 |
喧嚣一时的“艳照风波”,究竟是陈冠希电脑被盗外泄还是黑客入侵所为,香港警方正在调查。而今,这一风波正在淡出人们的视线,但其“后遗症”──“黑客恐慌”却受到空前关注。
黑客一词,源于英文“Hacker”。原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。时至今日,“黑客”却成为专门利用网络恶作剧甚至违法犯罪人群的代名词。瑞星公司关于《2007年中国电脑病毒疫情互联网安全报告》表明,黑客不只是为了窃取他人隐私,更大程度上是为了谋求巨额的经济利益。据称,病毒“工业化”在2007年度就形成数亿元的产业链。
黑客,所代表的究竟是正义还是邪恶,高尚还是卑劣?网络安全人才培养模式又该如何培育和完善?这些话题,绝非娱乐。
网络隐疾:
越互联越危险
一个不经意的点击,让从事广告工作的张小姐开始了一段噩梦。
一天,一位在广州工作的同学给张小姐打来电话,声称在某成人网站上看到张小姐征婚的帖子,帖子上不仅明白无误地写有张小姐的真实姓名、籍贯地址以及毕业学校,甚至还附有多张生活照。几乎与此同时,张小姐的手机就再也没有停歇过,几乎每隔数分钟就会接到所谓“应征者”的电话。
根据同学的提示,张小姐在某成人网站上看到这一消息。“大学毕业后一直留在苏州工作,朋友不多,从来没有向别人发过自己的照片”,张小姐感到困惑的是,是谁获取并发布自己的这些信息及照片呢?
公司网络技术人员的追查,让真相大白:去年底,一位合租的室友结婚后,张小姐独自住着两室一厅的房子。生怕浪费,她便在一家网站上发布出租房屋的信息,而联系方式则是自己的QQ。不久,一女子将张小姐加为好友。“我们公司的网络技术员查询后说,当时对方发给我的邮件携带了木马”,毫不知情的张小姐点击了这份致命邮件。
“如果点击了植有木马的邮件,就等于把电脑上所有的信息向对方公开”,采访中,一位有着7年网络技术经验的阿聪(化名)说,对方可以借此随心所欲地盗取或删除其中的各种资料、信息。
阿聪告诉记者,作为目前最常见的网络攻击工具,木马程序无需自己制作,只需上网搜索,然后根据自己的需要对木马程序进行设定即可,“只要设置一个对方完全依赖的邮件名,将木马程序打包隐藏在里面就可以了,一旦被攻击者毫无防备激活了木马程序,其电脑中的资料就会以邮件形式发往攻击者指定的邮箱”。如张小姐的遭遇,当时她所收到的邮件正是以“租房”邮件名,轻易骗得她的信任。
“只要你上网,就有被黑客攻击的可能”,阿聪说,虽说一些企业、单位都为局域网设置防火墙、杀毒软件,但互联网安全系统就像一扇门,有门就有缝,有缝就有病毒侵入的可能。据称,一些技术高超黑客所设定的木马程序,甚至能轻松闯过各种防火墙,正如“踏雪无痕”。
阿聪说,初级黑客大多以恶作剧为主,无非是为了满足偷窥欲望;但更多的黑客则借机盗取网络游戏装备、网银,而后进行倒卖,甚至也不乏一些攻击购物网站、银行网站盗取他人银行账号者。
并非危言耸听。据国家计算机网络应急技术处理协调中心统计显示,仅2007年上半年,中国大陆地区被植入木马的主机IP就比上一年增加了21倍,被篡改的网站数量也比上年同期增加4倍。据上海艾瑞公司调查,窃取网民银行卡密码的“网银木马”在2006年度就给中国网银用户带来了近亿元的经济损失。
对话黑客:
控制创造财富
人们对黑客的态度正从往日的景仰与崇拜,转向现今的痛斥和人人喊打。而对于黑客及其追随者来说,他们却热衷于“将自己的快乐建于他人的痛苦之上”。瑞星公司关于《2007年中国电脑病毒疫情互联网安全报告》表明,黑客不只是为了窃取他人隐私,更大程度上是为了谋求巨额的经济利益。据称,病毒“工业化”在2007年度就形成数亿元的产业链。
产业链从黑客培训开始。在百度上输入“黑客培训”四字搜索,就跳出430多万条相关信息。记者随机对两家培训机构进行QQ采访。
这是一家位于北京的公司,取名“黑客基地”。
问:我对黑客技术一点都不懂,如果我想学,那得多久能成为黑客?
答:这得看个人情况,比如你的学习时间、个人动手能力。但一般情况下,1至3个月就基本能入门。我们有些学员只坚持半年,就成了黑客高手。
问:我学会了黑客技术,是不是就可以随时控制别人的电脑?
答:经我们培训的黑客,技术都很高超,完全有能力控制别人,或者摧毁别人。
问:能不能黑掉别人的网站?
答:只要你掌握熟练的黑客技能,就可以随心所欲地黑掉别人的网站。
问:如果加入你们的会员学习,得多少钱啊?
