雇個黑客用用? 消費型黑客雇傭市場只是冰山一角
在眾多媒體的不懈努力下,黑客這個詞在人們的腦海中終于經常與惹事生非甚至是違法犯罪聯系在一起。但今天,本文不為黑客正名,而是從另一個角度探討黑客的意義。你知道嗎?現如今許多國家的政府和執法機構正在積極地嘗試聘用黑客。
在4月底舉行的RSA大會中,美國的一些安全專家們建議政府在接下來的幾年內至少要招聘一萬名安全專業人員。而且這些專家認為,私企需要的安全人才會更多。雖然他們的工作大部分都是防御性的,但那些能夠入侵政府或大型企業網絡的黑客,在人才市場上無疑也是非常搶手的資源。
NSA
NSA(美國國家安全局),這個被愛德華·斯諾登在全世界曝光的機構,正在向國內特定的大學提供新的“網絡行動”計劃。吸引黑客是奧巴馬提升全美安全性計劃的一部分,該計劃的目標是為想要加入兩類機構的學生提供培訓:一類是NSA的SIGINT(信號情報)行動中心,另一類則是負責調查網絡犯罪的執法機構。
純粹從技術的角度去看,NSA的做法不無道理。只有黑客才能抓住黑客,而麻省理工學院或軍校并不教授黑客進行復雜攻擊所用到的技術。
FBI
美國聯邦調查局也加入了招聘大軍,尋找那些希望加入FBI并成為“網絡特工”的大學生。FBI官方網站上發布的一篇文章描述了他們招聘的角色:具有編程、惡意軟件分析、甚至是有著所謂“道德入侵”背景的人士。
FBI的網站掛出了這份工作所要求的學歷和工作經驗列表。從列表中可以看出,那些曾在蘋果或微軟供職的人滿足FBI的需要。
只是懂得計算機編程并不能完全滿足FBI的要求。申請者的年齡必須在23歲到37歲之間,并通過背景篩查。這對于電腦黑客而言可能門檻有些高。而且,即使是存在背景篩查過程,還是有一些問題和弊端。#p#
冰人(Iceman)
冰人是馬克思·雷·巴特勒的別名。他偷竊信用卡信息,并在網上售賣,并因此在2009年以兩項線上詐騙案件被定罪。
冰人最終被捕,但又被FBI重新雇傭,作為指證其他黑客的線人。在被FBI作為臥底雇傭期間,冰人開始給出各種人名。當FBI開始調查這些人名時,聯邦特工無法發現任何冰人指證的人。原來所有的事都是冰人干的,所有這些黑客名字都是一個人,Iceman。
克里斯托弗·羅蘭
羅蘭因入侵五角大樓被捕,然后被FBI作為五角大樓網絡安全部門的成員而招募。在2008年,羅蘭開了自己的公司,Endgame Systems。在公開場合,Endgame Systems為安全專家們提供威脅實時監控服務。不過,Endgame同時也忙于為黑客們提供網絡入侵工具,這些工具可以拿下整個網絡設施,其中包括機場。
彭博商業周刊2011年發布了一篇文章,其中描述了Endgame甚至向那些想要對付世界的多個部分的黑客提供一攬子服務。
如果人們想要以個人名義雇傭黑客,而不是以某個政府機構的名義,有沒有選擇呢?答案是肯定的。
黑客中介
黑客工單(Hacker’s List)網站于去年11月份上線,在網站上登記的雇傭黑客的工作案例已經超過500件。黑客工單背后的商業模式是:有相關經驗的人可以對他們想要從事的任務投標,完成指標,并在任務完成后得到報酬。該網站平臺會從交易費用中收取一部分手續費。
網站的宣傳語是:“雇傭黑客不需要復雜流程。”
該網站還相信,找到“雇傭值得信賴的專業黑客”應該是一次無憂的經驗。這是一個引人注目的市場,一方面吸引了那些想要找活干的黑客,另一方面吸引了想要雇傭黑客的人群。即使是類似“值得信賴的專業黑客”這樣似乎有些自相矛盾的詞語也沒有阻止人們的興趣。(相關閱讀:黑客工單)
黑客工單并不是該領域中的唯一一家網站。像“聘用黑客”(Hacker for Hire)和“鄰家小黑”(Neighborhood Hacker)這樣的網站是黑客工單的競爭對手,他們均會在黑客的“專業”和“道德”性中選擇平衡點。而這種網站提供的低成本入侵服務正在成為執法機構的新挑戰。
