网络“黑色产业链”调查:环环相扣的数据泄露
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。数据库的作用越来越重要,但安全却难有保障。本专题中的调查试图呈现互联网数据泄露中环环相扣的链条,而对案例的分析则试图呈现公民个人维权之难,这有赖于互联网法治建设的推进。
天微微亮,大鸟(化名)结束了一晚上的任务,他用凉水洗了一把脸,起身,去公司上班。
在白天,他是某互联网公司的程序员。晚上,他是互联网论坛上活跃的“白帽子”。
“白帽子”是业内的俗称,即正面黑客,他们通过识别计算机系统或网络系统中的安全漏洞,发出漏洞警告,从而提醒企业或其他单位在被黑客侵入前修补漏洞。
由于白天工作时间不允许,大鸟只能用晚上的时间做“白帽子”的工作。这让他很疲惫,如果进入到了活动状态,大鸟可能会有很长一段时间都在高度紧张的精神状态中度过。
除了在论坛中得到被同行赞许的快感,很多时候,他们面对的是一群对漏洞不屑的人。因为每次被曝出漏洞之后,许多企业的第一反应是“辟谣”,而不是直面问题。
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。数据库的作用越来越重要,但安全却难有保障。
或许因为企业对漏洞不屑的态度,一些技术人员会警告企业——既然你不屑,我就干一单给你看。一些技术人员拿着漏洞去要挟企业,换取报酬,涉及利益巨大,一些人甚至很短时间就完成原始资本积累。白帽子是以其行为来判断,但也有可能在某些时间里,变成真正的黑客。
在国内,目前逐渐形成了一些漏洞举报的平台,如乌云网、360都建立了举报漏洞的机制,方法各不相同。国家互联网应急中心也建立了漏洞共享平台,每周发布信息安全漏洞周报。
一些企业的态度也变得开明起来,如1月14日,特斯拉的官方订购平台被白帽子发现漏洞,原价30万元的预订金,白帽子可以在后台将之修改为一元钱。特拉斯得知后迅速修复了该漏洞,并承认该笔订单有效,同时还从总部邮寄了官方纪念品送给白帽子。
记者通过半个月的调查,接近了多位白帽子,他们中的部分不愿意透露真实姓名;同时,21世纪经济报道记者也试图从被业内称之为“社会学工程库”的论坛,寻找活跃在数据买卖链条上的人。此外,通过分析已有的案例和司法判决,也可以探寻这个庞大黑色产业在互联网时代日益形成的安全隐患。
入侵
“你不要社我啊。”这是一句从事网络安全程序员们的“行话”。“社”是指社会学工程库,他们把获取海量的个人信息称为社会学工程分析。
在社工论坛上,你可以找到各式各样的卖家和买家。他们明目张胆地买卖各种个人信息资料,如开房资料、考研学生资料、公积金信息等,一般都是几十上百万条信息打包出售,他们将这些打包出售的数据库俗称为“裤子”。
而“社”一个人,则意味着在网络上挖掘与这个人有关的各种资料,通过不同网站的海量数据,破解密码、下载资料……
一般而言,第一步需要入侵某个网站的后台系统。这个过程并不复杂,对一个电脑迷而言,一个刚入行的中学生就可能有能力侵入一个普通网站。
大鸟对我们讲述了他的故事。第一次学习黑客技术是大一的暑假,他花了一个月的时间在寝室自学。不久后,就已经可以进入学校网站的后台了。
从这一刻开始,数据就有了被泄露的危险。大鸟不会将数据下载下来用于己用,仅用来检测网站是否存在漏洞,但他告诉记者,黑客入侵网站与白帽子检测网站,在技术路径上几乎是相同的。
大鸟不崇拜仪式感,他不喜欢称之为战斗,但这确实是一场战斗,虽然战利品只是为了满足一种孩童式的好奇、对技术偏执的渴望,但把它称之为一场发生在“入侵者”与技术“看守者”之间的战斗或许并不为过。
在大鸟的印象中,记忆最深的一次入侵行动是他在正式做一名职业白帽子之前。那是一次比较复杂的行动。大鸟发现了一家国外网站,对其原代码十分感兴趣,为了看到代码,他决定“入侵”这家网站。
大鸟先找拥有域名的这个人,查他的信息,发现此人是外国人。因为不是中国人,所以不能掌握太多他的信息。接下来寻找这个域名下的子域名。
经过分析,发现一些子域名放在几台普通VPS(Virtual Private Server 虚拟专用服务器)上,打开几个页面是空的。扫了几个端口也没发现端倪,他知道从这几台VPS上很难找到问题,于是他决定找一下它的VPS提供商。
如果拿到VPS提供商的权限,就可以获取它所有VPS的权限,自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题,一步一步渗透下去,最终找到了该VPS提供商所有用户控制面板的账号密码,最后找到了对应人的账户密码。
拿到用户密码后,大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的,进入控制面板就可以操控他服务器上的文件,但是没有文件打包编辑功能。最后,大鸟上传一个了网页后门,便获得了它的代码。
经过十分复杂的程序,大鸟获取了这台服务器的权限,顺利看到了代码。
或许从技术上,这并不算很难,但对于大鸟来说,这次“入侵”的复杂性远远高于技术,经过一个多月的“战斗”,看到代码后,他选择让自己大睡一场,进入冬眠。
