“根据往年的经验,高考前后的几周内,针对教育网站的黑客攻击将进入高峰期。”下这个判断的范渊是杭州安恒信息技术有限公司总裁,该公司的业务是为网站抵御黑客袭击提供安全产品和服务,很多教育部门的网站都是他们的客户。
黑客们试图通过相应的攻击工具实现对教育网站的渗透,篡改页面内容,甚至进入数据库修改内容,背后的经济利益不言而喻。
类似的攻防战几乎每天都会在网络世界上演。“从制造木马病毒、传播木马到盗窃账户信息、第三方平台销赃、洗钱,一条分工明确的网上黑色产业链已经基本形成。”中国互联网协会副理事长黄澄清表示,病毒制售产业链上的每一环都有不同的牟利方式,这也让网民对“互联网地下经济”防不胜防。
黑客转行开房地产公司
黑客刘明(化名)熟练地敲了几下键盘,屏幕上就出现了被攻击者的相关信息。“这些电脑都中了我的木马病毒,但电脑的主人自己并不知道。”刘明解释说,这些中了木马病毒的电脑被称作“肉鸡”,意指这些电脑已经毫无反抗能力。
说这话时,刘明正坐在位于上海市郊的租赁房里,2008年大专毕业后,他就几乎没有找过一个“可以印名片的工作”,现在每天的工作就是“抓肉鸡”,每累计到1000个就卖给下家,一般能获得500元的酬劳。
刘明所从事的,只是这条黑色产业链上最低端且最没有技术含量的一项工作。在《中国经营报》记者表达匿名采访的愿望后,MARK终于决定跟记者说一说“圈子里的故事”。1998年,一场至今仍被很多国内黑客津津乐道的中美黑客大战爆发,无数青少年加入“战斗”,MARK也是在那一年进入这个圈子的。
“现在我们最早的那拨儿人,有人拿当黑客时赚的钱,在杭州开了房地产公司。”MARK说,那批人至少有60%已经跳出了这个圈子,一方面是挣够了钱,另一方面也是黑客这个圈子越来越商业化,与他们最初的理想已经背道而驰。由于转行后依然在做网络安全方面的工作,MARK如今依然与黑客圈子联系紧密。
首先是制作木马的群体。这些顶着技术专家头衔的群体并不参与直接的攻击,而是发现、贩卖漏洞,或者制造工具卖给别人。这样的木马工具开发出来,一般能卖到3万元,或者根据木马传播范围的数量,他们拿提成。“这个群体里中上等水平的,月收入能达到30万元。”MARK说。
第二个群体就是像刘明那样使用工具的人,这也是这个产业链里数量最为庞大的一群人,他们中的很多人整天都泡在网吧。他们拿到了现成的工具,在各大论坛内发帖挂马,或者直接攻击网站,盗取用户信息。这是个体力活,做得好的一个月的收入能到4000元。
接下来是代理人和流量商。代理人多数技术水平不行,但一般在行业里有广泛的人脉。他们负责在黑客与有各种需求的客户之间牵线搭桥,促成客户雇用黑客“黑”网站交易的完成。行情好的时候,400万元的年收入不在话下。
而流量商手上往往握有数十万台“肉鸡”,他们或受竞争对手的雇佣,对目标进行DDoS攻击 (Distributed Denial of Service,分布式拒绝服务,俗称炸服务器),通常是以消耗服务器端资源、迫使服务器停止响应为目标,这也是很多中小网站和网游公司非常头痛的一种黑客攻击方式。
网游因黑客年损失超百亿元
廉明是上海一家网游公司的安全主管。随着网游道具的商品化,网游已经成为国内黑客攻击的一个重灾区。
廉明的团队每天上班的第一件事,就是玩“潜伏”。他们会安排专门的人进入到各类网游黑客技术交流的QQ群,看看他们在如何评价自己公司的游戏。这样的信息收集过程非常重要,可以帮助公司及时发现游戏程序的漏洞,有针对性地加固游戏中的安全模块防范并升级。沪上各家知名网游公司的安全部门,也都有横向联系的QQ群,用于及时通报黑客动向。
当然,公司的客户服务系统也与他们保持着紧密的联系,玩家的装备被窃,或者有玩家举报其他玩家使用外挂,这些信息都会很快汇总到公司安全部。
实际上,与庞大的黑客产业链相比,这些网游公司的安全团队,无论在人力、技术还是在装备上,都要远远落后。“如同国际上很多动乱的区域一般,反政府武装装备的先进程度,要远高于政府军。”廉明略带无奈地说,他们能做的,也只能是被动的防御。
如果将廉明的工作内容说得更直白一些,可归纳为防木马病毒、防外挂和防私服。其中,木马主要被黑客用来盗窃玩家的帐号密码,以及游戏里的装备。外挂则被植入到游戏中,提高玩家在游戏里的收益,这些虚拟收益又会经过专业的“打币公司”之手,转变为现实中的财务。而私服的出现则往往源于黑客入侵获得游戏的原代码,再由小的公司“复制”出一个新的游戏,由于私服的运营更灵活,往往一个私服的游戏玩家数量,比正版游戏的玩家还要多。