一方面,政府機構開始雇傭特定的人員來進行追蹤,另一方面,黑客變得可以在線雇傭。當網絡安全需求增長時,政府可能不得不雇傭那些剛剛被捕的黑客,而這種例子在現實中越來越多的發生。#p#
雇個黑客用用
從“腳本小子”到能搞定復雜工控系統的高端黑客團伙,均聲稱提供“間諜服務”。但黑客雇傭是怎樣實現的?下面我們來看一起真實的案例。
2013年,美國灣區兩名私家偵探開始著手調查一起涉及被挖角員工的普通案件。但這兩位私人偵探使用的手法卻有如好萊塢大片似的“精彩”。檢察官稱,他們為了偵查客戶的對手,雇傭了兩名黑客。
內森·莫澤和皮特·西拉古薩被互聯網市場營銷公司ViSalus委托調查一個競爭對手,也就是曾起訴ViSalus非法挖走其前雇員的一家公司。政府宣稱,莫澤和西拉古薩(舊金山警察局從警29年的退休警察)招募了兩名黑客入侵對頭公司的電子郵件和Skype網絡電話賬號。起訴書中顯示,兩名黑客為隱藏蹤跡,采用在Gmail郵箱帳號“krowten.a.lortnoc”和“control a network”的草稿箱中留言進行溝通。
聯邦檢察官并未指明被告是怎樣找到這兩名黑客的,但一個明顯屬于其中一名黑客——印度賈巴爾普爾邦的蘇米特·古普塔的郵件地址,在去年也被用于在自由職業者留言板WorkingBase上找尋可以入侵安裝了Windows系統和微軟Office辦公套件的計算機的軟件。發帖人稱愿出250~750美元求購代碼,但要求代碼必須“完全無法檢測,運作良好”,并“期待找到物美價廉的競標者”。
客戶群跨度從希望壓過競爭對手一頭的公司高管到意圖監視前任情人的分手情侶,什么樣的人都有。
這起加州黑客案件揭開了發展迅猛的網絡犯罪市場一角,自由黑客們,無論活躍在公共論壇還是隱身于黑市,隨時隨地滿足每個人的特別需求,從想作弊的學生和嫉妒心爆棚的男友到律師事務所和公司高管們。
盡管很難證實美國最富盛名和最具影響力的商業雜志之一《Fast Company》調查過的6家在線交易平臺上黑客帖子的合法性和真實性,有些站點自夸其擁有類易趣網的反饋機制,可以使用戶為可靠的賣家提供證明并相互提醒防騙。從業余的青少年小黑客用現成間諜軟件執行單一任務最高喊價300美元,到動輒要價數萬美元跨國竊取知識產權的復雜工業間諜服務。
黑客市場威脅情況十分復雜。黑客組織可把情報賣給任何一個愿意出價的人。
舉個例子,在上文中提到的黑客中介網站黑客工單上,黑客們能以與外包服務網站類似的方式競標項目。尋求黑客任務外包的人可以免費發布任務,或者額外多付一點費用讓自己的任務列表出現在顯眼的位置。黑客通常花費3美元進行項目競標,用戶發送信息也是要收費的。網站提供第三方委托付款機制來保證服務提供者只有在黑客任務完成后才能拿到錢。
盡管黑客工單稱其僅作為像是找回遺失密碼之類“合乎道德和法律的用途”,但它每天大約新增12個任務列表,有些任務需要能夠黑進私人網站、社交媒體賬戶和網游的人。
在3月份發布的一份報告中,歐洲刑警組織——歐盟的執法部門,預測在線社交網站和像密碼貨幣這樣的匿名現金轉移機制將會繼續刺激“犯罪即服務”的增長,并為像自由職業者一樣工作的罪犯提供種種便利——在線社交網絡可提供相對安全的環境進行簡單匿名的溝通交流。
但這一環境也不總是安全的。上個月早些時候,一名安全偵探撕下了黑客工單創建人的面具,揭示其幕后主人就是查爾斯·藤德爾,一名居住在丹佛的安全專家。之后不久,斯坦福法學學者喬納森·梅耶爾爬取了該網站的數據,曝光了該站數千名訪客的身份及其發布的黑客任務內容。
