天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

黑客自揭黑色产业链条:做病毒一定要低调

2008-2-18中国经营报佚名

  “熊猫烧香”余波未了,“灰鸽子”又飞进了人们的视野。

  在这个领域,互联网“险情”不断。

  ——网络世界,这个表面看起来风平浪静的生态,背后无时不在发生着弱肉强食的事件,就像森林里生物链一样默默发生着变化,而外边望去却一片平静。

  商业正在改变着这个领域的生态。这个领域的生态也在改写着现实世界的商业秩序——利益的驱动,使黑客一词的含义正在悄悄地酝酿着嬗变:这些黑客们不仅创富于虚拟世界,同时也被现实的商战所利用。

  

一线调查

  黑客自揭“黑色产业”链条

  关闭你电脑所有的程序(包括应用程序和操作系统内部程序),然后再联上网络,有没有发现ADSL猫的几只“绿眼睛”在不停地眨眼,电脑网线接口处的信号灯也在配合着不停地闪烁。

  如果是,你的电脑已经染上病毒,正在为别人工作——这样的电脑被黑客称之为“肉鸡”(即被黑客控制的电脑)。

  黑客控制着你的电脑并发出小小的数据包,内容可能包含着电脑中的机密,也可能指令你的电脑向其他电脑继续传播病毒。

  在中国,有上百万的网民如你一般,毫无察觉地为网络黑色产业链无偿地“贡献着力量”。

  2007年3月,被认为互联网病毒业“标志性建筑”的“灰鸽子”工作室表示,将停止研发“灰鸽子”病毒。但是由于“灰鸽子”源代码已经在网络上广为流传,“灰鸽子”的余威依旧将在互联网上肆虐。在“灰鸽子”和“熊猫烧香”之后,互联网黑色资金链条并没有发生改变。

  创富链条

  “熊猫烧香”的覆灭并没有危及黑色利益链的运转。

  “做病毒一定要低调。”

  黑客肖嘲笑着“熊猫烧香”的英雄主义,“圈内都知道,设计病毒忌讳带图标,像‘熊猫烧香’那样,形成了品牌,最终只能惹火烧身。”

  黑客肖今年30岁,在程序设计领域已经堪称“大师”级的人物,被称为“造枪人”,他可以为买家们制造出各种各样病毒——偷盗账户的、捕获“肉鸡”的、发送垃圾邮件的、发送广告的……

  在接受记者采访的前几天,黑客肖的QQ号被一位崇拜者在网上对外公布了,于是每天有几十个想购买病毒程序的下家主动来“敲门”。

  黑客肖非常谨慎,他尽量只把一个写好的程序卖给一个下家,“把枪卖得太多,传播的就越多越快,我可不能像‘熊猫烧香’那样引起民愤。”

  黑客肖有两台电脑——台式机和笔记本,在他房间的任何角落都能够上网,在接受记者采访时,他毫无表情地倚靠在沙发上,只有在打开电脑的瞬间,狡黠的表情才回到了他的脸上。

  “我们的圈子用QQ群和地下留言板进行联系,一切都是网上交易。我从来不和‘买枪’的人见面。这样只能增加风险。”“买枪人”是黑客肖的下家,也就是购买病毒的人,通常“买枪人”会在QQ群上“招标”——“想买一匹马用来做XX”,这句黑话的解释是,“想找人设计一个木马程序。”于是有能力造枪的人便去“竞标”。

  “‘买枪人’基本买两种枪。一种是他们需要的病毒,另一种是购买某个网站的漏洞,供他们入侵。”黑客肖透露,“设计简单的病毒,一般的程序员都会做,但是收入不多。原先普通的木马病毒只卖3000元,但是买家可以拿它赚取几十万元的利润——现在有了新的合作模式,即与卖家进行分账。”

  黑客肖所说的分账,有点类似出版业的版税模式,即“买枪人”的每一笔收益都给“造枪人”提成。据了解,熊猫烧香的程序设计者,每天入账收入近1万元。

   

  “这还不是最赚钱的,真正赚钱的是卖网站漏洞。这可不是一般程序员能做的,只有掌握了高超技艺的人才能在大企业的网站中找到漏洞。”黑客 肖有些得意,“由于找漏洞多数是企业之间利用这些设计漏洞进行攻击,所以一个漏洞可以卖到几万到几十万元不等。”

