去年年底,互联网上出现了几个假冒中国工商银行、中国农业银行的欺诈性网站,还有假冒银联卡的网站,这些网站与现实中真实的银行网站域名十分相似,它们煞有介事地要求用户输入个人账号信息、网络银行登录密码等个人隐私资料,目的是骗取用户信息后利用这些资料提取上网用户账号中的现金。
互联网没有国界,病毒数小时内即可在全球范围传播,网络犯罪也是如此,新的犯罪手段刚出现,很快就会以几何级数的速度在网上传播,认真分析网络病毒和网络犯罪的新特点,有助于完善我们的安全政策和网络安全法规。
网络病毒与犯罪的跨平台化整合
熟悉计算机的人都知道,计算机病毒是在DOS单用户、单机操作系统时代产生的,当时病毒的传播主要依靠软盘这类移动介质,与今天的病毒和蠕虫相比,这类病毒简直是小巫见大巫,其最大危害无非是删除文件和导致系统死机。
进入网络时代后,由于软件开发缺陷、网络高速传播和海量储存的特点,病毒、蠕虫已经成为威胁网络运行的重大危害,有可能给社会运行造成重大灾难。
最初利用网络进行非法活动的是一些技术高手或涉世不深的少年,他们的目的多半是为了证明自己有超出同伴的“高超技术”,但也会给一些机构和个人带来损失。然而,近一两年来,以营利为目的的网络犯罪急剧增长,犯罪的组织化程度也大大提高了。例如,有网络犯罪集团假冒巴西银行实施类似假冒工商银行网站的骗术,以盗取用户账号信息,该犯罪集团人均非法收入达100万美元。
传统IT应用的特点是传播平台的单一性,例如,电脑用来发送和接收电子邮件,手机则用于语音通讯,用户不能用电脑进行多媒体通讯,也不能用手机传输文字、图像,更不用说视频了。由于传统IT应用平台本身的局限,在一般情况下病毒和犯罪不会跨越平台蔓延和发展。
技术创新很快打破了传统应用的固有界限。今天的电子邮件不但可以传输语音文件,还可以传输MP3和更复杂的多媒体视频。同时,由于即时信息软件(IM)的出现,人们可以在网络环境下非正式和正式地讨论问题和交换信息,互联网概念创始人之一的Vint Cirf曾经指出,所有的信息传输媒体-包括短信(SMS)、电子邮件、即时聊天和语音邮件都是同等重要的。
我们已经看到,跨平台的应用整合已经成为现实,手机早已突破了传统的语音通讯局限,成为可传播短信、图像和视频的名副其实的多媒体平台,手机不再是移动电话,而是移动的数码相机、摄像机和电子钱包。此外,新开发的IP电话可以将语音信息转换为数字文件,该数字文件可被转发到电邮的收件箱内,这样用户就可以通过电话来收听转换成音频的电邮。最新桌面电邮软件可直接匹配即时信息,软件收到邮件后可在第一时间通知IM用户。
各种应用的跨平台整合产生的最直接效应是:网络病毒与网络犯罪的跨平台整合。垃圾电子邮件很快被应用于即时信息和手机短信。
今年10月,美国最大的互联网服务商美国在线公司(AOL)提出一项引人注目的新法律诉讼:美国在线首次起诉了通过即时信息或聊天室发送垃圾信息的当事人,为此特地发明了一个新的词汇-“Spim”(Spam通常指垃圾电邮)来定义即时信息和聊天室中的垃圾信息。就我国的情况看,即时信息软件(MSN、QQ或其他聊天软件)和公共聊天室中同样存在垃圾信息泛滥现象,手机短信更是垃圾信息和欺诈信息的重灾区。
嵌入式操作系统的普及标志着应用设备的无缝连接和跨平台整合,今天无数的电子设备采用了嵌入式操作系统,如手机、PDA、MP3播放器、便携式游戏机,其中许多设备具有蓝牙和无线局域网功能,可下载Java程序。从理论上说,可下载程序,就可下载病毒,这一点已得到证明。今年六月,俄罗斯安全公司首次发现了针对Symbian智能手机操作系统的Cabir蠕虫病毒,Symbian操作系统是大部分智能电话采用的操作系统,Cabir蠕虫的传播性较差,因为它需要用户同意才可下载,属于“概念证明”型蠕虫。
