乔振祺
“教授的挂马、盗号技术不是早先意义上的黑客技术,更不是网络安全培训,这是在培养互联网上的小偷。”
8月11日上午,由公安部挂牌督办的“8·2”全国最大的制作、传播“温柔”系列木马黑客团伙案件,在江苏省徐州市鼓楼区人民法院公开开庭审理,“温柔”木马病毒的制作人吕轶众、曾毅夫等11名被告人到庭受审。
这个名叫“温柔”的软件其实一点也不温柔,它让网易公司、北京畅游时代数码科技有限公司等13家网络游戏公司蒙受了重大经济损失,至少造成800万个游戏玩家的游戏账号密码、游戏装备被盗,其计算机信息系统被非法侵害,涉案金额高达3000万元。
这起黑客团伙犯罪案件目前共有32人进入到诉讼程序,其中除1人为1978年出生外,其余均为“80后”,有人因此把“温柔”木马病毒称为“80后制造的陷阱”。近几年,黑客犯罪数量呈上升趋势,低龄化、不计后果,成为现在所谓黑客的公众形象。现在,让人担忧的是,掌握类似技术的黑客正在互联网上一个个所谓的“黑客培训学校”被成批复制。
网络安全培训等于黑客培训?
据中国互联网络信息中心发布的报告,今年上半年,有1.95亿网民上网时遇到过病毒和木马的攻击,1.1亿网民遇到过账号或密码被盗的问题。而这些问题都与黑客有关,网络安全和“黑客”产业链问题日益受到公众关注。
近两年黑客类网站暴增,在互联网搜索引擎百度的搜索页面输入“黑客培训”,竟然可以检索出多达176万条的相关网页。这些“黑客培训”的授课内容几乎囊括了各种病毒、木马制作技术和各种网络攻击技术,而且他们只教授如何挂木马、抓肉鸡等“实用技术”,使用那些自动化的黑客工具或技巧,黑到谁算谁,培训价格则由数百元到近万元不等。由于黑客技术的传授涉嫌违法,所以,这些“黑客培训”中有不少是打着“网络安全培训”的旗号进行的。
含有网络安全培训业务的国内最大中文黑客网站“黑客基地”的安全顾问王献冰在接受本刊记者采访时认为,国内网络安全技术培训目前是鱼龙混杂。“从网络安全技术培训角度来说,可以归为两大类,一类是正规的技能培训,它有明确的办公地点、联系方式、教学团队;另一类则是教授简单黑客技巧的不正规的培训,没有固定的办公地点、教学队伍、联系办法,培训基本上都是通过网络进行的。”
“参加不正规的培训,你可能连人都见不到,你把钱汇过去,人家不教你你也没办法。这就导致所谓的教授黑客技术的培训80%以上都是欺诈性的。”王献冰说。
1997年毕业于郑州大学的王献冰是中国第一代黑客中的佼佼者,他的网名“孤独剑客”在曾经的黑客界大名鼎鼎。王献冰强调“黑客基地”进行的是网络安全技术培训。“我们是网络安全技术培训机构。黑基的问题是名字比较敏感,给人感觉像搞黑客的地方。但从成立到现在,黑基没有承接过任何黑客攻击类的针对性教学培训。”
有很多网络安全培训网站专门教授怎么入侵其他主机。“第一步怎么‘挂马,第二步怎么抓‘肉鸡,第三步怎么盗密码,第四步怎么赚钱。然后整套课程卖你多少钱。它是以赚钱为目的的,不仅教你攻击的方法而且给你提供工具,一条龙服务。”王献冰说。
“教授的挂马盗号技术不是早先意义上的黑客技术,更不是网络安全培训,这是在培养互联网上的小偷。”瑞星公司主机安全实验室负责人毛钧接受本刊记者采访时表示。
毛钧认为,大部分培训是没法让人们掌握黑客技术的。“培训的人自己都不清楚这技术到底是怎么回事。要做一个黑客不是很容易的事情,不是简简单单使用一些黑客工具,需要你要对整个网络安全方面有足够的知识。”
“凡是搞黑客培训的,老师大多数达不到这个水平,都是挂羊头卖狗肉,因为真要具备黑客能力,就不用搞培训了,他于其他的比做这个赚得多。”王献冰调侃地说。
换句话说,“黑客培训”根本不能培训出早先意义上的黑客,而只是传授可供模仿且涉嫌犯罪的赚钱技巧。这个在10年前更接近于“大侠的“黑客”一词,在今天的话语体系中基本等同于“罪犯”。
黑色经济产业