  不仅如此,黑客还会被要求设计病毒的升级程序以及反杀毒程序。

  产业链已具团伙性质

  “现在每台‘肉鸡’一周的租金只要7美分。”

  “不,中国只要9分,而且是人民币。”

  在一个内部会议中,公安部网监司的一位处长正与一家网络机房工程师对话。面对时价,该处长哑口无言。1万台“肉鸡”可以发送450万个数据包,占用4.5G的带宽,能够让绝大多数网站处于瘫痪的状态。这些“肉鸡”组成了一个中等的僵尸网络。

  据中国互联网安全的最高机构——国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)的监测数据显示,目前,中国的互联网世界中,有5个僵尸网络操控的“肉鸡”规模超过10万台,个别僵尸网络能达到30万台的规模。这些僵尸网络可以被租借、买卖,黑客们每年可以有上百万元的收入。

  2006年末至2007年初,类似僵尸网络这样的互联网安全事件,呈现出爆发式的增长。CNCERT/CC接到的报警数量超过日常的两倍。

  在网络病毒被制造者卖出之后,病毒的旅行才刚刚开始。

  “以一个盗窃虚拟财产的病毒为例,买枪的人拿到程序后,通常会雇佣一个僵尸网络来传播病毒。传播出去的病毒可以偷窃用户的网络游戏的游戏币,以及可以偷盗游戏中的武器,把偷盗的序列号发回到指定的信箱中。”黑客肖说。

  “僵尸网络是传播病毒的核心,但是也有比较简单的传播病毒的方法。”黑客肖笑了笑,“你早上起床,来到一个网吧,把网吧中的30台机器都染上病毒,然后你就可以回家等着收钱了。因为,来网吧的人基本都是聊天和打游戏的,无论是盗取Q币还是游戏币都可以获益。”

  这时,每台中毒的计算机、程序设计者或者是僵尸网络的持有者,都可以拿到五分到五角之间不等的收益。

  黑色产业链发展到这一阶段,已经出现了明显的分工,“一个团伙通常有十几个人,有人负责传播病毒,有人负责卖偷盗来的虚拟货币,有人负责洗钱。”

  “对虚拟货币的洗钱方式,通常是团伙内的人,在一个网络游戏上开设许多账号,比如偷来网络游戏中的一件武器,在这些账号上被多次转移后,再卖出。游戏公司也没有办法,因为不知道哪些账号是真的游戏玩家,哪些是买卖的人。”黑客肖说。

  其他偷盗来的虚拟货币则会以批发价向下一级代理出售。

  此外,黑客们设计的其他木马程序还会被刻成光盘,批量生产,进行销售。根据“独家性”和“功能性”,价格可能几十元,也可能上千元。

  还有一些黑客组织可以提供恶意广告插件的服务,使用户的电脑弹出特定的窗口。据透露,弹出窗口每千次的售价是12元,而国内目前至少有50家恶意广告代理商,据CNCERT/CC保守估计,年产值能够达到1.08亿元。

  2006年2月,公安部门抓获黑客组织“玫瑰骑士”,他们既攻击网站又代理广告,抓获时,其流动资金已达上千万元。

  在2006年的最后一天,公安部还抓获了一家专门进行网络敲诈的传媒公司,公司内部的几个人专门从事“拒绝服务攻击”,让用户无法登录相关网站,并向网站勒索钱财。他们最先只是花2000元购买了一个攻击傀儡僵尸的软件,随后向十多家网站发起攻击,其中3家网站在很短时间内便上交了3000元的保护费。

  侵蚀现实商业

  “想买到我的终端产品很容易。”黑客肖认为黑色产业链到了这一阶段,已经半公开或者全公开了,“通常处于下游的零售商会雇人在网站上叫卖。一天可以有几千或者数万元的收入进账。”

  “或者你在中关村大街上,向那些办假证的人问,卖不卖木马,多数不会落空。因为黑色产业链的终端已经与其他IT产品的终端进行了融合。”黑客肖说,“专业出售IT产品的柜台上,也可以购买到这些产品,有时,真的产品和偷盗来的产品会被掺在一起出售。”

  “盗卖虚拟货币的,通常在网上叫卖,不过最多的是与网吧老板联合。如果你在玩游戏时想买一件武器,只要一伸手,向网吧老板购买即可。”

  “至于利润可想而知,圈内有一个典型故事,当网络游戏的研发者还在艰苦创业的时候,偷盗游戏币的人已经开上跑车、买别墅了。”黑客肖回忆道。

  此外,攻击网站也是黑色产业链最终盈利的方式之一。一位曾经遭遇过网络黑客勒索的(网站)“站长”描述了与黑客“面谈”的情景。“在企业受到攻击后,我们和黑客只在QQ上简单沟通了一下,并相约在公司会面。就在公司的会议室内,黑客的谈判代表与我们面对面地谈判,他们开价5万元。”“站长”觉得当时情景很无奈也很滑稽,“我们开始讨价还价,最后谈定3万元,他们收到钱后,解除了对网站的攻击。”

  黑客肖有时也会对目前黑色产业链蓬勃发展的局面担忧,“中国的互联网道德正面临着崩溃的局面。”

  “国外的黑客还猖獗不到中国黑客这样——写病毒,还写反杀毒程序;中国存在大量的实体病毒,而国外黑客只是写一些病毒样本,不会去真实写病毒。最可笑的是,中国的病毒可以公开叫卖,这在国外是绝对不可能的。”

  2007年3月,“灰鸽子”事件的主角——灰鸽子工作室发表声明,表示将停止研发“灰鸽子”,并随后关闭了自己的网站。

  虽然“灰鸽子”已经停止研发,但是根据安天样本捕获体系上报的数据表明,木马、后门、蠕虫、间谍软件等恶意代码的产生数量依然呈上升趋势,而“灰鸽子”只是这些恶意代码中的一小部分,因此“灰鸽子”工作室的关闭并不会对恶意程序产生的大环境造成影响。因此恶意代码的防治工作还任重而道远,网民的网络安全意识依然要提高。

  2007年 1月,一家提供在线服务网站同样遭到了类似的攻击,由于还没有出现有效的防御办法,该网站只能被动地在全国多个地方加载服务器,每两个小时,换一个地方,并为此耗费巨资增加服务器。

  “原先在互联网上创业只要十几万元,现在没有上百万元,你别来玩!”该网站“站长”阿康正在与投资方谈判,他已经明显感到虚拟世界对现实商业环境的影响。

   

  

访谈

  决策层感觉不到互联网立法的紧迫性

  访国家计算机网络应急技术处理协调中心陈明奇博士

  《中国经营报》:“熊猫烧香”等病毒的泛滥,已经让我们意识到,黑色产业对现实商业环境产生的影响,你认为黑色产业链与现实商业社会的关系正在朝着何种趋势发展?

  陈明奇:互联网黑色产业链的存在正在摧毁大众对网络经济的信任,尤其是对网上银行等网络业务的信任。同时,相关的商业网站为了运行安全性,需要加大对网络安全的投入,这些将严重阻碍网络对商业领域的渗透。此外,更严重的是,互联网黑色产业链的存在,正在对青年的价值观产生着影响。互联网黑色产业链的暴利足以引诱青年人向其投靠,形成强有力的人才竞争。这些都将不可避免地对现实商业社会产生影响。

  《中国经营报》:中国刑法对互联网犯罪缺少明确、严格的规定,致使黑色产业链受害者成为新弱势群体,我们应该怎样加强在这一领域的立法?

  陈明奇:对待互联网犯罪,我们通常依据《刑法》第285、286、287条给予定罪。实际上,这3条应用起来非常困难。首先,在互联网上取证非常困难,因为多数攻击是病毒侵占了他人电脑,在机主不知情的情况下发动的,所以很难抓住元凶。其次,《刑法》规定的“重大经济损失”在互联网上很难认定。比如一个网站遭到攻击,用户无法登录,网站的广告流量受到影响,投资者暂停投资,这很难确定在某一个金钱范围内,但是对受害者影响却非常大。利用《刑法》第285、286、287条的漏洞,黑客们可以逃避惩罚、逍遥法外。

  欧洲的许多国家正在面临着与中国类似的互联网立法问题。德国的经验是,设立《个人数据保护法》,来防止黑客对个人电脑的入侵,已经产生了一定的威慑作用。中国需要注意现有各种法律法规与互联网现实的衔接,加强有关的司法解释,采取措施落实有关法律规定。

  《中国经营报》:针对互联网犯罪,你认为国家应建立一个怎样的协调监管、快速反应机制?