数月之后,又出现了名为“骷髅”(Skull)的手机病毒,骷髅也是为Symbian操作系统编写的,一旦病毒感染了手机,骷髅的白骨图表将替代原操作系统中所有程序的图标,手机操作系统将丧失所有的功能,用户只能用手机通电话。
间谍软件和商业化网络攻击
如果网络用户还不太在意病毒、垃圾电邮这类威胁,他们现在又遇到了新的网络犯罪形式-间谍软件(Spyware或Adware),又称监控插件或广告插件,间谍软件是指在电脑用户不知情的情况下侵入系统并安装在电脑上的秘密程序,它可以改变用户设置、以弹出式广告干扰用户、还可以监控用户的浏览动态。间谍软件可导致电脑故障、速度降低和崩溃。
间谍软件主要出自于一些利欲熏心的公司,它们采用各种技术,将消费者引导至自己的网站,通过这些网站,消费者将间谍软件下载至自己的电脑,这些间谍软件大多利用IE网络浏览器的特点来下载软件,在消费者不知情或不同意的情况下下载了软件。
美国联邦交易委员会的消费者警示指出,间谍软件改变了消费者主页,改动用户搜索引擎,并且激活了弹幕式的弹出式广告。此外,间谍软件还在用户电脑上安装了附加软件,用来追踪消费者电脑使用习惯的软件。许多电脑因此发生了故障,有的用户还丢失了数据。
绝大部分用户是在无意之间下载了间谍软件,一旦被下载,这些电子黑客隐藏在用户的硬件中,它们不断地向用户提供广告;或重新引导浏览器转向某个网页;或者向商家报告电脑用户的活动和个人信息。
有专家估计,互联网上流传着数万个间谍软件,无论是对公司用户还是消费者个人,间谍软件都存在的现实和潜在的危害。但是有关调查表明,许多人对间谍软件的潜在危害认识不足。据美国Equationy研究公司的一项调查,虽然有70%的公司IT经理表明他们日益担心间谍软件,但是只有不到10%的公司安装了反间谍软件的工具。
有关研究表明,最近两三年来,间谍软件一直在自我复制安装,现在已经到了一个拐点。刚开始是某台电脑崩溃或重新启动,现在是公司网络的许多机器都受到了影响。同样的情况也发生在消费者身上。全美网络安全联盟指出,被调查的消费者中有91%的人被上传了间谍软件,普通消费者基本上不知道间谍软件可通过文件共享程序被传输和安装。
另一方面,成千上万的普通家庭的个人电脑正在被垃圾电邮发送者、网络骗子和数字黑客租用,而电脑的主人却毫不知情。
这就是商业化的网络攻击。我们知道,较古老网络攻击通常源自“技术黑客”,许多人没有明确的攻击目的,只是为了炫耀和试验。但商业化的网络攻击则是指此类攻击的运作和目的完全商业化了,无论是出卖资源的攻击者或攻击本身,都无一例外地以营利为目的。
具体运作方式是:无数用户的电脑终端被病毒感染后,这些电脑就变成了黑客眼中的“怪兽”(Zombies),意思是说它们听命于恶意和看不见的控制者。控制者将这些电脑连接起来形成巨大的计算资源,打造成怪兽电脑的强大网络,安全专家将这种现象称之为苍蝇网。
英国苏格兰场(伦敦警察局)反网络犯罪部门称,英国年轻的电脑黑客们构建了1-3万台电脑数量的苍蝇网,他们把网络资源出租给任何出价高的人。英国警方专家估计,全球可能有数百万台电脑被用于犯罪团伙的商业化竞价,换言之,你出钱就可以找到在任何时段发动网络攻击的电脑簇,竞争使电脑的出租价格降为每小时100美元。
