黑客絲綢之路

在留言板網站HackForums.net上，用戶公開打出提供入侵計算機和在線賬戶、用拒絕服務攻擊令服務器宕機、挖掘陌生人個人信息等服務的廣告，所有服務均需付費。黑客們通過一套評級系統進行排名，聲譽極高的用戶甚至可以提供“中間人”服務，以第三方擔保方式托管密碼貨幣，直到賣家完成承諾的任務再行付款。

我從不亂打聽。因為我不在乎。我只給他們一個警告：將遠程管理木馬用于非法用途會導致牢獄之災。

網站上一篇注冊地在開曼群島的帖子中稱：“我能幫你找人，把他的全部信息呈現給你(電子郵件、即時通訊賬號、社交賬號、位置、電話、家庭住址等等)。我可以幫你黑掉他的電腦，拿到所有文件、鍵盤記錄、網絡攝像頭視頻——他系統中的任何東西。根據你的需要，我可以把這些東西傳到你的RAT上，這樣你就可以耍他玩了。”RAT即遠程管理木馬(remote administration trojan)：一旦偷偷安裝到你目標的電腦、平板電腦或手機上，你就可以全權接管這臺機器的所有操作，你可以查看文件、截獲鍵盤敲擊等等。

一位昵稱Hax0r818的論壇用戶在Skype聊天中稱，他提供的服務就是培訓RATs新手用戶，每年大約有300名左右的客戶。“我只是幫他們入門，因為RATs本來就不是用作黑客活動的，是父母用來檢查自己的孩子們都在網上看些什么的。”他寫道，“我不問他們任何問題，我不問。因為我根本不在意。我只給他們一個警告：RATs用作非法用途會導致牢獄之災，并讓他們同意我的條款。”

Hax0r818只愿意透露他是21歲以下的未成年人，生活在澳大利亞。他提供RAT新手工具使用培訓以及用于實踐的測試用虛擬機，每月僅收取5美元。

在通過表層網絡可訪問的網站之外，還有十幾個只有用Tor瀏覽器才能訪問的深層網絡市場，名字形如Hell、Agora、Outlaw和Nucleus，提供RATs和其他黑客軟件與服務，用比特幣進行交易。

“我16歲就開始經營黑客和社會工程活動業務了，從沒有過一份真正的工作，所以我有大量的時間修煉黑客技術，過去20年左右我賺到了不少錢。”暗網網站Hacker for Hire的擁有者如此寫道。這家網站經營范圍包括“搞臭個人、盜取信息、搞垮網站”，收費根據工作量大小低至200歐元高至歐元。“我以前曾經給別人打工，現在我也依然為每個付得起錢的人提供個人服務。”

戴爾SecureWorks去年12月份的一份報告稱，諸如darkcomet、cybergate、predator pain和Dark DDoser等遠程管理木馬的通常價格在20～50美元之間。相比去年這類軟件高達50～250美元的售價，價格明顯下降了許多。(價格下降的原因可能與某些RATs源代碼泄露有關。)黑進網站的價格也下降了不少，最高價從300美元下降到了200美元。

網上黑客服務價格

去年5月在紐約公開的一份聯邦起訴書中透露，一個名為黑影(Blackshades)的RAT研發組織通過在黑客論壇和自家網站上以40美元一套的價格向全球數千名買家售賣RAT，在4年間收益超35萬美元。官員稱，RAT客戶用這些木馬軟件偷取金融信息，通過網絡攝像頭監視毫無疑心的受害者。

曼哈頓律師普瑞特·巴拉拉說：“RAT便宜又易于使用，但功能強大，侵入性令人驚嘆。”這位律師的調查活動是史無前例的全球性調查中的一部分，迄今為止已成功逮捕了超過90名網絡罪犯。

售價可高至3000美元以上的黑客軟件本身并不違法，還能被用于從事遠程服務器管理和監控公司電腦之類的任務。但實際上，這些軟件工具包和相關的服務常常被用于欺詐、拒絕服務攻擊或是網絡入侵。

“只要非授權進入別人的計算機系統，動了人家的任何東西，都是違法的，那就是犯罪。”計算機取證專家，佛蒙特州尚普蘭大學副教授喬納森·拉耶夫斯基說。

黑客軟件和漏洞利用代碼游走于法律邊緣

斯坦福法律講師梅耶爾認為，黑客市場游離于法律邊緣。網站通常不用為用戶的違法行為負責，但觸犯聯邦刑法就是另一碼事了，比如說違反了《計算機欺詐和濫用法》這部監管黑客活動的法案。這使得黑客市場的運營者可能面臨共犯或同謀的指控，有可能讓他們蹲班房。

黑客與毒販共襄盛舉，互聯網上最為臭名昭著的犯罪市場絲路(Silk Road)的運營者被控共謀黑客攻擊及其他6項罪名。名為“貨真價實”(TheRealDeal)的另一個新興暗網市場同樣通過匿名Tor網絡運營，專注于漏洞利用代碼，網站服務聲明稱其除了兒童色情、人口販賣和“涉及謀殺的服務”之外，什么都可以出售。

近期提起控訴的黑客雇傭案件：

去年，前紐約市警探埃德溫·瓦格斯(Edwin Vargas)因采用網上黑客服務監視其前女友被判入獄服刑4個月。

3月初，紐約私家偵探埃里克·薩爾達里亞加(Eric Saldarriaga)面對聯邦黑客行為謀劃的指控承認其有罪。檢察官指出，他曾雇傭網上黑客服務侵入其客戶對手的數十個電子郵件賬號。

4月，賓夕法尼亞蘭開斯特縣的扎卡里·蘭蒂斯(Zachary Landis)被控通過克雷格列表網站(Craigslist)雇傭黑客入侵縣法院系統抹去其罰款和法庭費用。經過臥底偵查，目前他面臨7年刑期。

上周，美國商務部公布了一份可能要求全球范圍內出售未公開零日漏洞的人必須持證營業的提案， 該提案將入侵軟件，連同其他“兩用”事物，歸類為潛在的武器。(回復“代碼武器”查閱相關文章)著名安全廠商賽門鐵克的一份報告稱，去年，野生零日漏洞數量達到了空前的24個之多。

新法應該會幫助執法部門對抗黑客黑市，但也有可能給一些公開售賣入侵軟件和軟件漏洞的公司造成妨礙。法國安全公司Vupen標榜自己是“攻擊性網絡安全”提供商，為包括美國國家安全局在內的客戶提供能入侵廣泛使用的軟件的技術，從微軟Word字處理軟件到主流網頁瀏覽器到蘋果iOS，入侵技術服務費用最高達10萬美元每年。意大利公司“黑客團隊”(Hacking Team)曾向美國聯邦調查局出售RATs。其他買賣漏洞的公司包括滲透測試公司Netragard和網絡漏洞監管公司Endgame,還有像諾斯洛普·格魯門(Northrop Grumman)和雷神(Raytheon)公司這樣的大型國防承包商。

最近的估計預測工業間諜和其他數字犯罪將令公司企業每年損失數千億美元。波耐蒙研究所的一項新研究發現，被黑的企業受害者每條受侵害記錄的平均花費在2014年上升到了154美元，比上一年增長了8%。