梅耶爾只找到21件成功完成的任務,包括:“我想黑進我女朋友的臉書賬號”,1月份完成,成交價90美元;“需要進入某gmail賬號”,2月份完成,成交價350美元;“我要黑了一個數據庫,因為我要用它進行網絡泄密活動”,4月完成,成交價350美元。網站上的大量黑客任務都涉及入侵臉書(23%的任務書中明確提及)和谷歌(14%),并且事由是商業糾紛、感情糾葛或者篡改學分,攻擊目標包括加州大學、康涅狄格州立大學和紐約市立大學。
梅耶爾在其博客中寫道:“盡管絕大多數黑客任務都是單純而不合法的,有極少數交易確實聳人聽聞,且大多數已完成任務看起來似乎是犯罪行為,這些任務項目依然清晰反應出普通互聯網用戶可能尋求的典型黑客需求。但盡管如此,黑客工單絕對代表不了高端定制黑客攻擊市場。”
無論所用軟件是什么,無論黑客有多么精通黑客技術,基本的入侵方法總是相似。通過誘騙目標打開電子郵件附件或點擊惡意網站鏈接在目標主機上安裝惡意軟件。方法古老,但奏效。#p#
黑客絲綢之路
在留言板網站HackForums.net上,用戶公開打出提供入侵計算機和在線賬戶、用拒絕服務攻擊令服務器宕機、挖掘陌生人個人信息等服務的廣告,所有服務均需付費。黑客們通過一套評級系統進行排名,聲譽極高的用戶甚至可以提供“中間人”服務,以第三方擔保方式托管密碼貨幣,直到賣家完成承諾的任務再行付款。
我從不亂打聽。因為我不在乎。我只給他們一個警告:將遠程管理木馬用于非法用途會導致牢獄之災。
網站上一篇注冊地在開曼群島的帖子中稱:“我能幫你找人,把他的全部信息呈現給你(電子郵件、即時通訊賬號、社交賬號、位置、電話、家庭住址等等)。我可以幫你黑掉他的電腦,拿到所有文件、鍵盤記錄、網絡攝像頭視頻——他系統中的任何東西。根據你的需要,我可以把這些東西傳到你的RAT上,這樣你就可以耍他玩了。”RAT即遠程管理木馬(remote administration trojan):一旦偷偷安裝到你目標的電腦、平板電腦或手機上,你就可以全權接管這臺機器的所有操作,你可以查看文件、截獲鍵盤敲擊等等。
一位昵稱Hax0r818的論壇用戶在Skype聊天中稱,他提供的服務就是培訓RATs新手用戶,每年大約有300名左右的客戶。“我只是幫他們入門,因為RATs本來就不是用作黑客活動的,是父母用來檢查自己的孩子們都在網上看些什么的。”他寫道,“我不問他們任何問題,我不問。因為我根本不在意。我只給他們一個警告:RATs用作非法用途會導致牢獄之災,并讓他們同意我的條款。”
Hax0r818只愿意透露他是21歲以下的未成年人,生活在澳大利亞。他提供RAT新手工具使用培訓以及用于實踐的測試用虛擬機,每月僅收取5美元。
在通過表層網絡可訪問的網站之外,還有十幾個只有用Tor瀏覽器才能訪問的深層網絡市場,名字形如Hell、Agora、Outlaw和Nucleus,提供RATs和其他黑客軟件與服務,用比特幣進行交易。
“我16歲就開始經營黑客和社會工程活動業務了,從沒有過一份真正的工作,所以我有大量的時間修煉黑客技術,過去20年左右我賺到了不少錢。”暗網網站Hacker for Hire的擁有者如此寫道。這家網站經營范圍包括“搞臭個人、盜取信息、搞垮網站”,收費根據工作量大小低至200歐元高至歐元。“我以前曾經給別人打工,現在我也依然為每個付得起錢的人提供個人服務。”
戴爾SecureWorks去年12月份的一份報告稱,諸如darkcomet、cybergate、predator pain和Dark DDoser等遠程管理木馬的通常價格在20~50美元之間。相比去年這類軟件高達50~250美元的售價,價格明顯下降了許多。(價格下降的原因可能與某些RATs源代碼泄露有關。)黑進網站的價格也下降了不少,最高價從300美元下降到了200美元。
網上黑客服務價格