由于网络上看不见的黑手,这些普通的电脑成为垃圾电邮发送者和黑客攻击者得心应手的工具。垃圾电邮发送者用这些不受怀疑的电脑用户名字发出洪水般的垃圾电邮,推销名目繁多的商品和骗局。为了打击竞争对手,曾有一家美国网络公司CEO花钱雇佣黑客对竞争对手网站实施拒绝服务攻击。国内一些商业网站和普通社区网站都曾遭受某些来路不明的攻击,事实上这些攻击通常暗含商业目的。
网络攻击的商业化的后果是灾难性的,贪婪的本性与利益的驱动将使得网络资源的非法交易和攻击行为愈演愈烈。
古老骗术的翻新-诱饵骗局
本文开始提到的工商银行等假冒网站实际上是一种非常古老的诱饵骗术,诱饵又称钓鱼,恰好符合那句大家耳熟能详的俗语-“姜太公钓鱼-愿者上钩”。
今年被网络安全业界称为诱饵电子邮件欺诈年。据美国电子邮件安全服务商MessageLab公司的统计,今年9月,该公司共屏蔽了200万封诱饵电邮,而去年同期诱饵电邮的数量仅有279封。该公司今年屏蔽的诱饵电邮数量超过1800万封。
诱饵电邮是指骗子假冒银行、电子商务公司和信用卡公司的名义向用户提出证明身份的要求,它们通常在电邮正文中要求用户打开电邮链接,用户一旦打开假冒网站的链接,该假冒网站要求用户输入账号信息和相关口令,以窃取用户财务信息。现在的诱饵电邮更加狡猾,有的可直接盗取用户电脑中的个人信息。
对普通消费者来说,诱饵电邮攻击已经非常广泛,相关研究表明,大约有5700万美国人曾经接到过这类欺诈邮件。市场调查公司Gartner说,诱饵电邮造成的ID欺诈盗窃给美国银行和信用卡公司用户带来的损失一年高达12万美元。
面对花样翻新的网络犯罪,笔者认为有必要研讨新的法律对策和安全政策。首先,面对网络犯罪的跨平台整合趋势,国家应当考虑制定前瞻性的反垃圾信息法,这里所谓的垃圾信息并不局限于垃圾电邮,它应当包括垃圾手机短信、垃圾即时信息(Spim)等各种垃圾信息。新的法规应当规定各种运营商、服务提供商(SP)各自的反垃圾信息义务和法律责任。
当务之急是要划清垃圾信息和商业广告的界限,为此,可以参照美国联邦交易委员会规定的商业广告定义,当然,这里需要细化的实施规则,详尽规定广告电邮服务商(包括即时信息广告、手机短信广告等多种形式)的准入资格、法律责任和罚则。有了商业广告信息和垃圾信息明确的划分,就可以引导企业开展正常的电邮广告业务,同时也为打击垃圾信息发送者提供了可操作的法律依据。
第二,针对间谍软件和网络攻击商业化的新特点,我们也必须启用“看不见的手”,用市场的力量予以反击。应当鼓励国有公司、民营公司组织自律性的行业组织,以便交换信息和制定本行业的安全政策。行业组织应具有商业化的运作模式,应当对金融机构、互联网服务商和其他服务商提出明确的要求,要求公司企业提出各自的解决方案,以便将网络欺诈和网络攻击的威胁减少到最低程度,即便无法完全消除。显而易见,如果服务商自己没有明确目的,也没有行业组织推动,那么消费者对网络和在线交易的信任感会逐渐丧失,结果是网络银行用户不再上网,电子商务用户不再参加网上交易,最终受伤害的是整个网络和市场整体。
建立举报奖励制度。微软公司建立病毒举报奖金制度后,一些民间企业纷纷效仿。或许是传统市场调节思维方式的影响。美国政府也准备建立向垃圾电邮举报者发放奖金的制度。美国联邦交易委员会已经向美国国会提出了一次性最少10万美元、最多25万美元的悬赏方案。该委员会的报告说,建立举报奖金制度有利于提高反垃圾电邮的效率。我国也可考虑建立举报奖金制度,重奖举报人。
总之,运用市场力量反制网络病毒和其他非法行为应作为网络安全法规的一项基本原则。
作者:沈卫利