■今日视点
本报记者 常丽君
科幻电影《黑客帝国》像是盘踞在某个根据地的散股游击队,而真实的“黑客帝国”则是遍布全球、价值达数十亿美元的网络犯罪产业。
多年来,美国智库兰德公司一直在调查网络犯罪,他们发现,来自数字世界黑社会的威胁在不断上升,黑客们会出售服务、接受雇佣,把偷窃的信用卡号以几便士的价格卖出去。这份研究有助于消费者从攻击者和防御者两方面确定各种威胁,抓住其中关键,尽可能避免损失。
网络攻防战中,黑客已领先
据兰德公司今年初发布的一份报告估计,仅去年美国就有6400万成年人(超过成年人口总数的1/4)收到通知,告知他们的个人数据,如信用卡号、病例记录、数字身份等受到黑客攻击或被盗取——网络犯罪使越来越多的人成为牺牲品,其广度和复杂程度已堪比非法毒品交易。
大部分案例是偷盗信用卡号或财务记录,这是网络犯罪的主要部分。此外,至少有1/5的受害者称,他们的健康记录和社会安全号码丢失。研究人员警告说,这一统计非常令人担忧,因为要想找回或修复这些记录很困难,而这些信息对身份盗用、医疗欺诈、邮件勒索等却很有用。
该报告还调查了消费者对数据被破坏的态度和反应。令研究人员感到意外的是,消费者对个人信息受到攻击或被盗通常不会采取什么行动来保护自己的利益。约2/3的受访者表示,在受到攻击后,他们同意接受免费信用卡监控服务,这个概率比研究人员原来估计的要高得多。但近一半的用户因怕麻烦而不改变原来的账户密码;近90%的用户称,他们会继续用被盗的数据和公司进行业务往来。
“最近的趋势是攻击方正领先防守方。”兰德公司网络安全与信息系统分析师莉莲·艾伯伦说,“消费者好像相当宽容,对一些公司来说,好像也没什么刺激他们改变做法。”
网络犯罪产业,价值几十亿
网络黑市是个繁荣的市场,里面挤满了黑客和网络罪犯,他们在黑暗聊天室或秘密论坛聚会、交易。研究人员发现,网络黑市的运作极其复杂、老练,其内部架构就像商品交易所,黑客们在网上展示琳琅满目的商品,就像亚马逊或eBay一样热情好客。
网络黑市也有规则和管控,由他们自己的管理人员维持秩序,有自己的代理商、商贩、中间人、货币兑换人等。知道门路的顾客能在这里找到任何他们想要的东西,从医院病例到专门受雇执行各种任务的黑客。只要价格合适,甚至能买到进入私人电脑或公共服务器的秘道,称为“零日漏洞”。
研究人员发现,一些黑客团队还因各自专长打出了品牌。比如,俄罗斯黑客以高素质著称,越南黑客集中在电子商务,中国黑客在知识产权领域擅长,美国黑客往往精通金融犯罪。据专家估计,网络犯罪市场规模至少已高达数十亿美元。据研究人员推测,在某些方面,它甚至比非法毒品交易利润更高。因为进入这一行业成本更低,参与风险更小。“要变成一个网络罪犯非常容易,你只需要连上互联网就行了。”艾伯伦说。
胜负难以预料,较量将持续
负责网络防御的安全人员正面对“第22条军规”,在网络安全上似乎无论花多少钱都不够——只在成功攻击之后做补救是不行的。研究人员称这种情况为“防守的困境”。
目前,全世界每年花在网络安全上的钱已达到800亿美元左右。然而,通过对公共与私人网络安全负责人的采访,兰德研究人员发现,他们对何时才能占上风并没信心。他们有一条严峻的格言:在网上竞争应该总是假设黑客已经得手。这也表明,公司和政府安全部门最担心的不是数据损失,而是丧失名誉和公众信任。这让赌注成指数级增长,甚至故意制造一些无害攻击作为警示,进一步增加了安全成本,有时甚至远远超过防御实际威胁的需要。
随着物联网的发展,形势会变得更严峻。到2020年,联网的设备数量可能达到全世界人口的6倍——每台设备都可能成为一个潜在的新漏洞,被黑客们在网络黑市上买卖。如果一台寿命20年的冰箱也要打20年的安全漏洞补丁,消费者能否接受这一点呢?
兰德研究人员指出,组织机构需要以新的方式来考虑网络安全,如果他们将安全成本更多地花在最危险、最可能的威胁上,而不是任凭软件商贩描绘梦魇似的场景忽悠,才能更有效地保护自己。由于网络安全行业面对的严峻形势,反过来也驱动了安全工具市场的发展,至少让黑客行动变得更困难、代价更高。苹果iPhone的例子说明,保护私人数据是可能的,即使FBI这样的高手要突破它也不容易。