窃取数据
对于白帽子而言,发现了网站的漏洞,他的工作就接近了尾声了。可对于黑色产业链(简称“黑产”)上的人来说,任务才刚刚开始,他们的目的是拿到数据,进而转化成金钱。
业内人士透露,黑客的惯用手法有很多种,但路径上存在相似性:获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限,找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。
这是一个相对理想的操作链条,但并不意味所有的黑客都能完成上述步骤,比如“拿到最高权限”并不容易,因此有些黑客下载了所有核心数据,但痕迹仍被记录。
对于目标的寻找,一位接近黑产的人士称,有时是黑客主动寻找“含金量高”的网站,侵入网站,窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业,如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。
还有一些则是接受定向委托,一般委托方来自商业竞争对手,需要获得竞争对手的客户数据,于是雇佣黑客。
在进入内网时,有时候黑客会直接查看对方的员工信息是否存在泄露,或根据常用密码top 100来进行测试,如果顺利登陆员工账号,就可以直接进入内网。
但对于需要核心数据的黑客而言,进入内网只是第一步,接下来,黑客需要对数据进行分析,判断核心数据所在位置,这就需要黑客对该网站的业务十分熟悉,甚至熟悉程度要高于网站运维人员,这样才能判断核心数据的子域名在哪一个IP段,进而找到核心数据。
当然,时机的选择十分重要,这一切都要在一个合适的时间里进行:一个网站流量大,看守者不容易发现的时间。比如,一般的社交网站,上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。
“拖库”同样是行话,意思是将目标数据下载下来。但在许多时候,他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时,会使用相同或相似的密码。因此,这就存在利用“撞库”的方式获得更多的数据的可能。
2014年底发生的12306网站用户信息泄露的事件,起初就被指是“撞库”行为,即用户的用户名和密码在其他网站泄露了,黑客利用其他网站获得的用户数据包,自动登录另一个网站,匹配出部分用户信息,形成数据库。
不过,即使是通过“撞库”发生的信息泄露,相关网站也难脱其责,因为只有存在安全漏洞,网站才可能被“撞库”。
目前,12306网站用户信息泄露事件发生的原因仍不明,官方仍未公布调查进展,网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。
黑色产业链
在数据被窃取之后,黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上,有人负责窃取数据,有人专门从事分销,寻找目标买家或帮买家寻找黑客。
21世纪经济报道记者试图寻找这样的人,于是在一些社工库论坛注册,发帖“雇佣黑客”,并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中,只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群,它们的名字直白简单,一般以“数据交易群”、“淘宝数据交易”等字样为主。
记者伪装成买家进入了其中一个交易群,并与一位声称可以提供“进线数据(打进某个电话的数据)”的人进行对接。该人士称,自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房,实时监控拨打该公司号码的电话,并将其截取下来,进行销售。
但陌生人的网络交易,确保交易安全是个难题,数据提供方可能提供假数据,而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问,该人士称,自己可以提供前一天的进线数据,并保证数据是一手信息。交易的过程,需要买家先少量购买,付钱后再工作,如果买家对第一批数据满意,再进行下一步更多数据的交易。
至于交易价格,该人士说,每个行业的价格不同,记者问到餐饮行业的某家巨头企业,他称这些数据价格1条10元,而这个价格称得上是“不便宜”。
数据交易达成的半年内,买家和数据提供商为唯一拥有者,数据商保证不会泄露给第三方。半年后,数据商就可以将数据打包销售,但此时数据已经大大贬值,一条的价格大概是几毛钱。
这时候,就产生了“二手数据”,二手数据一般会倒卖好几次,基本已经算是“公开”信息,这样的数据在一些社工网站上随处可见。记者潜水几个社工论坛多天,发现每天都会有几条数据供应帖发出,论坛用户只需要支付几个金币(一金币一元钱)的价钱就可以购买到大量数据,有的数据(如个别企业内部通讯录)甚至可以免费下载。