种种黑客行为对网游公司造成的损失也显而易见,不仅核心玩家会因道具被盗流失,公司的业绩也会因私服的大量存在而被分流。在2009年年末时,盛大游戏前CEO李瑜(微博)即在公开场合表示,黑客2010年给整个产业带来的损失将超过100亿元。
政府类网站亦成“重灾区”
今年3月,两名仅有初中学历的“90后”,因非法侵入最高人民检察院反渎职侵权厅网站后台,非法控制长沙质量技术监督局等十多家政府网站,经北京市朝阳区人民法院一审获刑,引发一轮热议。
据国家互联网应急中心的监测报告显示,仅2010年5月10日至5月16日一周内,中国境内就有81个政府网站被篡改,其中包括4个省部级网站,还有25个地市级网站。江苏省通信管理局亦于近日证实,该省政府网站已成为黑客攻击的“重灾区”。
有业内专家认为,政府类网站频频被黑,一方面缘于很多政府网站尤其是基层政府网站安全漏洞多,另一方面,也是因为搜索引擎给政府类网站的权威值评重高、网页级别高。这类网站更易于获得更高的搜索排名、更高的点击率,黑客可以得到更多的肉鸡。
但更为重要的是,黑客已经从政府网站找到了盈利的空间。前文所述的教育网站遭受黑客攻击,是因为此后的一系列诈骗案与此有关。
过去的案例显示,有高考生或自考生家长在发榜前接到电话,被告知缴纳一定数额的费用可帮助他们的子女顺利“上榜”,而且承诺“事后付款”。到放榜时,家长们打开教育部门网站时,确实发现子女的分数如之前对方承诺的一般。事后经查,网站上的考生分数是由黑客入侵更改所致。
杭州安恒:反黑成就白生意
黑客产业链的蔓延不仅让很多黑客从业者盆满钵满,也让一些反黑客的公司找到了存在的经济价值和社会价值,成立不到5年的杭州安恒信息技术有限公司(下称“安恒信息”)即是其中的一家。
“2009年起,公司的收入就一直保持着100%的增长,2010年达到4000万元。”安恒信息总裁范渊表示,这一方面缘于公司安全产品的成熟,另一方面也是由于国内黑客产业链膨胀过快所致。
在成立安恒信息前,范渊一直在美国工作和学习。2005年,范渊有关Web安全的硕博课题,引起黑帽子大会主办方的关注,并受邀在当年的大会上作了演讲,成为在该大会上演讲的第一个中国人。以后逢人问起,范渊总是愿意回答,自己其实是一个白客。
每年的7月底和8月初,国际黑客界的两大顶级盛会——黑帽子大会和黑客大会,都会在美国的拉斯维加斯举行。各路黑客在这两个会议上或展示各自绝技,或分享黑客攻击相关的研究成果和资讯。
正是意识到Web安全、数据安全市场的潜力,并且感觉该领域在中国会有更好的市场空间,2006年圣诞节时,范渊携妻带子回国创业,招兵买马创办了杭州安恒信息技术有限公司,埋头研发部署在Web客户端与Web服务器之间的Web应用防火墙。
范渊认为,随着企业Web应用的不断多样化,传统网络安全领域“老三样”——防火墙、入侵检测以及防病毒,已经不能解决Web应用爆增带来的诸多安全问题了,而电子政务、在线营业厅、网上银行等新事物对Web安全产品的需求则会愈来愈强。
但创业开始时,范渊的路走得并不顺。他当时拜访一些客户,跟对方谈Web安全,大多数人都不以为然。范渊听到过的最多的回答是:“网站被黑了也没啥,事后恢复一下就好了呗。”
转机出现在2008年,当时国际网络安全界接连出现“ANI漏洞”等事故,成千上万的网站被挂上木马病毒,大量网站的利益和名声受损。2008年5月,安恒安全研究服务团队在某网站应急响应中,首次发现并处理了全球性的网站群注风暴攻击,并且在国内首家发布了红色预警。
几乎与之同时,国内电子商务网站开始崭露头角,在线支付逐渐流行,越来越多的公司和机构开始意识到Web安全的重要性,范渊公司的业务也开始有了起色。自2009年起,安恒的营收出现快速增长,客户遍及银行、通讯等多个行业。
但真正让安恒公司在业内“一战成名”的,还是在他们作为2008年北京奥组委以及2010年上海世博会的安全产品服务的提供商之后。经过了奥运和世博的“大考”,安恒信息的名声在业界大振,由此获得了一部分客户的认可。
“未来随着手机支付和云计算的应用,黑客必然会开辟新的战场,我们这类公司产品的应用也必然会越来越宽泛。”对于公司的未来,范渊很有信心。
齐向东:黑白较量将持续下去
黑白较量将持续下去
访国家计算机应急中心
反病毒联盟专家齐向东
随着互联网经济的快速发展,黑色产业链的逐渐膨胀,以及上下游分工更为精细化,这已经成为业界的较为普遍的认识。《中国经营报》记者专访国家计算机应急中心反病毒联盟专家、360安全卫士总裁齐向东,就国内黑客行为的现状、趋势及特征等话题进行了采访。
《中国经营报》:2007年前后,“熊猫烧香”等事件的接连发生,曾引起一轮针对黑色产业链的全民讨论。在您看来,4年后,国内黑客行为有了哪些变化?
