看看近期,诸如大公司被黑这样的新闻不断,让企业管理者们不得不浮想联翩。这一连串的受害者都是赫赫有名的,像是Google,RSA,VISA,万事达,花旗银行,EPSILON,美国参议院,英国国家医疗保健服务,Fox,当然还有SONY。然后就在几天前,美国中央情报局的网站也变成分布式拒绝服务攻击(DDOS)的目标。最近大量发生的这些攻击也让许多问题浮上台面。这种集团式的攻击手法是新的吗?这是网络间谍活动向网络战争层次的升华么?这对未来的互联网又有什么样的影响?
图片来自brittgow的Flickr
八十年代初期黑客开始组织化
黑客组织这个想法并不是新蹦出来的,其实早在八十年代初期他们就开始蓬勃发展,在早期的家用电脑时代,讨论区的成员互相分享资讯,互相学习和比较能力。早期这些团体会取名像是军团末日(Legion of Doom, LOD),死牛邪教(Cult of the Dead Cow, cDc)或是欺骗大师(Master of Deception, MOD),他们的特别之处并不仅仅是造就初期网络的黑客场景和催生黑客主义,还有更严重的是盗用电话线路。
九十年代另类黑客团体,组织运作像研究机构
九十年代则出现了另外一种黑客团体,像L0pht(L0pht Heavy Industries),他们的组织运作比较像是研究机构,提供用来作渗透和安全测试的工具软件以及发布信息安全新闻。这个团体还曾有个知名的举动,就是在1998年在美国国会作证,宣称他们可以在30分钟内瘫痪整个互联网。L0pht后来和@stake合并,然后最终被赛门铁克给收购了。
21世纪初展开全球性企业攻击
然后在21世纪的这头十年,我们看到了Anonymous的崛起,以及最近的LulzSec。Anonymous这个团体的形成,一开始是出现在留言板上,如臭名昭着的4chan,目的是攻击山达基教会,然后在媒体大幅报道之后也变成越来越大了。他们并不是一个封闭的组织,相反地,当Anonymous开始他们支持维基解密的活动时,他们积极寻求一般人的参与。数以万计同样感到不满的志愿者下载工具,来参与全球性对企业的攻击。最新版本的工具让使用者将他们手上可以当做攻击武器的电脑控制权交给中央(Anonymous),以便更好地指挥和控制攻击活动。而另一个团体LulzSec则保持了传统的封闭团体特性,而根据他们的网站,他们并没有特别的动机,只是想表现无政府状态。
“我们是LulzSec,一群有着开心笑脸的小团队,我们觉得网络社区的无聊会影响到真正重要的事情:乐趣。考虑到现在乐趣只局限在周五,我们期待着周末,在周末,我们决定采取自己的方式来散播乐趣,乐趣,乐趣,在这一整年 “。
当然,类似的团体也已经出现在世界各地,偏远如巴基斯坦和印度,那里各个团体彼此间激烈竞争。在罗马尼亚的团体,像是HackersBlog已经攻击了许多家公司。在中国和俄罗斯,许多黑客都被认为是他们政府的打手。
窃取资料卖售赚钱
但并不是所有的黑客都是为了乐趣或是荣誉,有组织的犯罪集团已经出现很多年了,在过去12个月内,针对整批网络信息的攻击频率明显的增加了,如SONY,EPSILON或是花旗银行,窃取资料的目的主要是为了赚钱。只要一次成功的攻击,就可以拿到这么大量可供出售的个人资料。
另一种最近显着上升的现象,是国家等级的活动。同样的,虽然最近新闻特别的报道,但这其实也不是新消息,2003年的Titan Rain攻击,也被暗示着是由中国所指使的向军事和政府目标窃取大量资讯,而2007年的gh0stnet事件也同样指回中国,因为Aurora攻击就发生在下一年。今年也已经看到相同的动机去攻击RSA,欧盟理事会,法国财政部,加拿大政府,Lockheed Martin(美国国防部的最大军火供应商),当然还有Stuxnet。
基于这么多技术和密码学的进步都是根源于百年来的的间谍活动艺术,我们应该不会惊讶于看到各国的情报部门利用先进的工具和技术,来进一步获取国家或经济利益。
我们知道这些并不代表全球网络在崩溃,或是网络经济和国家安全的终结。就像这世上的其他事物一样,我们也渐渐的在进化。信息安全公司,个人和企业的发展必须跟上步伐,也许从这些家伙这几年来一直教导我们的中间学到一些教训。加密你的数据,发展资讯安全,正确的设定,有效地测试你的防御措施,使用复杂的密码,强化你的安全漏洞,以这些攻击会发生的前提下来建立自己的系统。