去年5月在紐約公開的一份聯邦起訴書中透露,一個名為黑影(Blackshades)的RAT研發組織通過在黑客論壇和自家網站上以40美元一套的價格向全球數千名買家售賣RAT,在4年間收益超35萬美元。官員稱,RAT客戶用這些木馬軟件偷取金融信息,通過網絡攝像頭監視毫無疑心的受害者。
曼哈頓律師普瑞特·巴拉拉說:“RAT便宜又易于使用,但功能強大,侵入性令人驚嘆。”這位律師的調查活動是史無前例的全球性調查中的一部分,迄今為止已成功逮捕了超過90名網絡罪犯。
售價可高至3000美元以上的黑客軟件本身并不違法,還能被用于從事遠程服務器管理和監控公司電腦之類的任務。但實際上,這些軟件工具包和相關的服務常常被用于欺詐、拒絕服務攻擊或是網絡入侵。
“只要非授權進入別人的計算機系統,動了人家的任何東西,都是違法的,那就是犯罪。”計算機取證專家,佛蒙特州尚普蘭大學副教授喬納森·拉耶夫斯基說。
黑客軟件和漏洞利用代碼游走于法律邊緣
斯坦福法律講師梅耶爾認為,黑客市場游離于法律邊緣。網站通常不用為用戶的違法行為負責,但觸犯聯邦刑法就是另一碼事了,比如說違反了《計算機欺詐和濫用法》這部監管黑客活動的法案。這使得黑客市場的運營者可能面臨共犯或同謀的指控,有可能讓他們蹲班房。
黑客與毒販共襄盛舉,互聯網上最為臭名昭著的犯罪市場絲路(Silk Road)的運營者被控共謀黑客攻擊及其他6項罪名。名為“貨真價實”(TheRealDeal)的另一個新興暗網市場同樣通過匿名Tor網絡運營,專注于漏洞利用代碼,網站服務聲明稱其除了兒童色情、人口販賣和“涉及謀殺的服務”之外,什么都可以出售。
近期提起控訴的黑客雇傭案件:
去年,前紐約市警探埃德溫·瓦格斯(Edwin Vargas)因采用網上黑客服務監視其前女友被判入獄服刑4個月。
3月初,紐約私家偵探埃里克·薩爾達里亞加(Eric Saldarriaga)面對聯邦黑客行為謀劃的指控承認其有罪。檢察官指出,他曾雇傭網上黑客服務侵入其客戶對手的數十個電子郵件賬號。
4月,賓夕法尼亞蘭開斯特縣的扎卡里·蘭蒂斯(Zachary Landis)被控通過克雷格列表網站(Craigslist)雇傭黑客入侵縣法院系統抹去其罰款和法庭費用。經過臥底偵查,目前他面臨7年刑期。
上周,美國商務部公布了一份可能要求全球范圍內出售未公開零日漏洞的人必須持證營業的提案, 該提案將入侵軟件,連同其他“兩用”事物,歸類為潛在的武器。(回復“代碼武器”查閱相關文章)著名安全廠商賽門鐵克的一份報告稱,去年,野生零日漏洞數量達到了空前的24個之多。
新法應該會幫助執法部門對抗黑客黑市,但也有可能給一些公開售賣入侵軟件和軟件漏洞的公司造成妨礙。法國安全公司Vupen標榜自己是“攻擊性網絡安全”提供商,為包括美國國家安全局在內的客戶提供能入侵廣泛使用的軟件的技術,從微軟Word字處理軟件到主流網頁瀏覽器到蘋果iOS,入侵技術服務費用最高達10萬美元每年。意大利公司“黑客團隊”(Hacking Team)曾向美國聯邦調查局出售RATs。其他買賣漏洞的公司包括滲透測試公司Netragard和網絡漏洞監管公司Endgame,還有像諾斯洛普·格魯門(Northrop Grumman)和雷神(Raytheon)公司這樣的大型國防承包商。
最近的估計預測工業間諜和其他數字犯罪將令公司企業每年損失數千億美元。波耐蒙研究所的一項新研究發現,被黑的企業受害者每條受侵害記錄的平均花費在2014年上升到了154美元,比上一年增長了8%。#p#
價高者得
消費型黑客雇傭市場還只是冰山一角。當下,越來越多的高級黑客團伙在向財力雄厚的海外公司和政府提供“按需供應”的黑客服務。企業主或首席級主管可能會雇傭黑客以力壓競爭對手一頭,或者對網絡入侵者“黑回去”。據報道,索尼影業就雇傭了黑客來對抗托管他們泄出數據的網站。