齐向东:在2007年那个阶段,黑客行为通常比较直接,通过实施网站攻击,使木马进入浏览相应网站的个人用户的电话,从而窃取网游帐号、装备等实现获利。这几年来,随着网络安全厂商技术升级,传统木马攻击的行为已经得到有效遏制,攻击方式变得更隐蔽、更加多元化了。
如果说以前盗号木马主要是以网站挂马的形式传播,如今则转为聊天工具、游戏在线信息等SNS方式发送外挂下载链接,在恶意外挂中捆绑木马,或者通过钓鱼网站假冒游戏官网活动,以派发大礼包、免费装备等为诱饵,套取玩家的帐号和密码。经360安全中心检测,仅此类以游戏盗号为目的的钓鱼网址,目前数量已达到2万多个。
另一种隐蔽的方式是,他们已经开始在分析个人用户登录公司网站时的方式了。比方说A用户是通过搜索引擎打开B公司的官方网站的,他们提前布置的跳转代码会使该用户实际登录到一个假冒的网站,以“中奖手续费”等名义欺骗网民的钱财。此类钓鱼网站虽然并不直接盗号,但能使不法分子更轻易地获得经济利益,目前“中奖类”游戏钓鱼网址数量超过12万个。
《中国经营报》:在形成产业链后,黑客行为大致可分为哪些阶段?
齐向东:2007年至2008年,当时盗号木马十分猖獗。方式就像我刚才说的,通过网站挂马的方式获利。2008年到2009年,以刷流量为目的的木马开始盛行,具体方式就是通过木马更改用户的桌面图标或浏览器首页,相当于将众多用户劫持到指定的网站上,为黑客刷流量赚取广告费。2009年至2010年,欺诈型的木马开始增多,通过股票分析、彩票预测等方式骗取“会员费”、“手续费”等。
2010年以后,随着电子商务的爆炸式增长,普通用户使用网银进行网购的方式开始普及,在网上盗取网银帐号密码,或者利用其他方式获利的情况越来越多。
《中国经营报》:能否预测一下未来黑客产业链的趋势?
齐向东:总的来说,整个产业链是在逐渐膨胀的,但我们需要注意一个背景,即中国互联网的增长速度是非常快的,且包括网上银行、在线支付在内的诸多网络应用更加普及,可偷的东西变多了,非法获利的途径在增多,获利空间也在变大。
但我们能看到整个黑色产业链的增速有减慢的趋势,至少是远低于互联网的增长速度的。黑客们的成本也在增加。比方说以前做一个木马,一个月内可以让100万台电脑成为“肉鸡”,那么现在可能只有10万台电脑会中招。
《中国经营报》:未来哪些行业将是黑客重点攻击的方向?
齐向东:未来黑客行为必然愈发呈现多元化的特点,其中两个方向值得关注,首先是黑客行为的目标从互联网的PC机转向移动终端,黑客会在普通用户的移动设备上部署恶意软件,获利的途径也非常多。值得注意的是,相比于个人电脑,手机里的信息往往更加贴近普通用户的隐私或财产信息,因此造成的危害可能会更大。另外,随着云计算的发展,越来越多有关其安全性的问题会逐渐浮出水面。
《中国经营报》:如何应对仍在膨胀的黑色产业链?
齐向东:其实黑客与我们安全厂商的关系就像矛与盾。作为矛方,黑客们每天都在升级自己的技术,希望能够攻破更多的电脑。而在安全厂商这边,也会不断地升级自己的设备和技术,以抵御黑客的攻击。这场较量会一直持续下去。
我认为,要有效遏制黑色产业链的蔓延,至少需要三方的共同努力,除了我们安全厂商外,政府的职能部门需要更加重视黑色产业链所带来的危害,完善监管体系,加大打击力度。普通网民也应提高防病毒防木马的意识,至少不要做到“引狼入室”。我们庆幸地看到,近两年来,作为遏制黑色产业链的“铁三角”,政府、厂商和用户的作用都在增强。
本专题稿件均由本报记者宋文明采写
本文来源:中国经营报 作者:佚名