道格·歐文（Doug Irving）

魏尚新/譯

關(guān)于地下數(shù)字世界：你所須知的一些事

道格·歐文（Doug Irving）

魏尚新/譯

選自美國《赫芬頓郵報(bào)》2016年7月26日

根據(jù)蘭德公司（RAND）的調(diào)查顯示，今年，美國將會(huì)有數(shù)千萬人的信用卡號(hào)、就診記錄或數(shù)字身份信息被入侵或是被盜——就范圍和精密程度講，現(xiàn)如今網(wǎng)絡(luò)犯罪的受害者可與非法毒品交易相匹敵。

與其說這些數(shù)字讓人吃驚，不如說是讓人清醒。這些年來，蘭德公司的研究員用事實(shí)證明：地下數(shù)字世界所帶來的威脅正在日益加深，黑客著眼實(shí)利，販賣服務(wù)；信用卡號(hào)只需要很低的價(jià)格就能獲取。

他們的調(diào)查有助于從攻擊者、防御者，以及夾在兩者之間的消費(fèi)者等多角度去認(rèn)識(shí)這種威脅?？偟膩碚f，該調(diào)查不僅提供了有關(guān)地下網(wǎng)絡(luò)攻擊及反攻擊的珍貴信息，還為擁有電腦或信用卡的任何一個(gè)人都上了寶貴的一課。

黑客即將勝出

這些人本身難逃罪責(zé)。蘭德公司今年早期發(fā)布的一項(xiàng)報(bào)告就曾預(yù)測(cè)，美國有6400萬成年人提前一年就接到有關(guān)通知，告知他們其個(gè)人數(shù)據(jù)遭到攻擊——這個(gè)數(shù)字達(dá)到成年人口的1/4還多。

數(shù)據(jù)泄露問題幾乎每天都會(huì)出現(xiàn)在新聞標(biāo)題中；就消費(fèi)者對(duì)數(shù)據(jù)泄露的態(tài)度和反應(yīng)來說，該項(xiàng)調(diào)查屬于首例。調(diào)查發(fā)現(xiàn)的大部分案例都涉及信用卡號(hào)或財(cái)務(wù)記錄被盜等主要網(wǎng)絡(luò)犯罪活動(dòng)。

然而，至少有1/5的受害者聲稱，他們丟失了自己的健康數(shù)據(jù)或社保賬號(hào)。研究人員對(duì)此發(fā)出警告：這項(xiàng)統(tǒng)計(jì)令人不安，因?yàn)槟切┯涗浂际呛茈y恢復(fù)和修復(fù)的；這同時(shí)也凸顯了這些數(shù)據(jù)在身份盜竊、醫(yī)療欺詐或敲詐勒索方面的價(jià)值。

與此同時(shí)，該調(diào)查表明：消費(fèi)者并不總能像預(yù)期的那樣對(duì)數(shù)據(jù)侵害做出反應(yīng)——他們甚至通常都不會(huì)為自己的最大利益付出行動(dòng)。大約2/3的受訪者指出自己在數(shù)據(jù)遭到侵害后曾接受免費(fèi)信用監(jiān)督服務(wù)，這一數(shù)字高于預(yù)計(jì)。但僅有一半的人會(huì)去修改賬戶密碼，幾乎90%的受訪者聲稱會(huì)繼續(xù)同丟失數(shù)據(jù)的公司做生意。

依照蘭德公司網(wǎng)絡(luò)安全及新興技術(shù)研究員莉蓮·阿布?。↙illian Ablon）的看法，“消費(fèi)者看起來相當(dāng)寬容”，“這些公司似乎沒有什么做出改變的動(dòng)機(jī)?！?/p>

成本在上升，安全性卻沒有跟上

負(fù)責(zé)網(wǎng)絡(luò)防護(hù)的信息安全主管人員面臨第22條軍規(guī)，且代價(jià)高昂：不管他們?cè)诰W(wǎng)絡(luò)安全上花費(fèi)多少，都沒有辦法了解到底何時(shí)才是盡頭——只有，在遭受一項(xiàng)成功的攻擊之后，才知道防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。蘭德公司調(diào)查員稱之為“防護(hù)人員的困局”。

如今，全世界每年在網(wǎng)絡(luò)安全上的花費(fèi)接近800億美元。但在采訪一些公眾及個(gè)人網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人時(shí)，蘭德公司的研究員發(fā)現(xiàn)，他們近期很難獲得什么優(yōu)勢(shì)。他們依靠冷酷的準(zhǔn)則而活：運(yùn)營網(wǎng)絡(luò)的人應(yīng)該始終認(rèn)定黑客已經(jīng)侵入。

