《瞭望-LW》
看你所看不到
文/瞭望-LW
引言
相信大家对于“技术黑客”这个词已经不再新鲜,但在互联网迅速发展的这些年,大家对“技术黑客”所从事的活动却十分陌生。除了很多技术大牛是为了纯粹的技术爱好而从事黑客活动外,也有很多人是为了纯粹的利益。从某些软件或系统上发掘技术漏洞,并利用这些漏洞赚取了丰厚的意外之财,正是这些利益的驱使,令某些人执着于追求技术,从事黑客活动。
01-“某宝”技术漏洞
河南一名胡姓男子被检方告上法庭,他被控告利用淘宝技术漏洞,半年从中获利1300万。
很多人认为胡某是一名技术黑客,其实不然。事发后,人们才发现胡某才不过是一个20岁出头的小伙,学历才初中不到。
他这次收获的意外之财,不是因为他的技术能力有多牛,而是因为淘宝网的一个"低级漏洞"。
胡某在一次购买淘宝网推出的优酷会员礼包促销活动时,发现自己余额不足支付失败时,返回支付宝账户竟然意外发现多了120元。
遂后,胡某利用该系统的这一故障,恶意制造账户余额不足的条件,窃取了淘宝网10余万笔,共计1300余万元的钱款。而在他成为”千万富翁“前,他只是在淘宝开了一家店铺,从事软件销售。
在胡某被带上法庭时,大家普遍认为他是一名技术高手,而事实恰恰相反。当戴着眼镜,个子瘦小的胡某出现在大家面前时,大家才觉得不可思议。他才20岁出头,满脸稚气,在庭审中他当庭表示认罪。
据悉,获利后的胡某慈心大发,经常在YY视频网站上打赏女主播,其中最多的一次,给了女主播8万元。当他被抓获后,仅剩300多万,其余已经被胡某挥霍一空,其中大部分钱被他用作打赏YY视频主播。
相对淘宝这一”低级错误“或”低级漏洞“,国外一些技术黑客似乎要更为专业,他们利用自己的技术优势,对大公司的系统或软件进行侵扰,并从中获利。
02-TJX银行卡失窃事件
2008年的TJX银行卡失窃事件是震惊海外的黑客盗窃事件。当年,美国服装和家庭时尚低价零售商TJX的支付系统被黑客入侵,大约9400万位客户的银行卡被盗。
当事件在当年被评为史上最恶劣的的黑客入侵事件,因为当时的美国才不过3亿人口,接近1/3的人的银行卡被盗,影响十分广泛,民众对TJX发生这样的信息安全事件不满,担心自己的银行卡信息已经被泄露或兜售,给自己带来经济的损失。
负责此案的FBI调查官员历经半年的调查,终于将犯罪嫌疑人特·冈萨雷斯抓拿归案。但事实上,接下来的结果令大家都意外得大跌眼镜。
原来,特·冈萨雷斯被抓时还是美国特勤局员工,当时的他正以75000美元的薪水在特勤局工作。这样的调查结果令美国特勤局蒙羞,但也不能令公众的怒火平息。
特·冈萨雷斯唯一的动机是技术好奇心,他被诊断为患有亚斯伯格症和电脑成瘾。他对征服计算机网络尤为痴迷,他单纯的目标是”计划赚1500万美元,买一艘游艇,然后退休“。
但他的行动在检方的一些列证据下,证实他的计划是有预谋的。他在2005年至2008年在美国制造了一连串的信用卡盗窃事件,这些行为为他的个人账户带来了1.7亿美元的收入。
虽然这些收入已经超出了他当初”1500万美元便收手“的目标,但他已经不能控制自己收手。他甚至利用自己的职位之便,在他的部分行动中使用SQL注入来窃取私人计算机网络的用户数据,并启动欺骗攻击,以获取私利。
他这一行为最终令美国特勤局的形象和颜面扫地,为此,美国特勤局全局上下进行了一次严格的清理调查,意在与那些”精神有问题的雇员“撇清关系。
最终,特·冈萨雷斯被判监禁20年。后来又因为盗取了1.3亿张信用卡和借记卡资料被判处终生监禁。至今,他依然活在美国监狱中。他疯狂固执的行为最终付出了惨痛的代价。
03-世界头号军事黑客
2002年,弗吉尼亚迈尔堡陆军炸开了锅,涉及到该军司令部的管理员特权、密码、信息和指令被黑客盗取,大约1300个用户帐户删除。
这一事件在当年十分敏感,因为鉴于当时并不稳定的国际环境,美国不得不将怀疑的目光投向相互竞争的军事国家。毕竟在当时,还没有个人傻到敢于向美国陆军叫板。
经过美国的层层调查,才将疑犯锁定为6000公里外的英国男子:麦金农。麦金农于2002年被英国政府逮捕,他被控诉入侵美国军方和美国国家航空航天局(NASA)的计算机网络。
而在麦金农被捕时,他不过是一位失业的电脑专家。他的行为被美国认为是美国有史以来最大规模的一起军用电脑入侵事件”。
而事后,麦金农对这一事件作出回应。他认为,进入美国军方的计算机网络就像“进入花园那样简单”,“一些计算机甚至没有设置开机密码”。
这让美国军方恼羞成怒,据报道,美国国防部每年有300亿美元的预算用域加强计算机网络安全,以及对付黑客的攻击。而在麦金农看来,300亿美元干的活却是一项豆腐渣工程。
麦金农认为自己不过是一名普通的电脑爱好者,他可以在很轻松的状态下就进入了美国军方的网络。这让美国军方十分丢脸。
当年美国军方发言人克鲁来说:黑客们,别招惹美国政府和军方的计算机网络,否则没有好果子吃。
美国希望拿麦金农开刀,来一个杀鸡儆猴!
