黑客撞库威胁网站安全
2013-07-05黄灵通讯员徐晓明谢伟
文/本刊记者 黄灵 通讯员 徐晓明 图/谢伟
黑客撞库威胁网站安全
文/本刊记者 黄灵 通讯员 徐晓明 图/谢伟
2013年7月,上海市长宁区人民检察院受理了两起该市首例编写、出售“跑号器”软件,并通过批量“撞库”,非法盗取网站用户账户内资金的案件。这背后暴露的安全隐患,引起了网络运营商、司法界和计算机专家等各方面的密切关注。
某旅游网站被“撞库”报案
2012年7月,公安机关接到某旅游网站报案,称在其路由器日志上,发现有大量数据进行撞库的痕迹。撞库,是计算机业界黑客手段的一个术语。就是通过已有的账号密码到其他网站去尝试配对。不明数据库撞库的行为,令某旅游网站感到了其庞大的个人用户群安全遭到了严重威胁,于是他们在第一时间选择了报案。
随后,公安机关通过技术手段发现,犯罪分子正利用大量不明来源的数据,对某旅游网站进行“撞库”。在某旅游网站更新安全策略后,该软件也随即发生变化,这个博弈的过程,经推断是软件设计者和操作者,根据目标设定故意绕开系统安全措施所进行的人为行为。
经上海市长宁区人民检察院审查查明,2012年7月起,犯罪嫌疑人赖某在网络上以每份人民币150元至300元不等的价格,多次向犯罪嫌疑人袁某出售其编写的扫号软件(俗称“跑号器”),该软件专门用于批量检测特定网站的用户名及密码是否存在,从而供他人非法登陆特定网站后非法获取用户账户内信息。犯罪嫌疑人赖某从中获利人民币5700元。犯罪嫌疑人袁某购买上述扫号软件后,又在网络上以人民币200元至1200元不等的价格出售给陆某等人,陆某使用针对某旅游网站的跑号器,将从网络上收集的用户账号和密码数据库予以检测、筛选,成功登陆后获取某旅游网站用户信息四千余组,并以转账的方式盗取账户内资金共计人民币三千三百余元。
经司法鉴定,该跑号器软件主要功能是:批量检测和批量登陆,也就是使用指定用户名检测目标网站中是否存在或使用了指定用户名及密码组,并自动登陆网站获取账户内个人信息。尽管本案的案值不大,但却如同蝴蝶效应,对众多网络商家和庞大的网络用户而言,是一个巨大的安全隐患。
检察官向记者介绍,随着科技的不断发展,计算机领域犯罪也在不断变异,新型犯罪层出不穷。根据以往案件来看,计算机犯罪还是以计算机病毒、木马、外挂等程序居多——
比如,2010年7月22日,北京市民吴某在家中,使用计算机制作用于盗取QQ密码的木马程序,并利用互联网多次向他人出售盗号木马程序获利八千余元,后被公安机关抓获。经查,其制作出售的盗号木马软件被他人用于实施网络诈骗犯罪。2011年6月,北京市丰台区人民法院以被告人吴某犯提供侵入计算机信息系统程序罪判处其有期徒刑一年四个月,并处罚金人民币2800元。
2007 年6 月至2008 年8 月间,被告人吕轶众、曾毅夫等为牟利在广东省深圳市,先后编写出国内流行的《风云》《完美国际》《武林外传》《QQ 自由幻想》等四十余款网络游戏的木马程序,用于窃取网络游戏玩家的账号、密码,并由曾毅夫出面寻找合作伙伴帮助出售。自2008 年2 月起,被告人严仁海受曾毅夫的委托,将该系列木马程序,以其女友陈慧婷的网名“温柔”命名并总代理出售,同时按照不同网络游戏类型由吕轶众将该木马程序修改后分包给不同的一级代理商,并按照包用时间向后者收费,牟取非法利益。2009年12月,江苏省徐州市鼓楼区人民法院以提供侵入计算机信息系统程序罪判处被告人吕轶众有期徒刑三年,并处罚金人民币20 万元等……
但本案赖某和袁某编写和出售的“跑号器”软件,并非典型的计算机病毒、木马程序,那么对于本案又该如何定性呢?
