價(jià)高者得

消費(fèi)型黑客雇傭市場還只是冰山一角。當(dāng)下，越來越多的高級黑客團(tuán)伙在向財(cái)力雄厚的海外公司和政府提供“按需供應(yīng)”的黑客服務(wù)。企業(yè)主或首席級主管可能會(huì)雇傭黑客以力壓競爭對手一頭，或者對網(wǎng)絡(luò)入侵者“黑回去”。據(jù)報(bào)道，索尼影業(yè)就雇傭了黑客來對抗托管他們泄出數(shù)據(jù)的網(wǎng)站。

隨著最近對政府機(jī)構(gòu)主導(dǎo)黑客活動(dòng)的指控的熱炒，來自高端商業(yè)黑客活動(dòng)的威脅在某種程度上被忽視了。

西雅圖安全公司Taia Global總裁杰佛瑞·卡爾認(rèn)為，“我們一直都完全忽視了‘間諜即服務(wù)’活動(dòng)，極有可能我們一直以來都搞混了他們與實(shí)際政府情報(bào)機(jī)構(gòu)或政府軍事行動(dòng)部門的區(qū)別。”

Taia Global最近發(fā)布的一份白皮書稱，黑客團(tuán)伙通常通過與缺少職業(yè)道德的公司合作來找活兒干，不是達(dá)成協(xié)議盜取特定數(shù)據(jù)，就是自發(fā)偷取有價(jià)值信息再賣給出價(jià)最高的人。

卡爾點(diǎn)出蘇斌案作為例子。蘇斌是一名中國商人，去年在加拿大被捕，罪名是伙同兩名身份不明的黑客從美國國防承包商手中盜取并出售F-35隱形聯(lián)合攻擊戰(zhàn)斗機(jī)和其他軍用航空器的商業(yè)機(jī)密。在一封電子郵件中，蘇斌的一名所謂的同伙試圖從HackForums.net網(wǎng)上一名賣家手中以幾美元的價(jià)格買下著名遠(yuǎn)程控制軟件Poisonivy的的加殼免殺版。

但是，盡管鋪天蓋地的報(bào)道都是關(guān)于黑客替中國政府竊密的，工作生活在加拿大的蘇斌看起來卻似乎更多地是受經(jīng)濟(jì)利益驅(qū)動(dòng)而不是民族利益驅(qū)動(dòng)。“買家不一定是中國公司。”Taia Global的白皮書中寫道，“蘇斌的一封郵件反映，他不滿于一家中國的報(bào)價(jià)，想要找尋別的買家。”

另一個(gè)高端網(wǎng)絡(luò)間諜組織，賽門鐵克安全公司稱之為 “隱匿山貓”(Hidden Lynx)的，適用兩款自研惡意軟件對全球數(shù)百家公司企業(yè)進(jìn)行滲透突破。根據(jù)這個(gè)組織針對目標(biāo)的涵蓋范圍，賽門鐵克認(rèn)為這是一個(gè)適應(yīng)性強(qiáng)、可供雇傭的專業(yè)黑客團(tuán)隊(duì)。

斯蒂芬·多爾蒂(Stephen Doherty)，賽門鐵克高級威脅分析員，白皮書作者之一，他聲稱賽門鐵克一直在跟蹤追查數(shù)十個(gè)類似的黑客團(tuán)體，并說：“我們相信，他們特別針對信息獲取類任務(wù)，然后將所獲信息賣給需要的客戶。賽門鐵克在全球范圍內(nèi)跟蹤追查涉嫌參與直接間諜行為、網(wǎng)絡(luò)犯罪等活動(dòng)的團(tuán)體，跟蹤對象超過70個(gè)。”

賽門鐵克稱，隱匿山貓(Hidden Lynx)所雇黑客人數(shù)在50~100人之間，其絕大多數(shù)黑客活動(dòng)在中國境外，曾在2012年入侵安全公司Bit9的服務(wù)器，成功卷走用于對Bit9軟件進(jìn)行數(shù)字簽名的安全證書。然后，這伙黑客通過滲透有可能被目標(biāo)公司的雇員訪問的web服務(wù)器并用這些服務(wù)器分發(fā)惡意軟件，獲得了波士頓和華盛頓地區(qū)的政治、國防和金融組織所屬計(jì)算機(jī)的訪問權(quán)，其中所用到的部分惡意軟件就是用被盜Bit9安全證書簽名的。

防守反擊

多爾蒂說，隨著黑客團(tuán)伙越來越高端復(fù)雜，國際執(zhí)法組織和私人安全團(tuán)隊(duì)的防御性工作也越來越強(qiáng)調(diào)協(xié)同性，防御的終極目標(biāo)就是使攻擊行為得不償失。去年，對抗隱匿山貓的浪潮發(fā)生了改變：多家安全廠商協(xié)同合作研發(fā)更好的防護(hù)手段來對抗此組織所用的惡意軟件。“我們所有的跡象都表明，涉及此組織的活動(dòng)大多轉(zhuǎn)為了地下。”

“我覺得你正在見證個(gè)人自掃門前雪式都只顧著修補(bǔ)自家漏洞或看護(hù)自家客戶群的局限性工作方式的崩塌。無論是反病毒公司或銀行，以前也許都只忙著自家門前那點(diǎn)事兒，但現(xiàn)在，我們需要有更廣闊的視野更寬范圍的合作，對當(dāng)前正在發(fā)生的事情有更多的了解。”

多爾蒂認(rèn)為，希望抵御此類攻擊的個(gè)人和公司應(yīng)該采取傳統(tǒng)網(wǎng)絡(luò)安全防范措施：保持軟件升級和安全補(bǔ)丁更新，留意非正常網(wǎng)絡(luò)活動(dòng)，特別注意鎖定存儲(chǔ)了有價(jià)值公司機(jī)密的系統(tǒng)。

卡爾稱，公司還需對授權(quán)第三方供應(yīng)商訪問其敏感信息采取謹(jǐn)慎態(tài)度。“你得對全部供應(yīng)鏈進(jìn)行嚴(yán)格審查，要對共享數(shù)據(jù)的對象保持警惕：不能僅僅因?yàn)樗麄兪悄愕墓?yīng)商就選擇相信他們。”

卡爾極為反對的一個(gè)策略是：“黑回去”。公司網(wǎng)絡(luò)被黑客入侵就要反黑報(bào)復(fù)回去的行為是非常危險(xiǎn)且踩在法律邊緣灰色地帶的。

“這從來不是一個(gè)好主意。就像俗話所說：千萬別惹陌生人!”