黑客们的职业
白天大多有正常工作
大郎说,黑客其实没有什么神秘的,在生活中,他就是个普通人,每天的生活很规律。每天早上,大郎7点45分起床,然后洗漱吃早饭,出门上班,“路上再随手刷刷微博,了解各种信息。”最近大郎在犯愁的是,能否拍到当月的车牌照。当然,他觉得自己的黑客技术起不到作用,一旦使用还违法:“算了,多准备点钱。”
大郎所在圈子的黑客不少。据他所知,白天,他们是厨师,是法律工作者,甚至就是帮患者诊断开药的医生。晚上,他们只有一个身份:黑客,一起交流切磋。
每周周末固定时间,都会有另外一个黑客与大郎见面,他叫慕容庄(化名),80后,曾与大郎是同事,现在另外一家公司做信息安全工程师。在成为黑客的道路上,大郎算是他的领路人。
慕容庄在国内读了计算机本科,又出国留学拿到了计算机方面的硕士学位。2008年回国后因为对黑客的好奇,也成了黑客。慕容庄有一个自己的信息安全团队,“为了团队的生存,不得不从各个方面争取资金。”他表示,他们不靠黑客技术“搬”信息去卖,而是靠好的口才、踏实充分的网络安全信息报告去说服管理层。
必修“社会工程学”
在外人看来,黑客手中的武器,是设计复杂高深的黑客程序。如今,在不少QQ群和网站上,还有不少网民决心成为黑客中的高手、高高手,少则百元,多则数千元,不惜代价购买黑客程序。
不过,也许有一点他们忘记了——正如好的剑一定要配上精湛的武功才能成为众人仰慕的侠客。黑客不但必须精通计算机知识,更重要的是,有其独门的黑客秘籍。
问到大郎,他说,其实真正意义的黑客,任何独门的秘籍都最终要回归两个字:细心。“查找漏洞是不是细心,找寻突破途径是不是细心,很重要。”
大郎说,查找漏洞的过程,实际上就是掌握的各种知识要学会充分应用,当然,也包含一点运气的因素。“针对目标人物,搜寻他相关的姓名、全拼及缩写,他的电话号码、生日,地址,电子信箱账号,甚至宠物的名字。尽可能的多,尽可能的全。”大郎说。这些单个的信息,被大郎组合起来,生成“字典”,经过程序测试,组合出不同的密码组合,“密码和用户名的设置,总是与人的生活密切相关的。”
这属于一门称之为“社会工程学”的学问,成为黑客的必修课,至今在黑客中仍然广泛应用着。
“搬”数据库会多次转手
在大郎的印象里,黑客技术成为谋取利益的工具,是在宽带普及的时期。“一些掌握技术的黑客到网吧上网后,先是修改计费系统内的余额,把10元押金额修改成20元。”后来,这样的技术被用来挣钱,“胆大的黑客,索性把余额修改成100元,这样不但白上了网,等到结账时还‘挣’了钱,每天只要跑5家网吧,收入很可观。”
渐渐地,类似的盈利方式,变成了现在所谓的“黑色地下产业链”。例如,当时盗取QQ号码的行为也一度盛行,“盗号—洗号”成为了一个固定的产业模式,分工明确。“以团队为单位,无论从黑客工具的制造、攻击实施的具体手法,如何洗号(变现)都已经形成了体系化的作业流程。”慕容庄透露,在一些高手云集的QQ群内,经常会有人发出“悬赏”:“要‘搬’一个数据库,事成几万到几十万。”实际上,买方如果是A,那么这信息已经经B、C、D传了几手,而需要获取信息的卖方也要经过E、F甚至更多的转接,最终有人接手完成。
这么做,是为了逃避法律的打击。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上,或者上述情况以外的身份认证信息五百组以上的,应当认定为刑法第二百八十五条第二款规定的“情节严重”,犯非法侵入计算机信息系统罪,将被处以处三年以下有期徒刑或者拘役。
[黑客忠告]
最大的漏洞是自己
“最大的漏洞,不是系统,不是程序,而是人。 ”这是慕容庄在采访中反复提起的。去年底,CSDN泄密事件后,他特地下载了一组数据,发现了自己朋友的用户信息。
慕容庄当时劝朋友赶紧修改密码,对方不在乎,“这不重要。 ”但慕容庄发现,朋友在CSDN注册时,使用了一个163信箱,这就意味着信箱也要泄密了。
他再提醒对方修改信箱密码,这时朋友说,这个信箱也不常用。
慕容庄用朋友CSDN的密码试了试,竟然登录了这个163信箱。他看过后吓了一跳,朋友拿这个信箱注册过支付宝,这意味着,只要有人登录这个信箱,就可以通过修改密码的方式,将慕容庄朋友的支付宝内的余额转移盗用。朋友这才意识到了问题的严重性,听从慕容庄的劝告,修改了密码。
慕容庄告诉记者,提高自己的安全防范意识,设置比较隐密的密码,这才能有效防范黑客。
“特别要提醒的是,现在我们的手机都具备上网功能,一旦丢失,里面的通讯录,聊天记录,照片等,会成为破解的关键。 ”慕容庄说,假如黑客更为细心,还会搜集对方的上网记录作为破解的素材。
[记者手记]
找寻就是一场较量
当记者向黑客发出采访请求时,不少人当即表示拒绝,他们觉得 “顾虑大,有曝光的风险”。
甚至,还有黑客打起了记者的主意。6月8日上午,一名黑客发了一个附件到记者的电子邮件信箱,实际上,这是一个盗号软件,下载解压缩后只要点击执行,QQ会自动下线,然后弹出一个类似的页面窗口,要求你输入QQ号和密码,而记者只要输入QQ号码和对应密码,就会立即发送给对方。好在很多网站对这样的伎俩再三提示防范,记者也熟知这种软件的原理,没上当。
与大郎见面前,当记者加了他的QQ号,对话框中,他立即蹦出一句话:“你果然是记者。 ”随即,他准确地报出了记者的姓名,常用电话和电子信箱,籍贯及毕业院校。更令记者吃惊的是,就连记者最近经常联系的几名同事是谁,他也知道得一清二楚。
“我也知道你的QQ密码。”记者在采访前也有所准备,对话框内,打出了对方密码。
“这个密码我用过,不过前几天改了,你怎么知道? ”在记者看来,也许正是这个曾经使用过的密码被说出,才使得大郎决定和记者聊聊。
网友评论