黑客雇佣服务
提起WannaCry,大家都很熟悉了。这个中文译名为“想哭”的病毒在2017年5月中旬席卷了全球,造成规模不小的恐慌与大范围的探讨,的确让很多人都想哭。这个病毒的源头就来自暗网,与著名的黑客组织Shadow Brokers(影子经纪人)在地下黑市公布的漏洞利用工具有关。
暗网和地下黑市售卖武器毒药、恶意软件、漏洞利用工具等各种商品,也出售黑客服务。而且近年来,表网上也出现了一些黑客服务中介网站。
对于新手黑客(常常被有经验的黑客称作“newbie”)而言,在地下市场中,可以从经验丰富的黑客那里购买到各种教程,学到很多知识。黑客教程的主题从“基础知识梳理”到“通过网上购物网站获得个人信息包或信用卡信息”;从“如何攻击ATM 获取比账户余额更多的钱”到“如何100%成功获取银行转帐”。一个解释各种网络犯罪活动的教程包也许只需30美元,而个人培训教程甚至低至一美元。有些指南和教程是电子文档的形式,有些则是视频。高级黑客在视频中直接演示了自己黑掉某个网站或者窃取到某张信用卡信息的全过程,同时再加上解说。这样的教程更加直观,更受欢迎。
窃取信用卡、支付凭证、各类账号密码等数据信息
地下黑市较常见的黑客服务就是窃取信用卡、支付凭证、社交账号、邮箱账号等各种数据信息,与现成售卖的数字资产相比,窃取数据信息的服务更加私人化、定制化。
这类服务很受欢迎,是因为可以以很低的价格获取巨额资金,不论对买家还是对黑客,性价比都很高。
个人信息搜集和调查(Doxing)
如果有人怀疑自己的伴侣不忠想要跟踪ta的手机,如果有上司怀疑员工是间谍想要调查员工背景,那么可以使用黑客提供的Doxing服务。黑客会针对特定目标在社交媒体网站、公共信息网站或通过恶意软件和社工手段查询搜集背景信息。这类服务的售价从20美元到100美元不等。
DDoS攻击服务
另一个常见的服务是DDoS攻击。很多黑客都在网站上打广告,表示自己的服务可靠、周到。
值得注意的是,不仅暗网上黑客雇佣服务繁荣发展,表网上如果搜索Hacker Service 也能看到一些专门出售黑客服务的网站,宣称可以道德地提供黑客服务。
这类网站通常充当平台和中介。它们会列出用户的需求和要求,供黑客选择业务;也会挂出黑客列表,由用户自主选择合作。
这些网站的一大共同特点就是不断地宣称自己的“Ethical(道德)”与“Professional(专业) ”。在网页上,他们用大段直白且看起来诚恳的的文字介绍自己,以此来获取用户信任。
而事实上,这些网站提供的业务看起来并非真的“Ethical”,虽然不像黑市的黑客服务那样明显地触犯了法律,但也的确侵犯了法律所规定的公民权利。
有一些业务宣称是帮忙找回密码、保护自身数据等所谓“合法”内容,但有一些业务如入侵Twitter等社交账户、入侵邮箱等,很明显已经侵犯了公民隐私。而且跟黑市的某些黑客雇佣服务类似,表网上这些黑客雇佣服务也包括教程、贴士等内容。
近年来,随着各国之间网络能力的比拼愈加激烈,政府雇佣黑客的现象也变得寻常。一些在网络发展方面比较靠前的政府或多或少都暗中与某些黑客组织有联系。当然,各国政府都不会承认自己与黑客组织有关,最多会在攻击的IP地址或特征分析曝光之后,说一句自己是被栽赃的。而事实究竟如何,大家可能都心知肚明。
也许,随着网络世界愈发成熟,攻防技术的要求会越来越高。而主动的攻击总是比被动的防御要走的快一些,黑客技术比防御技术更先进,黑客才最有可能与黑客对抗。因此,政府与黑客组织之间的雇佣关系,短时间内并不会有大的改变甚至可能还会愈演愈烈。一方面,政府利用黑客组织的高超技术,可以秘密实施间谍活动、进行网络监听等;另一方面,黑客组织有了政府支持,活动起来更加有恃无恐,甚至高枕无忧。