答:从365元到1980元不等。交365元,一年内可随意下载由我们提供的嗅探、木马、破解、入侵等黑客工具,并提供教程;480元以上,就可学到实战攻击技术。当然,你交的钱越多,学到的技术就越厉害。
尽管对方表示“研究黑客技术是为了增加防御办法”,但交谈中,“借黑客技术赚钱”仍是对方谈论得最多的话题。据称,该基地每天新增学员就有上百名,另一家黑客培训机构的推广员,在接受记者QQ聊天采访时更是大秀口才。在他看来,学习黑客技术就是通过控制他人电脑以获得利润。嫌犯罪呢?面对记者的质疑,这位推广员大言不惭地说:“这就看你怎么理解了,如果用来除暴安良,我就是侠;如果用来打家劫舍,那我就是盗。侠和盗的区分,是别人判断的,自己操这个心干嘛?”
在这位推广员看来,病毒买卖、黑客培训就像上菜场一样便当,“只要你会打字,认识26个英文字母,用上一两天的时间就可以成为黑客”。
黑客技术:
科学还是巫术
事实上,两家受访黑客培训机构只是“黑客帝国”的冰山一角,其通过培训获利的方式在整个产业链仅处于最初级的水平。去年“熊猫烧香”病毒案告破时,病毒贩卖者王磊就曾一语道破天机:“这是一个比房地产来钱还快的暴利产业!”而据该病毒程序设计者李俊的交代,他从中获利上千万元。
在巨大利益的诱惑下和大浪淘沙之后,“黑客帝国”发生了深刻的流变:一部分人进入网络信息安全领域,成了维护网络秩序的专家;而有的人却为了谋求暴利而游走于法律边缘。
那么,黑客技术究竟是科学还是巫术?有人作出这样的评判:刺刀还在,思想已经滑落。发生在我们身边的这些案例就是最好的佐证──
2002年5月,苏州某中学教师罗某向江苏省教育厅会考办的考试服务器发动攻击。他以黑客身份两次闯入省会考办的考试服务器,一共删除全省中小学信息技术等级考试文件100多个。
2003年11月,苏州若干政府网站遭到黑客攻击。其中,苏州工业园区某部门的网页由于被色情内容覆盖而成了“重灾区”。警方通过严密监控,并用技术手段在网络里删除有关“问题内容”,方才让被“黑”网站基本恢复正常。
2005年1月,张某在家中成功侵入一家美国电子交易网站,直接打开在美国的境外网站上注册的资金账户,先后多次将受害人资金账户上的2499美元(折合人民币20682元)转入自己的资金账户中,占为己有。
……
“对计算机信息系统功能或系统中的数据和应用程序进行删除、修改、增加、干扰,故意制作、传播计算机病毒等破坏性程序,并造成计算机信息系统不能正常运行的,都触犯了刑律”,昨天下午,苏州市公安局信息网络安全监察处网络侦察行动队的李晶警官说。
2002年,苏州正式成立“网络警察”。“成立之初,苏州每年的新网民都在翻倍增长,到去年,增长率也超过33%%”,李晶说,与之同步增长的,则是层出不穷的“黑客”以及“黑客”所引发的网络犯罪案件。
网络反黑:
一场全民战争
在李晶看来,在完善现有打击和威慑机制的同时,网民的安全防范意识更需提高。
他以成都大学网上盗取苏州学生奖学金案为例说,作案者宋某的黑客技术其实并不高超,他在网上看到一组大学生的个人信息,其中包含完整的身份证号码。他就逐一用身份证号的末位六位数成功窃取奖学金,“不少案件都在反映同一个现象,被攻击者所设置的密码极为简单,这等于向盗贼打开大门”。
而更多的被攻击者,颇有咎由自取的味道。李晶说,一些人经常登录境外色情网站,而这些色情网站的文件中都附带盗号、窃取口令的不良程序,只要一经点击,黑客就可借此轻松攻入。除此之外,李晶建议网民格外警惕“陌生邮件”或“不信任邮件”,“目前,黑客正利用香港艺人的激情照制作病毒,如果打开此类邮件,电脑就会立即中毒”。
同样值得提醒的是,一些人在出于好奇心下载网上木马、嗅探等黑客工具的同时,也让自己的网络安全增添一份危险。“经我们调查,99%%的黑客工具自身携有潜在病毒,下载这些黑客工具的同时,也向黑客工具提供方暴露了自己的QQ、邮箱、网游密码”,李晶说。
事实上,“网警”也面临着监管难题。法学界人士说,对网络流行的QQ币、网络装备等虚拟财产,法律并未对其价值的评估作出界定。同样,目前的《计算机信息网络国际联网安全保护管理办法》虽明确制造和传播病毒系违法行为,但对于木马、黑客程序等也没有清晰的界定。
加大对网络技术人才职业素养的培养,成了互联网时代急需解决的课题。2007年度令人闻之色变的“熊猫烧香”病毒设计者李俊在案发后交代,他是一名技校生,多次求职受挫后产生心理落差,遂报复性地设计出“熊猫烧香”病毒。据警方称,从2006年底到2007年2月,该病毒共感染11万个IP地址。
“在实际教学中,我也发现有的学生综合能力很强,但一旦剑走偏锋,就会蜕变成‘网络杀手’”,苏州大学计算机科学与技术学院一位专家认为,网络安全技术是一把双刃剑,用得好可以为社会创造效益,反之,就极有可能给社会造成恶劣影响。
“我们当然不能因噎废食,关键在于如何教育引导”,这位主攻网络安全的专家表示,目前,教学内容正从单纯的网络技术向培养复合型人才转型,“在提高学生技术水平的同时,更需培养他们良好的职业素质和法制观念”。