黃智軍

善與惡存乎一心。從天使變成撒旦,對(duì)黑客來(lái)說(shuō)只是一步之遙。要想讓黑客回歸原生態(tài)的黑客精神和道德,我們需要付出哪些努力?黑客自身又該如何自我救贖?

“我們現(xiàn)在叫‘黑基網(wǎng)。而且我們不提供遠(yuǎn)程控制工具,在教程中攻擊內(nèi)容也只是點(diǎn)到為止,不做具體演示?！?/p>

現(xiàn)在,王獻(xiàn)冰除了是補(bǔ)天信息科技有限公司的技術(shù)總監(jiān)外,還是黑客基地的安全顧問(wèn)。他剛剛為黑客基地拉來(lái)1000萬(wàn)的風(fēng)險(xiǎn)投資,并把黑客基地改名為“黑基網(wǎng)”。“我們不是培訓(xùn)黑客,我們培訓(xùn)網(wǎng)絡(luò)安全技術(shù)人員。”在采訪中,他向記者反復(fù)強(qiáng)調(diào)。

在我國(guó),黑客基地、黑鷹、華夏黑客聯(lián)盟曾被譽(yù)為中國(guó)三大黑客培訓(xùn)學(xué)校。而在Google和百度上,輸入“黑客技術(shù)”、“黑客培訓(xùn)”等關(guān)鍵詞,就可以搜索到上百個(gè)黑客培訓(xùn)網(wǎng)站。這些“黑客培訓(xùn)”的授課內(nèi)容幾乎囊括了各種病毒、木馬制作技術(shù)和各種網(wǎng)絡(luò)攻擊技術(shù),培訓(xùn)價(jià)格則由數(shù)百元到近萬(wàn)元不等。

“這些黑客培訓(xùn)網(wǎng)站,就是批量制造腳本小子的快速途徑?！壁w昱表示,雖然黑客培訓(xùn)為其帶來(lái)了利潤(rùn),但也給社會(huì)帶來(lái)了不穩(wěn)定因素。

受到相關(guān)部門關(guān)注的黑客培訓(xùn)網(wǎng)站也走到了十字路口的中間。近日,華夏黑客聯(lián)盟受到北京市豐臺(tái)區(qū)公安機(jī)關(guān)的處理,其網(wǎng)站至今尚未恢復(fù);而2006年2月,黑鷹創(chuàng)始人李強(qiáng)曾因涉嫌利用互聯(lián)網(wǎng)傳授犯罪方法或煽動(dòng)擾亂社會(huì)秩序,被依法刑事拘留。

如何能既教授網(wǎng)絡(luò)安全技術(shù),又避免混同于教唆犯罪的站點(diǎn),成為一些有志轉(zhuǎn)型的黑客培訓(xùn)網(wǎng)站共同的努力方向。2006年初被查之后,黑鷹網(wǎng)又重新開辦起來(lái),并加強(qiáng)了同政府的合作。最大的一次合作是為公安部門制作了一套河南省網(wǎng)吧監(jiān)控系統(tǒng)。此外,一些部隊(duì)系統(tǒng)也找上門來(lái)合作,黑鷹網(wǎng)海為濟(jì)南軍區(qū)的內(nèi)部系統(tǒng)提供安全測(cè)試報(bào)告。

而王獻(xiàn)冰現(xiàn)在所做的,也頗有把黑客培訓(xùn)網(wǎng)站“去黑客化”的意圖。他發(fā)現(xiàn),從去年開始,網(wǎng)站注冊(cè)的大量交費(fèi)會(huì)員中絕大部分是來(lái)學(xué)習(xí)簡(jiǎn)單課程,以保護(hù)自己的電腦不受攻擊。于是在他的計(jì)劃里,去黑客化后,黑基的培訓(xùn)將分為三個(gè)層次:為大眾電腦用戶提供網(wǎng)絡(luò)安全防范知識(shí)的初級(jí)培訓(xùn);面向IT從業(yè)者的中級(jí)培訓(xùn);面向大型網(wǎng)站提供安全服務(wù)的高級(jí)培訓(xùn)。而為了預(yù)防學(xué)員將所學(xué)用于違法犯罪,他還強(qiáng)化了學(xué)院資料的登記和備案。

“如果打通了這條職業(yè)培訓(xùn)的通道,和眾多機(jī)構(gòu)建立起人才輸送機(jī)制,像李俊這樣的低學(xué)歷者也可以越過(guò)學(xué)歷門檻,在機(jī)構(gòu)推薦下找到適合自己的崗位。網(wǎng)絡(luò)安全人才的增加會(huì)加大網(wǎng)絡(luò)犯罪的成本?！蓖醌I(xiàn)冰說(shuō)。

