黑客絲綢之路

在留言板網(wǎng)站HackForums.net上，用戶公開打出提供入侵計(jì)算機(jī)和在線賬戶、用拒絕服務(wù)攻擊令服務(wù)器宕機(jī)、挖掘陌生人個(gè)人信息等服務(wù)的廣告，所有服務(wù)均需付費(fèi)。黑客們通過一套評(píng)級(jí)系統(tǒng)進(jìn)行排名，聲譽(yù)極高的用戶甚至可以提供“中間人”服務(wù)，以第三方擔(dān)保方式托管密碼貨幣，直到賣家完成承諾的任務(wù)再行付款。

我從不亂打聽。因?yàn)槲也辉诤酢Ｎ抑唤o他們一個(gè)警告：將遠(yuǎn)程管理木馬用于非法用途會(huì)導(dǎo)致牢獄之災(zāi)。

網(wǎng)站上一篇注冊(cè)地在開曼群島的帖子中稱：“我能幫你找人，把他的全部信息呈現(xiàn)給你(電子郵件、即時(shí)通訊賬號(hào)、社交賬號(hào)、位置、電話、家庭住址等等)。我可以幫你黑掉他的電腦，拿到所有文件、鍵盤記錄、網(wǎng)絡(luò)攝像頭視頻——他系統(tǒng)中的任何東西。根據(jù)你的需要，我可以把這些東西傳到你的RAT上，這樣你就可以耍他玩了。”RAT即遠(yuǎn)程管理木馬(remote administration trojan)：一旦偷偷安裝到你目標(biāo)的電腦、平板電腦或手機(jī)上，你就可以全權(quán)接管這臺(tái)機(jī)器的所有操作，你可以查看文件、截獲鍵盤敲擊等等。

一位昵稱Hax0r818的論壇用戶在Skype聊天中稱，他提供的服務(wù)就是培訓(xùn)RATs新手用戶，每年大約有300名左右的客戶。“我只是幫他們?nèi)腴T，因?yàn)镽ATs本來就不是用作黑客活動(dòng)的，是父母用來檢查自己的孩子們都在網(wǎng)上看些什么的。”他寫道，“我不問他們?nèi)魏螁栴}，我不問。因?yàn)槲腋静辉谝狻Ｎ抑唤o他們一個(gè)警告：RATs用作非法用途會(huì)導(dǎo)致牢獄之災(zāi)，并讓他們同意我的條款。”

Hax0r818只愿意透露他是21歲以下的未成年人，生活在澳大利亞。他提供RAT新手工具使用培訓(xùn)以及用于實(shí)踐的測(cè)試用虛擬機(jī)，每月僅收取5美元。

在通過表層網(wǎng)絡(luò)可訪問的網(wǎng)站之外，還有十幾個(gè)只有用Tor瀏覽器才能訪問的深層網(wǎng)絡(luò)市場(chǎng)，名字形如Hell、Agora、Outlaw和Nucleus，提供RATs和其他黑客軟件與服務(wù)，用比特幣進(jìn)行交易。

“我16歲就開始經(jīng)營黑客和社會(huì)工程活動(dòng)業(yè)務(wù)了，從沒有過一份真正的工作，所以我有大量的時(shí)間修煉黑客技術(shù)，過去20年左右我賺到了不少錢。”暗網(wǎng)網(wǎng)站Hacker for Hire的擁有者如此寫道。這家網(wǎng)站經(jīng)營范圍包括“搞臭個(gè)人、盜取信息、搞垮網(wǎng)站”，收費(fèi)根據(jù)工作量大小低至200歐元高至歐元。“我以前曾經(jīng)給別人打工，現(xiàn)在我也依然為每個(gè)付得起錢的人提供個(gè)人服務(wù)。”

戴爾SecureWorks去年12月份的一份報(bào)告稱，諸如darkcomet、cybergate、predator pain和Dark DDoser等遠(yuǎn)程管理木馬的通常價(jià)格在20～50美元之間。相比去年這類軟件高達(dá)50～250美元的售價(jià)，價(jià)格明顯下降了許多。(價(jià)格下降的原因可能與某些RATs源代碼泄露有關(guān)。)黑進(jìn)網(wǎng)站的價(jià)格也下降了不少，最高價(jià)從300美元下降到了200美元。

網(wǎng)上黑客服務(wù)價(jià)格

去年5月在紐約公開的一份聯(lián)邦起訴書中透露，一個(gè)名為黑影(Blackshades)的RAT研發(fā)組織通過在黑客論壇和自家網(wǎng)站上以40美元一套的價(jià)格向全球數(shù)千名買家售賣RAT，在4年間收益超35萬美元。官員稱，RAT客戶用這些木馬軟件偷取金融信息，通過網(wǎng)絡(luò)攝像頭監(jiān)視毫無疑心的受害者。

