我們是網絡安全技術培訓機構。黑基的問題是名字比較敏感,給人感覺像搞黑客的地方。但從成立到現在,黑基沒有承接過任何黑客攻擊類的針對性教學培訓。”
有很多網絡安全培訓網站專門教授怎么入侵其它主機。“第一步怎么‘掛馬’;第二步怎么抓‘肉雞’;第三步怎么盜密碼;第四步怎么賺錢。然后整套課程賣你多少錢。它是以賺錢為目的的,不僅教你攻擊的方法而且給你提供工具,一條龍服務。”王獻冰說。
“教授的掛馬盜號技術不是早先意義上的黑客技術,更不是網絡安全培訓,這是在培養互聯網上的小偷。”瑞星公司主機安全實驗室負責人毛鈞接受本刊記者采訪時表示。“我覺得大部分培訓是沒法讓他們掌握黑客技術的。培訓的人自己都不清楚這技術到底是怎么回事。要做一個黑客不是很容易的事情,不是簡簡單單使用一些黑客工具,需要你要對整個網絡安全方面有足夠的知識。”
“凡是搞黑客培訓的,老師大多數達不到這個水平,都是掛羊頭賣狗肉,因為真要具備黑客能力,就不用搞培訓了,他干其他的比做這個賺得多。”王獻冰調侃地說。
換句話說“黑客培訓”根本不能培訓出早先意義上的黑客,而只是傳授可供模仿且涉嫌犯罪的賺錢技巧。這個在10年前更接近于“大俠”的“黑客”一詞,在今天的話語體系中基本等同于“罪犯”。
黑色經濟產業
黑客基地的統計數據顯示,在其100萬的注冊用戶中,大都是生于1990年前后的年輕人,這一代年輕人自稱為第六代黑客,與以往的黑客們不同,他們不再熱衷于炫技,而是帶有明確的經濟目的,也因此,以“盜號木馬”為代表的“商業病毒”,經過短短幾年就成了黑客圈最流行的工具。
王獻冰介紹,中國的黑客產業鏈的形成,最早依托QQ和網絡游戲,后來是網絡銀行。正是由于這些虛擬財產和真實財產的價值在互聯網上就能操作實現,所以才導致了黑客團伙的頂風作案。
最開始,有人專門對計算機漏洞進行發掘,一份漏洞攻擊代碼在一些黑客網站上明碼標價500美元。之后,有人根據漏洞專門去入侵網站,并按照網站大小計算價格。入侵完成后,把攻擊代碼也就是木馬植入進去,一般情況下,攻擊代碼至少會下載一個病毒文件,傳播過程到此完成。此外,病毒代碼販賣,殺毒軟件免殺都有專人去做。最后盜取的有用信息會被計價出售。
能夠用木馬抓住肉雞之后,就算偷不到有價值的賬號和密碼,還可以操作大量肉雞進行分布式拒絕服務攻擊(又稱DDOS攻擊)。“黑客的這種DDOS攻擊模式就好比黑客帶著一大幫人(感染病毒的電腦)過來把房子(互聯網)的大門給堵住了,讓房子里面的人出不來,讓外面的人也進不去。”毛鈞說。
分布式拒絕服務攻擊表現出的形式就是平時我們上網遇到的網站無法訪問,由此便產生了一種被稱為“網絡敲詐”的網絡犯罪。
有業內人士透露,現在中國幾乎每天都有一款新游戲上線,沒有哪家游戲網站沒遭遇過黑客的攻擊和敲詐的。一些實力雄厚的“私服”每月都會花費兩三百萬元打擊競爭對手,按照黑市的價格,一個小時內1G的攻擊流量價格在6萬元左右。
越來越龐大的現實利益早已擊潰了互聯網世界的道德底線,據國家計算機網絡應急中心估算,目前“黑客產業”的年產值已超過2.38億元,造成的損失則高達76億元。由于犯罪成本遠低于收益,使得這樣一條巨大的見不得光的黑色經濟產業鏈,誘惑著一些人鋌而走險,成為網絡秩序的破壞者。
網絡安全培訓亟待引導規范
“瑞星一天檢測到病毒的次數是200多萬次,‘掛馬’襲擊的次數有四五百萬次,這說明有很多人在搞黑客技術,否則不可能會出現這么多。”毛鈞表示。這一方面凸顯網絡犯罪的增加;另一方面也說明了網絡安全人才的不足。
“網絡安全人才匱乏到一個相當嚴重的地步,人才的培育至少滯后于社會需求5到10年。”王獻冰認為,“這個市場足夠大,保守估計應該有過億元的市場價值。”
以IT培訓業的領軍機構“北大青鳥”來看,其每年的培訓收入超過20億元,而網絡安全培訓在整個IT培訓市場中占據15%~20%的份額,也就是說,網絡安全培訓至少會有三、四億元的產值。
王獻冰認為,相比于違法的收入,正規市場的前景還沒有被充分認識到。“網絡安全培訓不是書本知識,必須是靠知識和經驗的積累,有經驗的高手在這個市場里可以大有作為。”
網絡上黑客培訓學校的大量存在無疑是影響網絡安全的不穩定因素。北京紫光達律師事務所利旭熙律師認為,如果這類黑客培訓學校出于經濟利益考慮,采取故意或放任的態度去傳授破環或入侵計算機系統的技術,造成嚴重后果的,顯然是一種犯罪行為。“涉嫌觸犯刑法第二百九十五條規定的‘傳授犯罪方法罪’或其他相關刑事罪名。”
技術是一把雙刃劍。如何能既教授網絡安全技術,又避免混同于教唆犯罪,這也是一個值得探討的問題。
毛鈞認為,法律并沒有規定不準進行黑客技術研究,關鍵在于授課的課程設計。“如果不知道人家是怎么樣攻擊網站的,你就無法防范,但是在一個實驗環境中講解攻擊原理,不能針對具體的網絡。”
利旭熙也表示,如果這類培訓僅從網絡安全角度切入,分析計算機遭受攻擊的情況,教授采取何種防御措施等等,這樣的行為,是合法且合理的,而且當今社會也急需這樣的人才。但是,必須要進行嚴格規范并加強監管。
王獻冰認為,要加強對網絡安全培訓的管理,國家一方面是加快懲治網絡犯罪立法,加大對網絡犯罪的打擊力度;另一方面,是對現有的網絡安全從業人員進行認證登記,從而既保障其合理的社會回報又規范了從業行為。
