真相难觅的“外国政府网站遭中国军方黑客袭击事件”,在中国威胁论等政治层面的揣度中,渐入尾声。
背后真正应提醒的网络安全,却常常在政治话语间被忽视。
“联网计算机不采取安全防范措施,只要是开着,总有一天会成为黑客的猎物。”许榕生,这位中国国家计算机网络入侵防范中心首席科学家坦言,我国信息安全的形势十分严峻。
网络反黑,中国究竟还缺什么?
愈互联,愈危险
仅仅在2007年上半年,中国大陆地区被植入木马的主机IP远远超过去年全年,增幅达21倍;被篡改的网站数量比去年同期增加了4倍。
作为去年中国互联网的一个标志性事件,“熊猫烧香”病毒成为众多网民的噩梦。病毒从2006年底开始肆虐,截至今年2月,共发现11万个IP地址被感染。
在中国早期黑客、原“绿色兵团”成员周帅的眼里,互联网真正安全的措施只有物理隔断,“有门就必然有缝,有缝就有被侵入的可能”。
这并不是夸辞,如今的黑客技术早不是中美黑客大战时的人海战术,不停PING 对方网址,或乱扔一气邮包炸弹,以堵塞对方的带宽而导致网络瘫痪,“在圈子里,那是杀敌一千自毁八百的落伍战术”。
现在黑客则主要依靠远程攻击,一则针对服务器,寻找对方程序漏洞,侵入,既而蔓延对方网络,另一则是针对个人用户,远程植入木马程序。“技术好的黑客所用的木马程序,都是定制的,一般病毒软件和防火墙都不会有反应。”
为了反追踪和隐身,现在的黑客还往往采用第三方攻击,即选取跨地区或跨国界的第三方电脑或服务器作为跳板,一旦对方跟踪,几乎不可能追溯到攻击的最终来源。
如果说早期的黑客攻击或出于恶作剧以炫耀为目的,或出于民族情结和爱国情绪的话,互联网大规模商用之后,黑客犯罪呈现出趋利化的趋势。
以深圳为例,作为全国最早成立网监局的城市之一,深圳网监局每天接到的网上盗窃游戏账号、QQ币,甚至银行密码的案件就达到30例,且呈日益上升的趋势。
“集团化、专业化趋势明显,有上线专门负责盗取,有负责网络汇总,有下线负责网上销赃。”深圳市网监局一位官员介绍。
更为严峻的是,在网络许多黑客速成软件和培训班的运作下,黑客的门槛越来越低,“黑客软件已经傻瓜化”,只需数百至上千元就可获得并掌握,一位网名为Angel kiss的培训者告诉南方周末记者,运用他教授的入侵技术,再借助网上随处可以下载的漏洞扫描工具,一个初级黑客一晚上可以入侵十来个网站。
“用黑客产业链来形容,毫不过分,甚至还在日益升级。”上述官员称。
道高一尺,魔高一丈?
中国从未停止过网络反黑的步伐。
许榕生开发的“取证机”已经在中国南方地区推广,可以像飞机“黑匣子”一样记录服务器的变化情况,记录黑客入侵的蛛丝马迹,同时作为“证据”来提取,以备查证。
国家层面的努力也一直持续,1994年2月,《中华人民共和国计算机信息系统安全保护条例》出台。1997年修订的刑法中,增加关于计算机犯罪的条款。
1998年起,公安部正式成立“公共信息网络安全监察局”,此后各地公安局也纷纷成立网监部门。2000年10月由政府支持的国家计算机网络应急技术处理中心(CNCERT / CC)成立,以此为核心,建立起31个分中心。
而民间层面,截至今年7月,中国有网络安全应急组织57家,包括骨干网络运营单位、社会安全防范机构、公司、大学和科研院所等。
五年前,许榕生还曾对南方周末记者表示,正积极呼吁成立网络反黑部队。
一张密集的反黑客网络正日益严密,且试图像互联网一般,与国际接轨。
2007年8月,美、英、法、德等国竞相指责中国黑客肆意攻击外国政府和军方网站后,中国政府一方面就指责黑客来自中国军方的说法进行了澄清,同时也主动表态,愿与别国政府共同查清黑客攻击真相,联手打击黑客犯罪。
但正如互联网技术没有尽头一般,打击黑客的举措也必须日新月异,所谓“道高一尺,魔高一丈”,中国的网络反黑依旧任重而道远。
中国网络反黑缺什么?