曼哈頓律師普瑞特·巴拉拉說：“RAT便宜又易于使用，但功能強(qiáng)大，侵入性令人驚嘆。”這位律師的調(diào)查活動(dòng)是史無前例的全球性調(diào)查中的一部分，迄今為止已成功逮捕了超過90名網(wǎng)絡(luò)罪犯。

售價(jià)可高至3000美元以上的黑客軟件本身并不違法，還能被用于從事遠(yuǎn)程服務(wù)器管理和監(jiān)控公司電腦之類的任務(wù)。但實(shí)際上，這些軟件工具包和相關(guān)的服務(wù)常常被用于欺詐、拒絕服務(wù)攻擊或是網(wǎng)絡(luò)入侵。

“只要非授權(quán)進(jìn)入別人的計(jì)算機(jī)系統(tǒng)，動(dòng)了人家的任何東西，都是違法的，那就是犯罪。”計(jì)算機(jī)取證專家，佛蒙特州尚普蘭大學(xué)副教授喬納森·拉耶夫斯基說。

黑客軟件和漏洞利用代碼游走于法律邊緣

斯坦福法律講師梅耶爾認(rèn)為，黑客市場(chǎng)游離于法律邊緣。網(wǎng)站通常不用為用戶的違法行為負(fù)責(zé)，但觸犯聯(lián)邦刑法就是另一碼事了，比如說違反了《計(jì)算機(jī)欺詐和濫用法》這部監(jiān)管黑客活動(dòng)的法案。這使得黑客市場(chǎng)的運(yùn)營者可能面臨共犯或同謀的指控，有可能讓他們蹲班房。

黑客與毒販共襄盛舉，互聯(lián)網(wǎng)上最為臭名昭著的犯罪市場(chǎng)絲路(Silk Road)的運(yùn)營者被控共謀黑客攻擊及其他6項(xiàng)罪名。名為“貨真價(jià)實(shí)”(TheRealDeal)的另一個(gè)新興暗網(wǎng)市場(chǎng)同樣通過匿名Tor網(wǎng)絡(luò)運(yùn)營，專注于漏洞利用代碼，網(wǎng)站服務(wù)聲明稱其除了兒童色情、人口販賣和“涉及謀殺的服務(wù)”之外，什么都可以出售。

近期提起控訴的黑客雇傭案件：

去年，前紐約市警探埃德溫·瓦格斯(Edwin Vargas)因采用網(wǎng)上黑客服務(wù)監(jiān)視其前女友被判入獄服刑4個(gè)月。

3月初，紐約私家偵探埃里克·薩爾達(dá)里亞加(Eric Saldarriaga)面對(duì)聯(lián)邦黑客行為謀劃的指控承認(rèn)其有罪。檢察官指出，他曾雇傭網(wǎng)上黑客服務(wù)侵入其客戶對(duì)手的數(shù)十個(gè)電子郵件賬號(hào)。

4月，賓夕法尼亞蘭開斯特縣的扎卡里·蘭蒂斯(Zachary Landis)被控通過克雷格列表網(wǎng)站(Craigslist)雇傭黑客入侵縣法院系統(tǒng)抹去其罰款和法庭費(fèi)用。經(jīng)過臥底偵查，目前他面臨7年刑期。

上周，美國商務(wù)部公布了一份可能要求全球范圍內(nèi)出售未公開零日漏洞的人必須持證營業(yè)的提案， 該提案將入侵軟件，連同其他“兩用”事物，歸類為潛在的武器。(回復(fù)“代碼武器”查閱相關(guān)文章)著名安全廠商賽門鐵克的一份報(bào)告稱，去年，野生零日漏洞數(shù)量達(dá)到了空前的24個(gè)之多。

新法應(yīng)該會(huì)幫助執(zhí)法部門對(duì)抗黑客黑市，但也有可能給一些公開售賣入侵軟件和軟件漏洞的公司造成妨礙。法國安全公司Vupen標(biāo)榜自己是“攻擊性網(wǎng)絡(luò)安全”提供商，為包括美國國家安全局在內(nèi)的客戶提供能入侵廣泛使用的軟件的技術(shù)，從微軟Word字處理軟件到主流網(wǎng)頁瀏覽器到蘋果iOS，入侵技術(shù)服務(wù)費(fèi)用最高達(dá)10萬美元每年。意大利公司“黑客團(tuán)隊(duì)”(Hacking Team)曾向美國聯(lián)邦調(diào)查局出售RATs。其他買賣漏洞的公司包括滲透測(cè)試公司Netragard和網(wǎng)絡(luò)漏洞監(jiān)管公司Endgame,還有像諾斯洛普·格魯門(Northrop Grumman)和雷神(Raytheon)公司這樣的大型國防承包商。

最近的估計(jì)預(yù)測(cè)工業(yè)間諜和其他數(shù)字犯罪將令公司企業(yè)每年損失數(shù)千億美元。波耐蒙研究所的一項(xiàng)新研究發(fā)現(xiàn)，被黑的企業(yè)受害者每條受侵害記錄的平均花費(fèi)在2014年上升到了154美元，比上一年增長了8%。