但事实上,没有任何证据证实麦金农利用手上获取的数据信息牟利,这仅仅是他的一些“个人偏好”。麦金农辨称他只是普通的电脑爱好者,之所以侵入美军方电脑系统,只是寻找有关外星人和UFO的绝密信息。美国甚至无法就麦金农的引渡问题达成一致。
他甚至被嫌疑为,在“9·11”恐怖袭击之后的“非常时期”,利用黑客技术使美国至关重要的国防系统在短时间内陷入瘫痪。
麦金农对此作出回应:”美国的安全保卫体系有漏洞,我将会继续制造混乱!“据了解,在2001至2002年,麦金农不少于97次成功地进入美国军事和航空航天局网络的系统。
他是第一个向美国军方网络发起攻击的网络黑客,他也因此成为“世界头号军事黑客”。
美国军方一直在致力引渡他,并对他的行为饮恨至今。换做当时部分媒体的话,就是”美军方恨不得将他下油锅“。
04-国外黑客招安计划
近年来,随着互联网的兴起,以及全球计算技术的广泛普及和推广,让更多的技术爱好者参与到了黑客行列。
这意味着,作为赖以技术发展的互联网公司,更加的担心自身漏洞被黑客捕获,造成经济上的损失。
为此,各家互联网公司为响应这一危机,绞尽脑汁,推出了各种黑客”招安计划“。
微软公司宣布启动了漏洞赏金计划,以每天440万美元的赏金,对每年从微软系统发现的漏洞的白帽黑客进行奖励,确保了数百万客户的信息安全。
谷歌Google全年开放黑客奖金,他们可以随时向谷歌提出漏洞以及漏洞修复建议,他们会根据漏洞的严重程度,对提出此漏洞的黑客进行数额不同的奖励,最高可获150万美元的奖励。
谷歌还经常举办活动邀请黑客攻击自己的产品,并给予奖金,让黑客可以继续为 它寻找漏洞。
Facebook推出漏洞奖励忠诚计划 Hacker Plus。Facebook 公司表示它计划根据每年研究员提交的漏洞报告总数量、分数,将根据分值对白帽黑客进行不同级别的奖励。
作为目前世界上最大的游戏平台,Steam平台的创办公司V社在近日公布了奖励计划,发现平台中漏洞的网友将会根据系统问题的严重性来换取数额不等的奖金。
05-国内黑客招安计划
相对于国外的“黑客招安计划”,国内的互联网公司也纷纷效仿。他们纷纷自建各自的漏洞平台,对漏洞报告者作出奖励。
腾讯安全应急响应中心(TSRC),自建在线漏洞报告平台,目前发出的单个漏洞最高奖励金额是12万元。除对漏洞奖励大手笔外,TSRC还定期地在全国各地举办安全沙龙与技术分享,促进安全从业者间的交流和技术进步。
网易安全中心(NSC),国内出现的第二个厂在线漏洞报告平台。从2014年开始,网易也开始增设现金奖励计划,并且在逐步提高奖励额度,进一步“招安”白帽黑客。
百度安全响应中心(BSRC),BSRC成立于2013年6月,除漏洞奖励外,他们还举办过各种挑战赛,线下安全沙龙等活动,也专门针对百度移动产品举办过现金奖励计划。
阿里巴巴安全应急响应中心(ASRC),相比腾讯、网易和百度,阿里在安全上应该是最为大方的厂商。 ASRC成立于2013年10月,也是SRC平台中的大土豪之一,单个漏洞的最高奖励为10万元。ASRC也定期在各地开办“雷锋互联网安全沙龙”。
而作为国内云业务头把交椅的阿里云,更是通过各路的招兵买马,汇集全球各路网络安全好手,意在收拢和招安全国各地的黑客高手,为其服务,它是在互联网企业中针对网络安全最为舍得下重本的公司之一。
06-结束语
21世纪的安全是信息技术的安全,大部分人的行为都通过互联网关联,很多人的利益都与网络互通。
而在我国,一个手机走天下已经不是什么新鲜的事儿。微信、支付宝等网络聊天、支付工具盛行,把人们带进了全网信息时代。
在这样的环境下,现在的人几乎是全透明的,人们的个人隐私和信息安全是否得到有效的保障呢?
在这样的一个信息大数据的通信时代,一些互联网公司对用户的个人信息的安全保护变得十分重要。
这次淘宝的“低级漏洞”只是一个无意的发现。在今天一个黑客盛行的年代,如果不注重保护用户个人隐私和数据的公司,它的道路注定不是长久的。
很多人都相信自己的信息数据是安全的时候,黑暗中其实有着很多黑客的双手,他们试图攻击安全网的每一道防卫线,对关系公司或机构作出致命的攻击。
黑客们的力量通常是无形的,而大公司们这么多年来实行的“黑客招安计划”开始奏效了吗?
《瞭望-LW》—— 看你所看不到!
关注我,分享更多环球你所不知道的事物!
