黑客变成黑社会？

作者：英国《金融时报》撰稿人 莱默尔里格比2006年1月5日星期四

你首次听说这种事情，是通过一封电子邮件，它从一批照例涌入的垃圾邮件中凸现出来。它的内容大致会是：“付给我们2万美元，否则就干掉你的网站。”你也可能收到内容相同的电话。不论是哪种情况，总之这是真事，也是任何信息技术主管所担心的事。你怎么办？付钱？觉得他们是虚张声势？报告警察？

我们在此讨论的是网络勒索。英国国家高科技犯罪组（National High Tech Crime Unit）组长莎伦莱蒙（Sharon Lemon）说，这种日益增长的网络犯罪形式“不外乎是一种讹取保护费的电子黑社会组织。”这和上世纪20年代匪徒之所为是一码事，只不过升级到了电子时代：交出来，不然我们让你的网上业务关门大吉。

其中的花招非常简单：用信息请求淹没你的站点。这股洪流不会是病毒或蠕虫，事实上很可能看起来像是一些合法请求。然而，仅凭巨大的信息量，也能使你的服务器瘫痪或占满你的带宽，从而使你的站点不再能为你的正常客户所用。

这是通过DDOS（分布式拒绝服务）攻击而完成的。这种情况下的黑客有时被称为“蠕虫大师” （bot master），他们控制着大群“僵尸电脑”（zombie PC），构成所谓“蠕虫病毒网络”（bot net）。蠕虫病毒网络由或许散布于世界各地的僵尸电脑（即受感染电脑）组成。在大部分情况下，一台僵尸电脑的表象和运行与正常电脑并无二致，但它已经遭到恶意软件感染。一旦僵尸电脑接到唤醒指令，便开始发出请求，淹没目标服务器。

蠕虫病毒网络过去由数千台个人电脑组成，而今数目则已达到数万甚至数十万台。“在某些大规模攻击中，我们可以鉴别出超过1万台电脑，” Prolexic科技公司欧洲、中东及非洲业务开发经理安德鲁罗斯（Andrew Ross）说。Prolexic是一家专营网络安全防护的公司。安德鲁罗斯补充说，“假如有5万台电脑发送表面上合法的请求，则几乎不可能鉴别其中的欺诈者。”

蠕虫病毒网络出现于上世纪90年代末，它在近几年的迅速发展，被归咎于家用宽带的大爆炸。家用电脑的保护措施一般比企业电脑薄弱。QinetiQ公司在全球范围专营防卫和安全技术，该公司安全防护部主管托尼戴豪斯（Tony Dyhouse）说：“有了宽带，人们让电脑通宵处于开机和在线状态，于是电脑高高兴兴地帮别人干活儿。”这种“活儿”可能是发送无数的垃圾邮件（其中大部分来自蠕虫病毒网络），或者是帮助网络勒索者勒索成功。

但是把你的站点断掉数小时真有那么可怕吗？这可不像烧掉你的仓库，对吗？然而，有时候效果也差不多。“最初是从网上赌博组织开始下手的，”戴豪斯先生说，“如果这些组织的网络服务被阻断，他们就无法开展赌博业务。”从那开始，讹诈行为又继续发展到电子零售店、在线支付服务、金融业，以及任何一旦离线便会损失金钱的行业。甚至留言板和论坛也不能幸免，因为它们通常靠广告赚钱。

Protx是一家在线支付公司，曾遭到好几次攻击。“他们每次索要1万美元，”公司首席执行官麦克尔埃尔库伦布里（Michael Alculumbrie）说。Protx不曾按要求付钱，罪犯履行了他的威胁，淹没了该公司站点用于信用卡的安全端口，实际上，这结果使得虚假流量更容易被鉴别了。埃尔库伦布里先生说，Protx现在可能是业内防卫最为安全的一家公司，尽管这需要付出代价。公司每年用于安全防护的资金约为50万英镑（87.6万美元）。

另一家数次成为攻击目标的公司是威廉希尔（William Hill）出版公司。“我们公司的每一个人都遇到同样的问题，”公司一位发言人戴维胡德（David Hood）称。他还说，他们遇到的攻击者相当无能。“我们曾经收到一份用蹩脚英语写成的勒索信，要求付大约3.5万美元。但是这封信直到攻击结束后才到达。”

胡德先生说，本公司有一系列措施已到位，可区分来者是大规模的流量还是一次攻击。“遭到攻击时，我们的经验是：我们仍可以70%的容量运行。有些站点的容量却直接降到零。”

威廉希尔和Protx两家公司都态度强硬，坚决不付钱。但是据安全防护业内人士透露，相当多的公司愿意付钱了事。在某种意义上，经济学能解释这种现象。莱蒙女士说，勒索者的要求“一般是付出8千至1万美元，便停止攻击，并允许该站点运行12个月。”事实上，勒索的数额现已越来越小，原因只是各公司付出小数额的可能性更大。虽然与安全防护的花费比较起来，这些数额或许显得微不足道，但是有一个道理仍然值得记住：黑客们喜欢嚼舌头，给一个勒索者付钱后，其他勒索者也会陆续光顾你的服务器。

不应该以为我们今天是在对付往年的黑客。 “2000年以前，要对付的只是呆在卧室里的长粉刺的孩子，”Clearswift公司恐吓实验室（Threat Lab）经理彼得辛普森（Pete Simpson）说。Clearswift是一家数字保护公司。“现在是有着可观收入的罪犯。”俄罗斯黑手党、土耳其和摩洛哥黑帮之类的组织纷纷雇用蠕虫大师，简直像人们雇用职业杀手一样。“他们具有充分的动机和充足的金融资源，”辛普森先生说。“我们雇得起的人，他们也雇得起；比如在前苏联随便找一两个计算机专业的毕业生，显然就是一种选择。”

正如人们可能料想的那样，电子勒索中见不到放在行李寄存处的那种鼓鼓囊囊的手提箱，里面装满50美元面值的钞票。相反，金钱是通过电子方式转移、并通过一连串账号洗干净的。“你知道你所见过的那些广告帖子，说是‘每月在家里坐收1000美元’，”戴豪斯先生说。“其中有些是真的呢。他们想用你的账号洗钱。”

那么企业公司应该怎么办？首先，应该尽力保护自己。尽管罪犯通过突破最薄弱环节，其攻击行为几乎总是奏效，但人们仍可得到不少硬件和软件产品。你可以加强业务弹性，比如，拥有第二家互联网服务提供商——这也是互联网服务提供商们本身正在大力进行的事情。事实上，有人提出，对家庭提供宽带（fat pipe）连接的商家负有监管义务（duty of care），以确保宽管不会被恶意使用。当然，你也可以藐视他们，但是这样做风险很大。

说到底，这是一场军备竞赛，双方都有办法利用同样的技术和才干。在可预见的未来，你能做的一切就是确保你的技术人才和你的设备胜过他们。