黑客基地的统计数据显示,在其100万的注册用户中,大都是生于1990年前后的年轻人,这一代年轻人自称为第六代黑客,与以往的黑客们不同,他们不再热衷于炫技,而是带有明确的经济目的,也因此,以“盗号木马”为代表的“商业病毒”,经过短短几年就成了黑客圈最流行的工具。
王献冰介绍,中国的黑客产业链的形成,最早依托QQ和网络游戏,后来是网络银行。正是由于这些虚拟财产和真实财产的价值在互联网上就能操作实现,所以才导致了黑客团伙的顶风作案。
最开始,有人专门对计算机漏洞进行发掘,一份漏洞攻击代码在一些黑客网站上明码标价500美元。之后,有人根据漏洞专门去入侵网站,并按照网站大小计算价格。入侵完成后,把攻击代码也就是木马植入进去,一般情况下,攻击代码至少会下载一个病毒文件,传播过程到此完成。此外,病毒代码贩卖,杀毒软件免杀都有人去做。最后盗取的有用信息会被计价出售。
能够用木马抓住肉鸡之后,就算偷不到有价值的账号和密码,还可以操作大量肉鸡进行分布式拒绝服务攻击(又称DDOS攻击)。“黑客的这种DDOS攻击模式就好比黑客带着—大帮人(感染病毒的电脑)过来把房子(互联网)的大门给堵住了让房子里面的人出不来,让外面的人也进不去。”毛钧说。
分布式拒绝服务攻击表现出的形式就是平时我们上网遇到的网站无法访问。由此便产生了一种被称为“网络敲诈的网络犯罪。
有业内人士透露,现在中国几乎每天都有一款新游戏上线,没有哪家游戏网站没遭遇过黑客的攻击和敲诈的。一些实力雄厚的“私服”每月都会花费两三百万元打击竞争对手,按照黑市的价格,一个小时内1G的攻击流量价格在6万元左右。
越来越庞大的现实利益早已击溃了互联网世界的道德底线,据国家计算机网络应急中心估算,目前“黑客产业”的年产值已超过2.38亿元,造成的损失则高达76亿元。由于犯罪成本远低于收益,使得这样一条巨大的见不得光的黑色经济产业链,诱惑着一些人铤而走险,成为网络秩序的破坏者。
网络安全培训亟待引导规范
“瑞星一天检测到病毒的次数是200多万次,‘挂马袭击的次数有四五百万次,这说明有很多人在搞黑客技术,否则不可能会出现这么多。”毛钧表示。这一方面凸显网络犯罪的增加;另一方面也说明了网络安全人才的不足。
“网络安全人才匮乏到一个相当严重的地步,人才的培育至少滞后于社会需求5到10年。”王献冰认为,“这个市场足够大,保守估计应该有过亿元的市场价值。”
以IT培训业的领军机构“北大青鸟”来看,其每年的培训收入超过20亿元,而网络安全培训在整个IT培训市场中占据15%~20%的份额,也就是说,网络安全培训至少会有三四亿元的产值。
王献冰认为,相比于违法的收入,正规市场的前景还没有被充分认识到。“网络安全培训不是书本知识,必须是靠知识和经验的积累,有经验的高手在这个市场里可以大有作为。”
网络上黑客培训学校的大量存在无疑是影响网络安全的不稳定因素。北京紫光达律师事务所利旭熙律师认为,如果这类黑客培训学校出于经济利益考虑,采取故意或放任的态度去传授破坏或入侵计算机系统的技术,造成严重后果的,显然是一种犯罪行为。“涉嫌触犯刑法第二百九十五条规定的‘传授犯罪方法罪或其他相关刑事罪名。”
技术是一把双刃剑。如何能既教授网络安全技术,又避免混同于教唆犯罪,这也是一个值得探讨的问题。
毛钧认为,法律并没有规定不准进行黑客技术研究,关键在于授课的课程设计,“如果不知道人家是怎么样攻击网站的。你就无法防范,但是在一个实验环境中讲解攻击原理,不能针对具体的网络。”
利旭熙也表示,如果这类培训仅从网络安全角度切入,分析计算机遭受攻击的情况,教授采取何种防御措施等等,这样的行为,是合法且合理的,而且当今社会也急需这样的人才。但是,必须要进行严格规范并加强监管。
王献冰认为,要加强对网络安全培训的管理,国家一方面是加快惩治网络犯罪立法,加大对网络犯罪的打击力度;另一方面,是对现有的网络安全从业人员进行认证登记,从而既保障其合理的社会回报又规范了从业行为。