黑客絲綢之路

在留言板網(wǎng)站HackForums.net上，用戶公開打出提供入侵計算機和在線賬戶、用拒絕服務(wù)攻擊令服務(wù)器宕機、挖掘陌生人個人信息等服務(wù)的廣告，所有服務(wù)均需付費。黑客們通過一套評級系統(tǒng)進行排名，聲譽極高的用戶甚至可以提供“中間人”服務(wù)，以第三方擔(dān)保方式托管密碼貨幣，直到賣家完成承諾的任務(wù)再行付款。

我從不亂打聽。因為我不在乎。我只給他們一個警告：將遠(yuǎn)程管理木馬用于非法用途會導(dǎo)致牢獄之災(zāi)。

網(wǎng)站上一篇注冊地在開曼群島的帖子中稱：“我能幫你找人，把他的全部信息呈現(xiàn)給你(電子郵件、即時通訊賬號、社交賬號、位置、電話、家庭住址等等)。我可以幫你黑掉他的電腦，拿到所有文件、鍵盤記錄、網(wǎng)絡(luò)攝像頭視頻——他系統(tǒng)中的任何東西。根據(jù)你的需要，我可以把這些東西傳到你的RAT上，這樣你就可以耍他玩了。”RAT即遠(yuǎn)程管理木馬(remote administration trojan)：一旦偷偷安裝到你目標(biāo)的電腦、平板電腦或手機上，你就可以全權(quán)接管這臺機器的所有操作，你可以查看文件、截獲鍵盤敲擊等等。

一位昵稱Hax0r818的論壇用戶在Skype聊天中稱，他提供的服務(wù)就是培訓(xùn)RATs新手用戶，每年大約有300名左右的客戶。“我只是幫他們?nèi)腴T，因為RATs本來就不是用作黑客活動的，是父母用來檢查自己的孩子們都在網(wǎng)上看些什么的。”他寫道，“我不問他們?nèi)魏螁栴}，我不問。因為我根本不在意。我只給他們一個警告：RATs用作非法用途會導(dǎo)致牢獄之災(zāi)，并讓他們同意我的條款。”

Hax0r818只愿意透露他是21歲以下的未成年人，生活在澳大利亞。他提供RAT新手工具使用培訓(xùn)以及用于實踐的測試用虛擬機，每月僅收取5美元。

在通過表層網(wǎng)絡(luò)可訪問的網(wǎng)站之外，還有十幾個只有用Tor瀏覽器才能訪問的深層網(wǎng)絡(luò)市場，名字形如Hell、Agora、Outlaw和Nucleus，提供RATs和其他黑客軟件與服務(wù)，用比特幣進行交易。

“我16歲就開始經(jīng)營黑客和社會工程活動業(yè)務(wù)了，從沒有過一份真正的工作，所以我有大量的時間修煉黑客技術(shù)，過去20年左右我賺到了不少錢。”暗網(wǎng)網(wǎng)站Hacker for Hire的擁有者如此寫道。這家網(wǎng)站經(jīng)營范圍包括“搞臭個人、盜取信息、搞垮網(wǎng)站”，收費根據(jù)工作量大小低至200歐元高至歐元。“我以前曾經(jīng)給別人打工，現(xiàn)在我也依然為每個付得起錢的人提供個人服務(wù)。”

戴爾SecureWorks去年12月份的一份報告稱，諸如darkcomet、cybergate、predator pain和Dark DDoser等遠(yuǎn)程管理木馬的通常價格在20～50美元之間。相比去年這類軟件高達50～250美元的售價，價格明顯下降了許多。(價格下降的原因可能與某些RATs源代碼泄露有關(guān)。)黑進網(wǎng)站的價格也下降了不少，最高價從300美元下降到了200美元。

網(wǎng)上黑客服務(wù)價格

去年5月在紐約公開的一份聯(lián)邦起訴書中透露，一個名為黑影(Blackshades)的RAT研發(fā)組織通過在黑客論壇和自家網(wǎng)站上以40美元一套的價格向全球數(shù)千名買家售賣RAT，在4年間收益超35萬美元。官員稱，RAT客戶用這些木馬軟件偷取金融信息，通過網(wǎng)絡(luò)攝像頭監(jiān)視毫無疑心的受害者。

曼哈頓律師普瑞特·巴拉拉說：“RAT便宜又易于使用，但功能強大，侵入性令人驚嘆。”這位律師的調(diào)查活動是史無前例的全球性調(diào)查中的一部分，迄今為止已成功逮捕了超過90名網(wǎng)絡(luò)罪犯。