  陈明奇:一个假冒银行网站的存在可能只有一两天,但是对假网站执法则需要半个月的审批流程,这显然是无效的防御。

  目前,我国的互联网还没有一个统一的监察或者说管理机构,各个部门都是从各自角度,开展对互联网的管理,相互之间的协调机制远远落后于互联网的发展,应该完善有关的协调机制。同时,要对互联网犯罪转变观念,像欧洲国家一样,建立针对互联网犯罪的快速程序,才能使危害在发生恶劣后果之前,得以制止。

  《中国经营报》:管理层面对互联网安全认识是否存在误区?

  陈明奇:对于管理层来讲,互联网安全问题是一个隐性问题。根源在于掌握决策制定权的领导很少上网,感觉不到互联网立法的紧迫度。而大型企业有资金对安全进行大额投入,但真正能够感受到黑色产业链危害的是网民和中小企业,他们已经成为互联网上的弱势群体,同样需要救助。救助的方式可以多样,例如对符合救助标准的中小企业提供免费的网络黑名单,甚至赠送软件,限制对特殊网站的访问。现在,国家对这一问题的资金、人员投入还十分不足。本报记者索寒雪采访整理

  

透视

  网络上各色人等为了利益充当着黑色链条上的不同角色

  黑客道德底线在溃败

  互联网,这个迄今为止最为人类值得骄傲的发明,正在悄悄沦丧。

  利益越来越浓,道德被抛在脑后,传统约束机制的缺失,使这个虚拟世界越来越疯狂起来。

  80%-90%联网电脑都是或者曾经是被控制的机器

  “网络实质是少数人说了算,极少数人控制着普通大众,指挥着绝大多数弱势群体。” 信息安全国家重点实验室副主任荆继武认为。

  业内资深专家估计,有80%~90%联网电脑都是或者曾经是被控制的机器,而且这其中大部分人几乎没有什么察觉。有人可能因为别的问题格式化电脑而使机器重新获得“自由”,但接着又会成为另一个黑客的“奴隶”。因为大多数帮助黑客捕获“奴隶”的木马程序根本不会使电脑表现出任何症状,普通用户也就无从发现。

  在荆继武眼里,微软和英特尔已经将电脑性能打造得如大海般深厚,而网络攻击者则像针一样潜伏在深海里。“以前在386上,潜伏一个木马程序是不容易的,会因占用大部分资源而被发现,但现在对黑客来说太简单了,往你的机器里埋伏五个木马,你一点感觉没有,因为现在CPU如此强劲,微软的操作系统又是如此复杂。”荆继武说。

  专业网络安全公司绿盟科技的黑洞产品市场经理韩永刚承认,黑客统治下的网络世界,普通网民沦为新弱势群体的现象愈演愈烈,整个大众的安全意识没有明显提高,会有更多用户机器上的漏洞被利用,而成为“奴隶”。

  国家有关部门上演网络版“无间道”

  2000年的某一天,中国互联网络信息中心收到一封来自加拿大的邮件,邮件的发件人是加拿大的一个网管,他举报中国境内某IP地址的计算机一直向他们发起攻击,已经持续了一段时间,互联网络信息中心根据信中IP地址很快查到了发起攻击的机器——信息安全国家重点实验室的一台Linux服务器,这着实让实验室工作人员吃了一惊,“我们没干啊。”

