关于地下数字世界：你所须知的一些事

2016-11-23道格欧文DougIrving

国外社会科学前沿 2016年11期

关键词：兰德花费黑客

道格·欧文（Doug Irving）

魏尚新/译

关于地下数字世界：你所须知的一些事

道格·欧文（Doug Irving）

魏尚新/译

选自美国《赫芬顿邮报》2016年7月26日

根据兰德公司（RAND）的调查显示，今年，美国将会有数千万人的信用卡号、就诊记录或数字身份信息被入侵或是被盗——就范围和精密程度讲，现如今网络犯罪的受害者可与非法毒品交易相匹敌。

与其说这些数字让人吃惊，不如说是让人清醒。这些年来，兰德公司的研究员用事实证明：地下数字世界所带来的威胁正在日益加深，黑客着眼实利，贩卖服务；信用卡号只需要很低的价格就能获取。

他们的调查有助于从攻击者、防御者，以及夹在两者之间的消费者等多角度去认识这种威胁。总的来说，该调查不仅提供了有关地下网络攻击及反攻击的珍贵信息，还为拥有电脑或信用卡的任何一个人都上了宝贵的一课。

黑客即将胜出

这些人本身难逃罪责。兰德公司今年早期发布的一项报告就曾预测，美国有6400万成年人提前一年就接到有关通知，告知他们其个人数据遭到攻击——这个数字达到成年人口的1/4还多。

数据泄露问题几乎每天都会出现在新闻标题中；就消费者对数据泄露的态度和反应来说，该项调查属于首例。调查发现的大部分案例都涉及信用卡号或财务记录被盗等主要网络犯罪活动。

然而，至少有1/5的受害者声称，他们丢失了自己的健康数据或社保账号。研究人员对此发出警告：这项统计令人不安，因为那些记录都是很难恢复和修复的；这同时也凸显了这些数据在身份盗窃、医疗欺诈或敲诈勒索方面的价值。

与此同时，该调查表明：消费者并不总能像预期的那样对数据侵害做出反应——他们甚至通常都不会为自己的最大利益付出行动。大约2/3的受访者指出自己在数据遭到侵害后曾接受免费信用监督服务，这一数字高于预计。但仅有一半的人会去修改账户密码，几乎90%的受访者声称会继续同丢失数据的公司做生意。

依照兰德公司网络安全及新兴技术研究员莉莲·阿布隆（Lillian Ablon）的看法，“消费者看起来相当宽容”，“这些公司似乎没有什么做出改变的动机。”

成本在上升，安全性却没有跟上

负责网络防护的信息安全主管人员面临第22条军规，且代价高昂：不管他们在网络安全上花费多少，都没有办法了解到底何时才是尽头——只有，在遭受一项成功的攻击之后，才知道防护是远远不够的。兰德公司调查员称之为“防护人员的困局”。

如今，全世界每年在网络安全上的花费接近800亿美元。但在采访一些公众及个人网络安全领导人时，兰德公司的研究员发现，他们近期很难获得什么优势。他们依靠冷酷的准则而活：运营网络的人应该始终认定黑客已经侵入。

这些访谈同时也显示：企业及政府部门负责安全管理的官员最关心的并不是数据的丢失；他们关心的是声誉及公众信任的丧失。这使得风险系数呈指数增加，由此，即便是一场无害的入侵也会拉响警报，致使安全成本增高，有时候与实际危害并不成比例。

研究人员写道，人们需要的，是用新的方式去对网络安全进行思考。如果一家组织能将多数安全支出花费在最紧急以及很可能发生的危害上，把少数支出花费在软件供应商售卖的最坏可能性上，它们就能更有效地保护自己。

兰德公司高级管理科学家马丁·利比基（Martin Libicki）认为，“很多网络安全花费都来自于我们的担心，但其实，我们所担心的都很少发生。是的，坏人会摧毁一个网络，但几乎没有人愿意这样做。”

网络犯罪已然成为一项涉及数十亿美元的产业

兰德公司研究员将其称为“黑客集市”：黑客和其他网络罪犯在秘密聊天室或秘密论坛碰头及交易的市场。他们发现，它的内部运营跟所有商品交易场所一样精致、有条理。“黑客集市”有一些线上店面跟亚马逊或eBay一样光鲜亮丽，一样受欢迎。

这个集市的地下市场通常拥有自己的规章制度，拥有维持秩序的管理人员、经纪人、销售商、中间商以及货币兑换商。了解通道的消费者可以从中找到任何东西——从就诊记录到黑客名单，再到毁灭性开发工具包、僵尸网络及现成的勒索软件程序。价格合适的话，他们甚至可以通过针刺漏洞（也叫“零日漏洞”）买到进入私人电脑或公共服务器的通道。

研究人员发现，其中还有一种非常出名的等级制度。俄罗斯黑客因其才能而著称。一些越南组织将注意力集中在电子商务上。美国黑客倾向于钻营金融犯罪。

据一位专家预测，网络犯罪至少产生了数十亿的交易额。研究人员总结说，在有些方面，网络犯罪比非法毒品交易还赚钱——进入的成本较低，分担的风险也更小。

“变成网络罪犯很容易，”阿布隆说，“只要连上网就行了。”