在公众视野里,黑客犯罪带来的网络安全忧虑丝毫没有缓解。
首先是,普通网民安全防范意识不高,许榕生说,即便在高能物理所这样的科研单位,计算机中毒或受攻击也时有发生。
周帅告诉南方周末记者,黑客攻击,需要的只是一个漏洞,“一着不慎,往往全网皆输”。
提高网民的安全防范意识,看似非一日之功,而完善既有的打击和威慑机制,似可始于足下。
有法律专家指出,中国既有刑法虽然增设了计算机犯罪条款,但条款只针对违反国家规定,侵入国家事务、国防事务、尖端科学技术领域的计算机信息系统规定为犯罪,其范围过于狭窄。
尽管2000年的《全国人大常委会关于维护互联网安全的决定》又对侵入个人、企业及其他组织计算机系统的行为进行了司法鉴定,但比照的是刑法其他一般罪责条款。专家建议,只要是未经许可(或未具备相应的职权)非法侵入的,不管其对象是国家核心部门的系统,还是普通公民的个人系统均应按“非法侵入计算机信息系统”定罪量刑。
其次,既有相关法律中对于侵害信息系统犯罪的定刑刑种单一,难以发挥刑罚的惩戒功能。
深圳网监局在打击计算机犯罪中已经遭遇司法难题,比如“网络钓鱼”所盗取的类似QQ币等虚拟货币,如何评估其价值,法律无相关规定。
此前,该局曾破获一起盗窃QQ币的团伙作案,QQ近亿元,因为定性困难,不能以盗窃罪论处,最后是以破坏通讯设施和秩序论处。
事实上,中国目前的网监部门还依照传统的省市县层层设立,以属地管理为界,造成管控分散,难以适应黑客犯罪日益跨区域化的特征。
“到了地方县一级,即使有网监部门,也往往人力、财力、技术不足,对于网络安全起不到实质保障作用。”该局一名官员说。
此外, 许榕生对中国网络安全人才培养模式和任用机制表示了忧虑。
在国家一些很重要部门,“要留住一两个网络高手谈何容易?这些人才流动性很强,环境与待遇都是现实问题。如果这些‘网络卫士’都没有安顿好的话,你的网络由谁来保护呢?”
而法律和计算机复合型人才更是奇缺。“国外有些大学的计算机系专门增添了法律课程,定向培养计算机取证人才,我正在推动国内的大学做试点。”
我们的政府网站呢?
“中小企业最容易,政府居中,银行最难。”黑客Angel kiss对南方周末记者如此排序入侵难度。
今次外国政府网站被攻击事件,自然衍生的担忧是,中国自己的政府网站安全性如何?能否应对来自异国的黑客攻击?
截至目前,中国各级政府网站实施“两网一站”建设,即外网、内网和门户网站的架构。
“外网主要传输可以公开的一些业务信息,而内网则传输一些不涉秘密的内部文件,要求与互联网实行物理割断。而最重要的机要秘密文件则由安全要求更高的机要网来承担。”洛阳市信息中心官员向本报记者介绍。
就全国而言,公安、税收、财政等纵向系统都有专门的安全工程确保内网安全,比如金盾工程,“但在横向上彼此联结不够”。
“最终地方的信息安全还是取决于地方重视程度和安全意识。”这位官员举例说,洛阳某区的政府网站被黑客攻击,检查后才发现,当地技术人员不按规范,连防火墙设备都没有安装,以裸网面目敞开,当然容易受攻击。
国家已对各级地方网络实行了5级等级保护制度。“但政府既有的惯性往往都是重硬件,轻管理,有设备不用,不常用,当然也有安全投入和人手技术储备的问题。”