約束: 法律出重手

在自律之外,法律的約束和社會(huì)防范意識(shí)的增強(qiáng),同樣不可或缺。

今年2月28日,第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第七次會(huì)議通過(guò)了《刑法修正案(七)》,對(duì)信息安全做了更嚴(yán)格的規(guī)定?！缎谭ā返诙侔耸鍡l原來(lái)的規(guī)定是:違反國(guó)家規(guī)定,侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的,處三年以下有期徒刑或者拘役。《刑法修正案(七)》對(duì)第二百八十五條增加了兩款作為第二款、第三款——“違反國(guó)家規(guī)定,侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù),或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金?！?“提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具,或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具,情節(jié)嚴(yán)重的,依照前款的規(guī)定處罰?！?/p>

簡(jiǎn)言之,《刑法修正案(七)》體現(xiàn)了3大變化。首先,修正案把入侵計(jì)算機(jī)系統(tǒng)案受害者的范圍從政府所有的計(jì)算機(jī)擴(kuò)大到了全部公司和個(gè)人的電腦;其次,修正案明確了用木馬軟件竊取信息就是犯罪,打擊盜號(hào)木馬犯罪,可以直接援引此法律作為依據(jù);最后,明確了開發(fā)木馬軟件程序的行為也構(gòu)成犯罪,亦適用非法入侵計(jì)算機(jī)信息系統(tǒng)罪處理。

在《刑法修正案(七)》通過(guò)一個(gè)多月后,4月2日,重慶九龍坡區(qū)法院一審以盜竊罪判處了張晉之有期徒刑10年零6個(gè)月,并處罰金5萬(wàn)元——從2008年年初開始,張晉之與他人一起利用發(fā)送帶木馬的郵件,盜取了重慶兩家公司登錄九城、聯(lián)眾、久游網(wǎng)在線充值系統(tǒng)的賬號(hào)和密碼。張晉之成為首個(gè)被刑法新規(guī)所裁定犯罪的網(wǎng)游“黑客”。

而如果時(shí)間倒退一年,張的定罪將是另外一個(gè)結(jié)局。因?yàn)橥瑯右虮I賣網(wǎng)游號(hào)牟利,而且數(shù)額更大,自己開發(fā)盜號(hào)軟件而名噪一時(shí)的“熊貓燒香”作者李俊僅獲判4年有期徒刑。

毫無(wú)疑問(wèn),《刑法修正案(七)》起到了極大的震懾作用。在接受記者采訪時(shí),王獻(xiàn)冰、趙昱和趙弼政不約而同地表示,《刑法修正案(七)》出臺(tái)后,盜號(hào)工具明顯減少了,“國(guó)內(nèi)很多制作黑客工具的安全研究人員或黑客,要么轉(zhuǎn)向地下,要么就不做了?！壁w昱說(shuō)。

防范:用戶內(nèi)控意識(shí)增強(qiáng)

約束黑客,終端用戶也需要更努力。

“雖然黑客攻擊大多是從外部向內(nèi)部滲透,但如果深入分析你就會(huì)發(fā)現(xiàn),外部導(dǎo)致的攻擊大多是由于內(nèi)部問(wèn)題引起的?！本W(wǎng)御神州SOC業(yè)務(wù)部高級(jí)產(chǎn)品經(jīng)理葉蓬認(rèn)為,黑客攻擊之所以能成功,很大程度上還是由于企業(yè)和消費(fèi)者的防范意識(shí)所引起的。“比如說(shuō),企業(yè)內(nèi)部人員有意無(wú)意的違規(guī)行為,就可能導(dǎo)致部分信息泄露,令黑客掌握信息系統(tǒng)內(nèi)部情況,從而輕易發(fā)起攻擊?！?/p>

一旦黑客在邊界的攻擊成功,進(jìn)入企業(yè)內(nèi)網(wǎng),就很容易能模擬出合法的身份。這個(gè)時(shí)候,黑客的攻擊就已經(jīng)被隱藏了,企業(yè)的防范措施也就失效了?！耙虼?企業(yè)除了加強(qiáng)邊界安全外,也要做好內(nèi)控,建立起內(nèi)部審計(jì)和監(jiān)控制度。黑客進(jìn)入企業(yè)內(nèi)網(wǎng)后,會(huì)大量讀取內(nèi)部數(shù)據(jù),或修改某些敏感數(shù)據(jù),而合理的內(nèi)控機(jī)制則能很快發(fā)現(xiàn)這些違規(guī)行為?！?/p>

對(duì)于個(gè)人消費(fèi)者,葉蓬則建議,除了要安裝和隨時(shí)更新防火墻、殺毒軟件外,個(gè)人消費(fèi)者還應(yīng)管好自己的“好奇心”?！氨热鐚?duì)彈出的頁(yè)面或IM上發(fā)布的網(wǎng)址,不要因?yàn)闃?biāo)題或圖片具有敏感、刺激性或煽動(dòng)性很強(qiáng),就隨意去點(diǎn)擊。”