另外,在交易群里,经常出现一些交易请求,有的在寻找数据商,有的在出售数据。而在QQ群记录中,记者看到其中一条信息,涉及各公司大佬的手机号、邮箱等关键信息,该数据持有者将关键数字抹去,留下QQ号,吸引买家。
不过,拥有这类功能的QQ群有很多,记者申请进入数十个群,只有一个通过了请求。上述知情人士表示,这种情况并不意外。
黑产链条上的中介人士面貌仍模糊不清。一些接近这些人士的白帽子称,这些人的圈子很小,有些是“老乡带老乡”的方式发展。而网络犯罪呈现的一些特征也印证了这个特征。2014年12月6日,公安部网络安全保卫局法制工作处处长李菁菁在一次论坛上介绍,目前我国网络犯罪案件地域化明显,比如广西南宁QQ好友诈骗、福建安溪网络购物诈骗、海南儋州网络中奖诈骗等。
通过中国裁判文书网的公开检索也可以发现,这些地区相关案件判决书数量明显高于周边地区。
《刑法》第285条规定了非法入侵计算机信息系统罪,通过已判决的司法案件也可以窥视黑产业的状况。2014年1月1日至今,中国裁判文书网公布了15份非法入侵计算机信息系统罪判决书,其中除少数目的为买卖国家机关证件和事业单位印章外,大多是为非法获取、买卖公民个人信息。
如,2013年3月,1986年出生的陈某和1981年出生的崔某在两家网络游戏公司的系统中植入木马,下载了几十万条游戏账号及密码,并以1.4万元价格卖出,此后这批账号和密码又在网络“黑市”中被辗转交易。他们分别被判处有期徒刑4年和2年,并各处3000元和2000元的罚金。
不过,黑市上所出售的个人信息并非都是来自非法侵入计算机系统,有些是来自内部人的监守自盗,这些案例也并不少见。
需求方
黑产的形成在于存在强大的市场需求,参与购买数据的最终需求者多种多样。如,一些商业机构是强大的需求方,他们为了获取潜在的客户资料、了解竞争对手的核心数据,从而从黑市购买数据。还有一些创业公司,是为了充实客户量,制造“虚假的繁荣”,以吸引风险投资。
一位业内人士对记者分析了几起案例,如2014年底,130万考研考生信息泄露。他分析称,许多考研培训机构需要这些数据,进而进行精准的市场推广。
与此同理,此前还发生过新生儿信息泄露事件。他称,许多母婴保健机构、培训机构、奶粉经销商、玩具经销商等各种盈利性组织对此类信息都有需求。
快递服务业同样是被黑产盯上的“重灾区”。有白帽子对记者表示,快递单号十分容易获得,只要对网址进行修改,就可以看到单号的具体信息。而在一些交易网站上,快递单号被明码标价,几毛钱就能买到一个单号信息。
这样的案例不胜枚举,交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息,使之成为其上下游产业及类似机构觊觎的目标。
近年来,还有创业公司购买数据,迅速做大客户群,从而吸引外来投资。该人士举例,曾遇到过一位朋友的创业公司,通过购买数据,让自己的用户数据库看起来庞大一些。这种情况并不少见。
企业为何“休眠”?
在数据泄露的过程中,数据保管者有着不可推卸的责任。
乌云网合伙人邬迪告诉记者,几乎每一个网站都可能存在漏洞。漏洞是造成泄露的一大因素,乌云网建立的初衷之一就是为了减少因漏洞造成的泄露,在泄露之前对漏洞曝光,并通知厂商及时修补。
邬迪表示,国内企业的安全意识并不强,一开始,很多企业在被通知漏洞后会选择置之不理,这是造成之后信息被泄露的原因之一。
记者梳理了以往发生的信息泄露事件,一些漏洞引起的问题反复出现。
如此前被乌云网频频爆出漏洞的12306网站,并非首次出现用户信息泄露事件,漏洞却迟迟未修复。
再比如, 2014年3月22日,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin(用于支付的6位数字)。而在此之前,携程信息安全漏洞事件就已经多次发生,其中2014年1月,在被媒体指出储存信用卡敏感信息存在泄露风险时,携程网回应称采用的信用卡支付方式符合国际惯例。
业内人士分析,企业数据安全意识不强、惩处机制的不明是导致企业在漏洞发生后没有及时修补的原因之一。
另外,数据库的设计缺陷也是数据可能泄露的原因。一位数据库的设计人员告诉记者,一些公司寻找第三方设计数据库,确实存在泄露的风险。双方在合作之前,一般会签署保密协议,但由于设计者可以看到客户的核心数据,因此数据是否泄露,不仅要看保密协议,还要看设计者的人品。
一位创业公司的负责人告诉记者,公司的数据库自己设计,其考量的因素就是担心核心用户数据泄露。
政府网站同样是高危行业,一位白帽子告诉记者,他们一般只去测试省级政府网站的漏洞,更低层级的政府网站漏洞甚至可能找不到负责人。有些网站的技术水平,在他们看来根本达不到采购中所需耗费的价格。
相对乐观的是,随着大数据和移动互联网在各行各业的深入运用,很多厂商的信息安全意识都在提高,表现之一是在接收到漏洞举报后大多会及时修补。而发现和举报漏洞的白帽子人才市场一旦形成,从事黑产的人就会越来越少。
“让黑产上的人变成白帽子,这是未来的方向。”一位白帽子对记者说。
相关新闻: