打击黑客新方针:从单打独斗到联合围剿

前不久,工信部召集金山、360、瑞星、中国移动、中国联通、中国电信、淘宝、腾讯等企业进行了多次会议,集中讨论打击日渐猖獗的“病毒集团”。

这是工信部首次出面牵头对互联网黑客进行治理,并且将三大运营商引入联合作战,因为运营商在对互联网安全的治理上是最为关键的一环。

而此次行动的肇因是,金山软件在今年年初发布的《2010-2011中国互联网安全研究报告》中,提到了十大黑客集团的名单,这个名单以及报告中指出的日益严峻的互联网安全问题引起了相关部委的重视。

“这一次的会议虽然并没有形成任何行动方案,但预示着,对黑客集团的打击从过去的‘单打独斗’正在向‘联合作战’的形式演进。”知情人士告诉《中国经营报》记者。

源起一份报告

金山、瑞星等安全厂商每年都会发布常规的安全报告,揭示互联网安全的变化以及当前存在的重要问题。黑客集团化运作的情况在早几年的报告中都曾被提及过,但金山今年的报告中首次披露了十大黑客集团的名单,并且指出80%病毒的传播渠道被国内十大病毒集团所控制。

另一个关键点是,国家正在大力发展电子商务,2010年电子商务和在线支付都取得了巨大的发展。但同时,电子商务成为了黑客集团作案的重点目标。这无疑将对产业发生不良影响。

据记者了解,工信部召开的这次会议主要由四类人参加:一是政府人士,二是安全厂商,三是电信运营商,四是涉及电子商务的互联网企业。而各类企业参加会议的都是直接负责安全的技术人员。

这次会议的主要内容是政府向各类企业了解互联网安全的基本情况,听取各类企业从自己的角度反映现实问题。“十大黑客集团只是金山提出的,并不是所有企业都认同。但大家都认同两点,一是黑客的集团化运作,二是电子商务是目前的侵害重点。而且无论哪个厂商,都愿意一起打击黑客,特别是电子商务企业尤为急切。”上述知情人士告诉记者。

在这个会议上,各类企业还从自己的业务角度,提出了一些打击黑客的思路:比如提供基础服务的电信运营商,应该对其服务的企业加强监管,避免被黑客集团利用。同时,关于对黑客集团的侦破,电信运营商可以提供更多的监控资料。安全厂商应该加强对黑客作案地系统性监控,掌握更多其作案规律、手段,并加强对新病毒的处理能力。电子商务企业要与安全厂商合作,向安全厂商提供更多的病毒样本、案件资料,并且做好用户的安全教育等等。

“这些都是一些建议,并没有形成行动方案,也没有确定围剿目标。”上述知情人士说,会议上还有一些非常关键的决定,但现在不能对外公开。另外,公安部也已经介入,但公安涉及破案,介入程度并不清楚。

电子商务成为重点目标

2月下旬,IT从业人士——“一叶千鸟”发布了一篇博客,讲述他《在淘宝被诈骗5.46万始末》。他在淘宝上买邮票时,对方让他加QQ聊天。在他提出看实物的图片时,对方给它发了一个rar压缩包,就是这个文件悄悄地将其支付宝账号劫持。在其完成支付后,返回淘宝确认的页面却出现了报错。这时候他意识到可能出问题了,于是马上拨打招商银行的客服咨询资金去向,订单确实没有支付给淘宝,而是到了上海汇付天下有限公司名下。很快,这笔钱又被转到广州网之易信息技术有限公司。很快,这笔钱就又被转出,购买了1万多的游戏点卡和4万的手机充值卡,并且已经充给100多位用户。据记者了解,此案正在侦破过程中。

“一叶千鸟”本身是IT从业人士,在被骗之后马上追查资金去向,但还是没有快过黑客集团,短短的几个小时内,就已将钱成功转出。这是一个典型的针对电子商务的集团作案。

这就是在2010年兴起的“网银超级木马”病毒。该病毒主要通过IM软件进行传播。当网民在网上购物时,一般会与商家讨价还价,有的黑客会先建立一个网络店铺,在利用聊天软件讨价还价的时候,把伪装为图片的木马发送给网民,网民点击后就会中毒。当网民在利用网银支付的时候,该病毒就会发作,把原来的账户替换成黑客自己的,这样,网民支付的钱就进了黑客的口袋。“网银超级木马”利用了第三方支付HTTP网页与网银的衔接认证缺陷,可以危害几乎所有的网络银行与第三方支付的衔接环节,窃取成功率极高,犯罪后极难追查。

这正是在2010年,互联网安全呈现出来的新特征:几年前,病毒木马的主要目标是网络游戏玩家,病毒产业链的经营是围绕盗号和洗号展开。病毒的传播方式主要是网页挂马和木马下载器,病毒集团要将偷来的虚拟物品在网游装备交易平台来变现。2010年后,网购成为网民最广泛的应用网络购物的市场规模超过4300亿元;网购人群也大幅度增长,在2010年,使用过网络购物的互联网用户更是接近两亿人。如此广泛的应用令从事网络犯罪的不法分子异常活跃,在2010年,针对网购的攻击明显增长。不少网民深受钓鱼网站、网购木马之苦,B2C、C2C业务因病毒木马的威胁面临诚信危机。

以前黑客们编写病毒主要为了窃取网游账号、QQ号,但窃取几十万个QQ号,也许仅能获利几万元。现在黑客普遍改成了主要瞄准网银用户。这样,要获取同样的经济利益,以前要让几千人中毒,而现在只要盗取一个支付宝账号就行。以“网银超级木马”为例,在某地的受害用户中,甚至有人一次被骗走60余万元。此前“熊猫烧香”病毒感染数百万台电脑,其作者李俊最终获取的利益不过14.5万元,两者相比风险和收益相差巨大。

另一场商战

此次工信部出面牵头对黑客进行打击,正是源于今年年初金山发布的一份安全报告。事实上,这类安全厂商每年都会发布一次安全报告,有几个方面的作用:一是对安全趋势进行总结、分析,二是给相关政府部门一个决策参考,三是对用户进行教育、提醒。当然,在对病毒分析的背后,也隐藏着安全厂商推广自己产品的意图。

对于金山提出的十大黑客集团如此吸引眼球,业界同行并不完全认同。“黑客集团化运作早就存在,只是金山在利用这样的机会去做市场营销。”一位同行竞争对手分析道。

在安全领域,每一次大的病毒爆发,都是厂商做营销的机会,这次也不例外。尤其是在360打响免费大战之后,这个市场的竞争更加激烈。金山一位内部人士坦言:“我们也没想到这份报告会有这么大的影响。”

他告诉记者,360的用户覆盖很大,金山必须找到自己的强项与其竞争才有机会。

在“十大黑客名单”被广泛重视之后,金山意识到这是一次绝佳的市场机会:第一,这是金山技术包装的机会,可以让外界对金山的技术有更深的认知和认可。第二,联合作战可以使金山有机会跟一些重量级的伙伴合作,比如淘宝、腾讯以及三大电信运营商,而事实上,腾讯和淘宝都已经开始了与金山的合作。第三,这是亲善政府关系的绝佳时机。第四,借势宣传可以使用户广泛认知十大黑客集团的危害,间接知道金山是可以保护用户不受十大集团的侵害,因此也是产品宣传的机会。

与金山不约而同,瑞星今年的《瑞星2010年度安全报告》重点也瞄向了网络购物。瑞星最近也推出了“安全网购套装”,同理,金山毒霸2011 SP6版本集成的网购保镖也正是金山近期着力打造的产品。

围剿将是持久战

但是,仅凭金山的一份报告,工信部组织的一次会议,距离实现对黑客集团的围剿还有很长的距离。“这事都宣传得这么大了,黑客集团一定会避风头的,怎么围剿呀?”一位业内人士不无担忧。

“我们监测得到的都是数字,无法与现实当中的人联系起来。”金山安全反病毒工程师李铁军在接受记者采访时表示,安全厂商能做的工作很有限,必须有其他各个环节的通力合作,才有可能实现对黑客的围剿。他举了一个例子,比如黑客做案的IP地址都是经过跳转的,作为安全厂商无法进行监测,追查到真实的IP地址。但电信运营商就可以做这项工作。“如果各类企业的情报是互通的,产品是相互嵌入的,这样的协作会使得黑客的攻击成本大大提高。”

在黑客集团化运作的同时,一些互联网企业也在其中扮演了“协助”角色。“病毒这个问题不是一个纯粹的技术问题,已经演变成一个社会问题。互联网产业有一些企业可能多多少少和病毒集团有一些经济上的关联。”李铁军强调,这需要行业主管部门,对这个产业的上下游关系进行一些必要的管理,然后尽可能从经济上切断病毒集团运作的链条。

据了解,工信部这次召开会议的目的也是号召产业链上的各个环节联手应对安全问题。

对黑客的围剿是一个非常艰难并且漫长的过程。据微软相关人事介绍,微软在近两年分别采取了代号为“b49”行动和“b107”行动,打击了两个庞大的垃圾邮件僵尸网络。在这两次行动中,微软内部调用了网络犯罪调查部、恶意软件防护中心、可信赖计算理念及战略部门三个部门,外部还与运营商、受害企业、学术界以及各国的政府合作,才完成这两次行动。“合作是成功的关键。”这是微软在打击僵尸网络的过程中所获得的最宝贵的经验,没有一个企业能够单独完成这种工作。