门里门外,专家各持己见
目前,本案中购买使用跑号器软件非法盗取他人账户内资金的陆某已按盗窃罪被判处有期徒刑十个月,但对于编写和出售“跑号器”软件的始作俑者,其定性存在着诸多争议。
近期,为解决办理新型计算机犯罪案件中的法律、技术难题,积累办理此类案件的经验,加强对新型计算机犯罪案件研究,上海市长宁区人民检察院召集专家、学者就“编写、出售跑号器软件的行为如何定性”进行了专题研讨。
参加研讨会的专家学者就上述行为如何定性各抒己见,主要形成三种观点。一种观点认为,赖某、袁某的行为构成提供侵入计算机信息系统程序罪;第二种观点认为,赖某、袁某的行为构成盗窃罪的共犯;第三种观点认为,赖某、袁某的行为不构成犯罪。
认为构成提供侵入计算机信息系统程序罪的专家表示,所谓侵入计算机系统,不仅指通过木马、病毒程序进入计算机系统,未经合法授权进入计算机系统也是侵入计算机系统。跑号器软件具有的批量检测、批量登陆账户不是正常用户的使用方式,具有非法性,并且该软件具有实时变化IP地址的功能,这也是避开、突破网站安全防护的体现。因此,该软件属于专门用于侵入计算机信息系统的程序。软件设计者主观上不是为了好玩、炫耀技术,而是为了贩卖牟利,主观上具有非法故意,社会危害性较大,数额上也达到了提供侵入计算机信息系统程序罪中非法获利5000元的起刑点。
也有专家认为,构成提供侵入计算机信息系统程序罪的关键在于鉴定意见能否全面反映该软件的客观情况,清楚表明软件具有实时变更IP地址,绕开安全防护的功能,如果没有的话很难构成犯罪,因此,对上述情况要进一步查证,必要时需重新出具鉴定意见。
还有专家提出,计算机犯罪是行政犯,关键是需要看行为人的行为是否违反了相关行政法规,如果不存在前置违法的则不构成犯罪。对于计算机领域出现的这类新型问题,司法机关在处理时需要慎重。
目前,该案正在审查起诉阶段。对于本案的处理,其前瞻性和司法标本的意义,大于案件处理本身的意义。
跑号器的“傻瓜功能”危害很大
记者了解到,尽管这个上海市首例编写、出售跑号器软件案目前案值不大,但是检察机关非常慎重为此组织了两次专家讨论。
上海市长宁区人民检察院副检察长刘晶告诉记者,目前相关司法解释对计算机犯罪出现的新情况、新问题规定尚不明确。以往犯罪分子使用病毒、木马程序进行计算机犯罪,破坏性一目了然,法律也明确规定属于犯罪行为。但是随着IT行业分工的专业化,计算机犯罪手段也在日益细化。近期,上海破获的买卖600万条某航空公司客户信息案就表明,现在存在大量非法获取个人信息渠道,这就为这个软件的实施提供了可能。过去使用木马还需要一定的技术水平,现在用了这个跑号器就类似一个傻瓜软件,虽然技术含量下降了,但造成的危害性却更大了。
记者注意到,目前百度上关于买卖、使用跑号器软件的搜索信息不少,但人们似乎还不了解其潜在的危害性。一方面,我们关注个人信息保护相关立法应尽快出台;另一方面,作为广大的网民来说,如何保护自己的账户安全也是需要不断自我升级的一个过程。
计算机犯罪逐渐为社会关注
信息技术和互联网业的快速发展,一方面极大地方便了人类的生产生活,另一方面其安全问题也日益突出。目前,我国面临黑客攻击、网络病毒等违法犯罪活动的严重威胁,是世界上黑客攻击的主要受害国之一。据《中国互联网状况》白皮书披露,2009年我国被境外控制的计算机I P地址达100多万个;被黑客篡改的网站达4.2万个;被“飞客”蠕虫网络病毒感染的计算机每月达1800万台,约占全球感染主机数量的30%。据公安部提供的情况,近五年来,我国互联网上传播的病毒数量平均每年增长80%以上,互联网上平均每十台计算机中有八台受到黑客控制,公安机关受理的黑客攻击破坏活动相关案件平均每年约增长110%。此外,近年来随着计算机网络技术的普及,计算机犯罪又出现一些新的趋势,一是以计算机病毒携带木马程序、间谍软件进行大规模传播来非法获取他人账号、身份认证信息,进而侵入他人计算机信息系统窃取计算机信息系统数据,或者对计算机信息系统进行远程控制的案件增长迅猛;二是专门制作销售计算机黑客工具、病毒、木马程序,倒卖计算机信息系统数据和控制权的现象十分突出。这些违法犯罪行为具有严重的社会危害性,不仅破坏了计算机信息系统运行安全与信息安全,而且危害了国家安全和社会公共利益,侵害了公民、法人和其他组织的合法权益。
针对维护计算机信息系统安全方面出现的新情况,2009年2月28日全国人大常委会通过的《刑法修正案(七)》增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪。这些规定为维护计算机信息系统安全,打击计算机网络犯罪提供了有力的法律依据。
然而道高一尺,魔高一丈,由于计算机技术的不断突飞猛进,计算机犯罪的手法也不断更新。正如本案中涉及的“跑号器”软件,与传统的计算机病毒、木马程序有所区别,然而危害性却不相上下,甚至更为简便易学。对于这些新问题,一方面需要司法机关在具体执法时谨慎执法,合理解释,不枉不纵,依法打击;另一方面也需要立法机关加强立法、法律解释力度,及时厘定非法软件的界限。
此外,近年来,由于计算机网络技术向简易化、普及化发展,编写黑客工具、病毒、木马程序对于行为人文化程度的要求越来越低。计算机犯罪人员已由专业技术人员向普通人群蔓延,计算机犯罪人员出现了低年龄、低文化的趋势。因此,这也告诫一些计算机爱好者,一定要把握住正常的计算机技术学习、研究和编写非法计算机程序的区别,切莫由于一时糊涂而走上犯罪道路。
检察官提示
个人信息泄露后,之所以给用户带来安全隐患,是因为很多用户忽略了网络安全的自我防护意识。比如,跑号器就是利用很多人在不同网站的用户和密码都是使用相同的那么几对,才可能被貌似无意识的扫号获取了账户信息。那些被非法获取的用户和密码,犯罪分子并不知道其来源,但是利用这个跑号器,就可能“瞎猫碰死耗子”给对上了。如果,个人用户在设置用户名和相应密码时能做一些细微的变化,就能轻松避开这个风险点。此外,适时更换密码,删除一些不必要的个人信息,都是有效的自我防范措施……