售價可高至3000美元以上的黑客軟件本身并不違法，還能被用于從事遠(yuǎn)程服務(wù)器管理和監(jiān)控公司電腦之類的任務(wù)。但實際上，這些軟件工具包和相關(guān)的服務(wù)常常被用于欺詐、拒絕服務(wù)攻擊或是網(wǎng)絡(luò)入侵。

“只要非授權(quán)進入別人的計算機系統(tǒng)，動了人家的任何東西，都是違法的，那就是犯罪。”計算機取證專家，佛蒙特州尚普蘭大學(xué)副教授喬納森·拉耶夫斯基說。

黑客軟件和漏洞利用代碼游走于法律邊緣

斯坦福法律講師梅耶爾認(rèn)為，黑客市場游離于法律邊緣。網(wǎng)站通常不用為用戶的違法行為負(fù)責(zé)，但觸犯聯(lián)邦刑法就是另一碼事了，比如說違反了《計算機欺詐和濫用法》這部監(jiān)管黑客活動的法案。這使得黑客市場的運營者可能面臨共犯或同謀的指控，有可能讓他們蹲班房。

黑客與毒販共襄盛舉，互聯(lián)網(wǎng)上最為臭名昭著的犯罪市場絲路(Silk Road)的運營者被控共謀黑客攻擊及其他6項罪名。名為“貨真價實”(TheRealDeal)的另一個新興暗網(wǎng)市場同樣通過匿名Tor網(wǎng)絡(luò)運營，專注于漏洞利用代碼，網(wǎng)站服務(wù)聲明稱其除了兒童色情、人口販賣和“涉及謀殺的服務(wù)”之外，什么都可以出售。

近期提起控訴的黑客雇傭案件：

去年，前紐約市警探埃德溫·瓦格斯(Edwin Vargas)因采用網(wǎng)上黑客服務(wù)監(jiān)視其前女友被判入獄服刑4個月。

3月初，紐約私家偵探埃里克·薩爾達里亞加(Eric Saldarriaga)面對聯(lián)邦黑客行為謀劃的指控承認(rèn)其有罪。檢察官指出，他曾雇傭網(wǎng)上黑客服務(wù)侵入其客戶對手的數(shù)十個電子郵件賬號。

4月，賓夕法尼亞蘭開斯特縣的扎卡里·蘭蒂斯(Zachary Landis)被控通過克雷格列表網(wǎng)站(Craigslist)雇傭黑客入侵縣法院系統(tǒng)抹去其罰款和法庭費用。經(jīng)過臥底偵查，目前他面臨7年刑期。

上周，美國商務(wù)部公布了一份可能要求全球范圍內(nèi)出售未公開零日漏洞的人必須持證營業(yè)的提案， 該提案將入侵軟件，連同其他“兩用”事物，歸類為潛在的武器。(回復(fù)“代碼武器”查閱相關(guān)文章)著名安全廠商賽門鐵克的一份報告稱，去年，野生零日漏洞數(shù)量達到了空前的24個之多。

新法應(yīng)該會幫助執(zhí)法部門對抗黑客黑市，但也有可能給一些公開售賣入侵軟件和軟件漏洞的公司造成妨礙。法國安全公司Vupen標(biāo)榜自己是“攻擊性網(wǎng)絡(luò)安全”提供商，為包括美國國家安全局在內(nèi)的客戶提供能入侵廣泛使用的軟件的技術(shù)，從微軟Word字處理軟件到主流網(wǎng)頁瀏覽器到蘋果iOS，入侵技術(shù)服務(wù)費用最高達10萬美元每年。意大利公司“黑客團隊”(Hacking Team)曾向美國聯(lián)邦調(diào)查局出售RATs。其他買賣漏洞的公司包括滲透測試公司Netragard和網(wǎng)絡(luò)漏洞監(jiān)管公司Endgame,還有像諾斯洛普·格魯門(Northrop Grumman)和雷神(Raytheon)公司這樣的大型國防承包商。

最近的估計預(yù)測工業(yè)間諜和其他數(shù)字犯罪將令公司企業(yè)每年損失數(shù)千億美元。波耐蒙研究所的一項新研究發(fā)現(xiàn)，被黑的企業(yè)受害者每條受侵害記錄的平均花費在2014年上升到了154美元，比上一年增長了8%。