隨著最近對政府機構主導黑客活動的指控的熱炒,來自高端商業黑客活動的威脅在某種程度上被忽視了。
西雅圖安全公司Taia Global總裁杰佛瑞·卡爾認為,“我們一直都完全忽視了‘間諜即服務’活動,極有可能我們一直以來都搞混了他們與實際政府情報機構或政府軍事行動部門的區別。”
Taia Global最近發布的一份白皮書稱,黑客團伙通常通過與缺少職業道德的公司合作來找活兒干,不是達成協議盜取特定數據,就是自發偷取有價值信息再賣給出價最高的人。
卡爾點出蘇斌案作為例子。蘇斌是一名中國商人,去年在加拿大被捕,罪名是伙同兩名身份不明的黑客從美國國防承包商手中盜取并出售F-35隱形聯合攻擊戰斗機和其他軍用航空器的商業機密。在一封電子郵件中,蘇斌的一名所謂的同伙試圖從HackForums.net網上一名賣家手中以幾美元的價格買下著名遠程控制軟件Poisonivy的的加殼免殺版。
但是,盡管鋪天蓋地的報道都是關于黑客替中國政府竊密的,工作生活在加拿大的蘇斌看起來卻似乎更多地是受經濟利益驅動而不是民族利益驅動。“買家不一定是中國公司。”Taia Global的白皮書中寫道,“蘇斌的一封郵件反映,他不滿于一家中國的報價,想要找尋別的買家。”
另一個高端網絡間諜組織,賽門鐵克安全公司稱之為 “隱匿山貓”(Hidden Lynx)的,適用兩款自研惡意軟件對全球數百家公司企業進行滲透突破。根據這個組織針對目標的涵蓋范圍,賽門鐵克認為這是一個適應性強、可供雇傭的專業黑客團隊。
斯蒂芬·多爾蒂(Stephen Doherty),賽門鐵克高級威脅分析員,白皮書作者之一,他聲稱賽門鐵克一直在跟蹤追查數十個類似的黑客團體,并說:“我們相信,他們特別針對信息獲取類任務,然后將所獲信息賣給需要的客戶。賽門鐵克在全球范圍內跟蹤追查涉嫌參與直接間諜行為、網絡犯罪等活動的團體,跟蹤對象超過70個。”
賽門鐵克稱,隱匿山貓(Hidden Lynx)所雇黑客人數在50~100人之間,其絕大多數黑客活動在中國境外,曾在2012年入侵安全公司Bit9的服務器,成功卷走用于對Bit9軟件進行數字簽名的安全證書。然后,這伙黑客通過滲透有可能被目標公司的雇員訪問的web服務器并用這些服務器分發惡意軟件,獲得了波士頓和華盛頓地區的政治、國防和金融組織所屬計算機的訪問權,其中所用到的部分惡意軟件就是用被盜Bit9安全證書簽名的。
防守反擊
多爾蒂說,隨著黑客團伙越來越高端復雜,國際執法組織和私人安全團隊的防御性工作也越來越強調協同性,防御的終極目標就是使攻擊行為得不償失。去年,對抗隱匿山貓的浪潮發生了改變:多家安全廠商協同合作研發更好的防護手段來對抗此組織所用的惡意軟件。“我們所有的跡象都表明,涉及此組織的活動大多轉為了地下。”
“我覺得你正在見證個人自掃門前雪式都只顧著修補自家漏洞或看護自家客戶群的局限性工作方式的崩塌。無論是反病毒公司或銀行,以前也許都只忙著自家門前那點事兒,但現在,我們需要有更廣闊的視野更寬范圍的合作,對當前正在發生的事情有更多的了解。”
多爾蒂認為,希望抵御此類攻擊的個人和公司應該采取傳統網絡安全防范措施:保持軟件升級和安全補丁更新,留意非正常網絡活動,特別注意鎖定存儲了有價值公司機密的系統。
卡爾稱,公司還需對授權第三方供應商訪問其敏感信息采取謹慎態度。“你得對全部供應鏈進行嚴格審查,要對共享數據的對象保持警惕:不能僅僅因為他們是你的供應商就選擇相信他們。”
卡爾極為反對的一個策略是:“黑回去”。公司網絡被黑客入侵就要反黑報復回去的行為是非常危險且踩在法律邊緣灰色地帶的。
“這從來不是一個好主意。就像俗話所說:千萬別惹陌生人!”
原文地址:http://www.aqniu.com/news/7986.html