  事实上,类似上面的这种攻击对于互联网上很多网站来说是家常便饭。“每天都有,只是大小的问题。” 国家计算机网络应急技术处理协调中心的一位专家说。

  在韩永刚的生活中,时常有这样的片段:半夜一两点钟,睡得正香时,突然电话响起,客户网络遭到了攻击,而且攻击流量很大,他就必须立即赶过去处理情况。

  攻击的发起者甚至不需具备任何电脑知识,只要有一个必备条件——钞票。因为以往为技术高手专利的黑客行为,早已在网络泛滥的时代商业化,网络上各色人等为了利益充当着攻击链条上的不同角色,没有了现实社会中道德束缚的虚拟世界,虚拟公民们的行为越来越肆无忌惮。

  黑客攻击服务甚至在网络上公开出售,按照攻击机器台数标价,如果需要5000台机器的攻击,租用一次则要5000元,这5000台机器早已被种下木马,全部听黑客指令行事,交钱后随时可以发动攻击。“被控制的机器五花八门,甚至还包括很多各部委的机器。”一位业内人士透露。

  韩永刚的日常工作中,几乎每天都要与数百兆的攻击流量斗法,“政府机关、运营商、企业用户所遇到的攻击频繁发生。”而作为黑洞产品经理,其任务就是将攻击流量吸收到“黑洞”里,经过处理将攻击包过滤掉,再将正常的数据包送达目的地,但他也承认分辨这两种数据包难度不小。

   

  为了摸清已经事实存在的黑客产业链,国家计算机网络应急技术处理协调中心甚至还上演了网络版无间道,与专业的卧底公司合作,派他们购买黑客攻击服务,与黑客商业组织建立联系,慢慢打入这个产业链内部后,调查其中的内幕。

  商业让黑客攻击动力越来越大

  自2006年底开始,大规模的网络攻击越来越多,攻击表现出的商业目的越来越明显。

  以前的黑客事件大多数是想显示自己的能力,攻击规模也较小,但现在经济利益越来越多地掺杂进来,当有经济利益摆在那时,发动攻击的动力也就越来越大,直至发展为一个完整的商业链条。

  在韩永刚看来,网络上的经济利益越来越大,将推动网络世界变得和现实社会一样,绘成另一幅活生生的人生百态图,这里必然存在有打手、流氓和黑社会。

  早期接触网络的人们恐怕都还记得,最早的黑客很注重自己的声誉,一般不做过多的破坏。但网络上的利益变得非常诱人后,就开始有越来越多的所谓高手为了获取利益而专门编写攻击代码。

  一位曾经从事过黑客攻击的匿名人士坦言,网络早已褪去最初信息共享平台的外衣,它所承载的利益越来越大后,有利可图、不择手段的事情就会有人去干。正如现实社会一般,商战中不可避免地要出现非正当竞争手段。“有很多人希望暴富,在这里人们不用遵守现实世界的规则,出现商业目的攻击事件就不足为奇。”

  网络社会,这个与现实联系越来越紧密的虚拟世界,似乎正在进入黑暗的中世纪,各类角色的道德底线在利益诱惑下不断溃败。

  

背景

  黑客嬗变

  上世纪70年代,黑客(Hacker)几乎还是一个褒义词,专指那些尽力挖掘计算机程序最大潜力的电脑精英。而英文单词Hack(劈砍)意即为干一件非常漂亮的工作。

  进入80年代,黑客已经演变为计算机侵入者的代名词。这一阶段,有一个名字不能不提——米特尼克,他在15岁时闯入北美空中防务指挥系统的计算机主机内,并且翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,然后悄无声息地溜了出来。

  此后,米特尼克不断制造着“光辉战绩”,直到美国联邦调查局在全国范围内对其进行通缉时,他还设法控制了加州的一个电话系统,以窃听追踪他的警察行踪。

  “巡游五角大楼,登录克里姆林宫,进出全球所有计算机系统,摧垮全球金融秩序和重建新的世界格局,谁也阻挡不了我们的进攻,我们才是世界的主宰。”这是米特尼克曾经的豪言壮语。

  进入21世纪后,黑客行为逐渐与经济利益联系紧密起来,在各种商业链条中,其身影若隐若现。

  利益的驱动,使黑客一词的含义正在悄悄地酝酿着嬗变,除了电脑编程高手外,营销、物流、心理方面的专业人才不断涌向黑客产业链。这种复杂的人员结构给整个社会带来的威胁,恐怕远比单一的技术人员统领黑客天下的时代要大得多。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:中国经营报 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行