此外,国外的NSA、FBI,国内的互联网巨头公司也渐渐把目光转向了黑客雇佣上。不过他们的黑客雇佣更确切一点讲,可以叫做黑客人才发掘与培养。他们关注高校学生中有潜力的黑客群体,通过各类CTF比赛来发掘人才,招入麾下,为己所用。
黑客雇用市场正蓬勃发展,最初纯粹的黑客精神 也许难以为继。看起来,现在 很多黑客更多是在利益的驱使下开展各种活动。他们利用互联网发展的大潮、利用网络的主体——无论如何都可能出现 bug的人,通过各种技术躲避法律的追查和道德的审判,游走在法律和道德的边缘。而随着国家、企业和个人对网络安全的重视程度增加,各种网络安全法律相继出台,安全措施越来越完善,这些提供黑客服务的卖家和中介,也许是在刀尖上跳舞,在悬崖边狂欢。
黑客雇佣服务市场是客观存在的,带来的影响也在日渐凸显。从国家到个人,从企业到研究人员,都可以从自身出发,对此类现象进行防守与反击。
国家层面
2017年6月1日,《中华人民共和国网络安全法》正式全面施行,这意味着中国在网络安全方面迈出了重要一步。在内容上,从个人到政府到企业都有涉及。此外,2016年4月欧盟通过了《一般数据保护条例》(General Data Protection Regulation),将于2018年全面施行。条例对个人信息保护及监管非常严格,被称为个人信息保护里程碑式法律。
各国政府在打击暗网犯罪方面也有所突破。就在2017年5月31日,黑市中名噪一时的大型毒品交易网站“丝绸之路”创建者罗斯•乌布利希(Ross Ulbricht)上诉失败,终审被判无期徒刑。早在2015年,乌布利希就被FBI逮捕,而这场艰辛的追捕是从2012年开始,长达三年之久。
近年来各国在网络安全和打击黑市犯罪方面有所突破,但仍然任重而道远。而且随着技术的发展和网民的年龄越来越低,各国需要考虑从教育入手,给予学生在网络安全方面正面积极的引导,将相关领域有潜力的学生培养成可靠之才而非成为歪才。
企业层面
新实施的《网络安全法》明确了企业维护网络安全更具体的义务和责任。在网络安全发展和黑市打击方面,企业首先要提高安全意识,认识到企业数据安全和用户、客户数据安全对企业发展的重要性以及信息泄露的危害性,并给员工开展安全培训。其次,最好能设置专业的安全团队或者与可靠的安全公司合作,为企业的网络安全保驾护航。
此外,近年来,有越来越多的大企业开始实施漏洞奖励计划,为主动提交漏洞的白帽黑客提供资金奖励,这样的举措在一定程度上也有利于将黑市中的黑客拉到白帽的阵营。
对于本身就是安全公司的企业而言,可能需要加强信息共享,在安全应急响应方面更快,更团结,形成安全领域联动共进的良好生态。
个人层面
对于普通网民而言,可以多了解网络和计算机基础知识,提升自身的网络安全意识,在日常生活中学会识别并远离钓鱼、诈骗等,同时主动升级系统、使用可靠安全工具及时修复漏洞等,都能很好地保护自己,减小信息泄露的风险。此外,可以关注国内外信息安全领域的媒体,了解相关法律、资讯,也有助于自我保护。
从20世纪80年代末到90年代初,前华沙条约国家有很多优秀的程序员和数学家突然失业,转型提供企业间谍服务(主要是偷IP等),此后,黑客雇佣服务与地下黑市开始经历从无到有,从小到大的巨大转变。
在2013年,沸沸扬扬的“棱镜门”事件让全世界都意识到了信息泄露的可怕性与网络安全的重要性。而国家和政府(尤其是美国)在暗网中参与程度之高也令人咋舌。再之后,“好莱坞影星隐私照片泄露”、“多所大公司遭到不同程度不同方式的攻击”,这些新闻渐渐让人们见怪不怪。这也说明,黑客市场的的商品尤其是黑客服务达到了空前繁荣。