电子洗钱,网络勒索,儒虫大师,苏联专家,
黑手党,离你们都不远了。

你首次听说这种事情,是通过一封电子邮件,它从一批照例涌入的垃圾邮件中凸现出来。它的内容大致会是:“付给我们2万美元,否则就干掉你的网站。”你也可能收到内容相同的电话。不论是哪种情况,总之这是真事,也是任何信息技术主管所担心的事。你怎么办?付钱?觉得他们是虚张声势?报告警察?
我们在此讨论的是网络勒索。英国国家高科技犯罪组(National High Tech Crime Unit)组长莎伦莱蒙(Sharon Lemon)说,这种日益增长的网络犯罪形式“不外乎是一种讹取保护费的电子黑社会组织。”这和上世纪20年代匪徒之所为是一码事,只不过升级到了电子时代:交出来,不然我们让你的网上业务关门大吉。
其中的花招非常简单:用信息请求淹没你的站点。这股洪流不会是病毒或蠕虫,事实上很可能看起来像是一些合法请求。然而,仅凭巨大的信息量,也能使你的服务器瘫痪或占满你的带宽,从而使你的站点不再能为你的正常客户所用。
这是通过DDOS(分布式拒绝服务)攻击而完成的。这种情况下的黑客有时被称为“蠕虫大师” (bot master),他们控制着大群“僵尸电脑”(zombie PC),构成所谓“蠕虫病毒网络”(bot net)。蠕虫病毒网络由或许散布于世界各地的僵尸电脑(即受感染电脑)组成。在大部分情况下,一台僵尸电脑的表象和运行与正常电脑并无二致,但它已经遭到恶意软件感染。一旦僵尸电脑接到唤醒指令,便开始发出请求,淹没目标服务器。
蠕虫病毒网络过去由数千台个人电脑组成,而今数目则已达到数万甚至数十万台。“在某些大规模攻击中,我们可以鉴别出超过1万台电脑,” Prolexic科技公司欧洲、中东及非洲业务开发经理安德鲁罗斯(Andrew Ross)说。Prolexic是一家专营网络安全防护的公司。安德鲁罗斯补充说,“假如有5万台电脑发送表面上合法的请求,则几乎不可能鉴别其中的欺诈者。”
蠕虫病毒网络出现于上世纪90年代末,它在近几年的迅速发展,被归咎于家用宽带的大爆炸。家用电脑的保护措施一般比企业电脑薄弱。QinetiQ公司在全球范围专营防卫和安全技术,该公司安全防护部主管托尼戴豪斯(Tony Dyhouse)说:“有了宽带,人们让电脑通宵处于开机和在线状态,于是电脑高高兴兴地帮别人干活儿。”这种“活儿”可能是发送无数的垃圾邮件(其中大部分来自蠕虫病毒网络),或者是帮助网络勒索者勒索成功。
但是把你的站点断掉数小时真有那么可怕吗?这可不像烧掉你的仓库,对吗?然而,有时候效果也差不多。“最初是从网上赌博组织开始下手的,”戴豪斯先生说,“如果这些组织的网络服务被阻断,他们就无法开展赌博业务。”从那开始,讹诈行为又继续发展到电子零售店、在线支付服务、金融业,以及任何一旦离线便会损失金钱的行业。甚至留言板和论坛也不能幸免,因为它们通常靠广告赚钱。
Protx是一家在线支付公司,曾遭到好几次攻击。“他们每次索要1万美元,”公司首席执行官麦克尔埃尔库伦布里(Michael Alculumbrie)说。Protx不曾按要求付钱,罪犯履行了他的威胁,淹没了该公司站点用于信用卡的安全端口,实际上,这结果使得虚假流量更容易被鉴别了。埃尔库伦布里先生说,Protx现在可能是业内防卫最为安全的一家公司,尽管这需要付出代价。公司每年用于安全防护的资金约为50万英镑(87.6万美元)。
另一家数次成为攻击目标的公司是威廉希尔(William Hill)出版公司。“我们公司的每一个人都遇到同样的问题,”公司一位发言人戴维胡德(David Hood)称。他还说,他们遇到的攻击者相当无能。“我们曾经收到一份用蹩脚英语写成的勒索信,要求付大约3.5万美元。但是这封信直到攻击结束后才到达。”
胡德先生说,本公司有一系列措施已到位,可区分来者是大规模的流量还是一次攻击。“遭到攻击时,我们的经验是:我们仍可以70%的容量运行。有些站点的容量却直接降到零。”
威廉希尔和Protx两家公司都态度强硬,坚决不付钱。但是据安全防护业内人士透露,相当多的公司愿意付钱了事。在某种意义上,经济学能解释这种现象。莱蒙女士说,勒索者的要求“一般是付出8千至1万美元,便停止攻击,并允许该站点运行12个月。”事实上,勒索的数额现已越来越小,原因只是各公司付出小数额的可能性更大。虽然与安全防护的花费比较起来,这些数额或许显得微不足道,但是有一个道理仍然值得记住:黑客们喜欢嚼舌头,给一个勒索者付钱后,其他勒索者也会陆续光顾你的服务器。
不应该以为我们今天是在对付往年的黑客。 “2000年以前,要对付的只是呆在卧室里的长粉刺的孩子,”Clearswift公司恐吓实验室(Threat Lab)经理彼得辛普森(Pete Simpson)说。Clearswift是一家数字保护公司。“现在是有着可观收入的罪犯。”俄罗斯黑手党、土耳其和摩洛哥黑帮之类的组织纷纷雇用蠕虫大师,简直像人们雇用职业杀手一样。“他们具有充分的动机和充足的金融资源,”辛普森先生说。“我们雇得起的人,他们也雇得起;比如在前苏联随便找一两个计算机专业的毕业生,显然就是一种选择。”
正如人们可能料想的那样,电子勒索中见不到放在行李寄存处的那种鼓鼓囊囊的手提箱,里面装满50美元面值的钞票。相反,金钱是通过电子方式转移、并通过一连串账号洗干净的。“你知道你所见过的那些广告帖子,说是‘每月在家里坐收1000美元’,”戴豪斯先生说。“其中有些是真的呢。他们想用你的账号洗钱。”
那么企业公司应该怎么办?首先,应该尽力保护自己。尽管罪犯通过突破最薄弱环节,其攻击行为几乎总是奏效,但人们仍可得到不少硬件和软件产品。你可以加强业务弹性,比如,拥有第二家互联网服务提供商——这也是互联网服务提供商们本身正在大力进行的事情。事实上,有人提出,对家庭提供宽带(fat pipe)连接的商家负有监管义务(duty of care),以确保宽管不会被恶意使用。当然,你也可以藐视他们,但是这样做风险很大。
说到底,这是一场军备竞赛,双方都有办法利用同样的技术和才干。在可预见的未来,你能做的一切就是确保你的技术人才和你的设备胜过他们。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注