這些訪談同時(shí)也顯示：企業(yè)及政府部門負(fù)責(zé)安全管理的官員最關(guān)心的并不是數(shù)據(jù)的丟失；他們關(guān)心的是聲譽(yù)及公眾信任的喪失。這使得風(fēng)險(xiǎn)系數(shù)呈指數(shù)增加，由此，即便是一場(chǎng)無害的入侵也會(huì)拉響警報(bào)，致使安全成本增高，有時(shí)候與實(shí)際危害并不成比例。

研究人員寫道，人們需要的，是用新的方式去對(duì)網(wǎng)絡(luò)安全進(jìn)行思考。如果一家組織能將多數(shù)安全支出花費(fèi)在最緊急以及很可能發(fā)生的危害上，把少數(shù)支出花費(fèi)在軟件供應(yīng)商售賣的最壞可能性上，它們就能更有效地保護(hù)自己。

蘭德公司高級(jí)管理科學(xué)家馬丁·利比基（Martin Libicki）認(rèn)為，“很多網(wǎng)絡(luò)安全花費(fèi)都來自于我們的擔(dān)心，但其實(shí)，我們所擔(dān)心的都很少發(fā)生。是的，壞人會(huì)摧毀一個(gè)網(wǎng)絡(luò)，但幾乎沒有人愿意這樣做?！?/p>

網(wǎng)絡(luò)犯罪已然成為一項(xiàng)涉及數(shù)十億美元的產(chǎn)業(yè)

蘭德公司研究員將其稱為“黑客集市”：黑客和其他網(wǎng)絡(luò)罪犯在秘密聊天室或秘密論壇碰頭及交易的市場(chǎng)。他們發(fā)現(xiàn)，它的內(nèi)部運(yùn)營跟所有商品交易場(chǎng)所一樣精致、有條理。“黑客集市”有一些線上店面跟亞馬遜或eBay一樣光鮮亮麗，一樣受歡迎。

這個(gè)集市的地下市場(chǎng)通常擁有自己的規(guī)章制度，擁有維持秩序的管理人員、經(jīng)紀(jì)人、銷售商、中間商以及貨幣兌換商。了解通道的消費(fèi)者可以從中找到任何東西——從就診記錄到黑客名單，再到毀滅性開發(fā)工具包、僵尸網(wǎng)絡(luò)及現(xiàn)成的勒索軟件程序。價(jià)格合適的話，他們甚至可以通過針刺漏洞（也叫“零日漏洞”）買到進(jìn)入私人電腦或公共服務(wù)器的通道。

研究人員發(fā)現(xiàn)，其中還有一種非常出名的等級(jí)制度。俄羅斯黑客因其才能而著稱。一些越南組織將注意力集中在電子商務(wù)上。美國黑客傾向于鉆營金融犯罪。

據(jù)一位專家預(yù)測(cè)，網(wǎng)絡(luò)犯罪至少產(chǎn)生了數(shù)十億的交易額。研究人員總結(jié)說，在有些方面，網(wǎng)絡(luò)犯罪比非法毒品交易還賺錢——進(jìn)入的成本較低，分擔(dān)的風(fēng)險(xiǎn)也更小。

“變成網(wǎng)絡(luò)罪犯很容易，”阿布隆說，“只要連上網(wǎng)就行了?！?/p>

樂觀或悲觀，都各有原因

蘭德公司在總結(jié)中說，圍繞網(wǎng)絡(luò)安全產(chǎn)業(yè)的悲觀主義成因或許與一些被保護(hù)起來的樂觀主義成因相同。各家公司在網(wǎng)絡(luò)安全上投入的精力要遠(yuǎn)遠(yuǎn)高于5年前，這也推動(dòng)了安全工具市場(chǎng)的發(fā)展；安全工具市場(chǎng)至少增加了黑客入侵的難度和代價(jià)。蘋果手機(jī)的案例也表明：盡管連聯(lián)邦調(diào)查局都束手無策，人們還是有可能對(duì)數(shù)據(jù)進(jìn)行充分防范。

與此同時(shí)，除卻上述因素，與互聯(lián)網(wǎng)相連的事物的數(shù)量還是在日益激增——不僅是手機(jī)和筆記本電腦，還有醫(yī)療設(shè)備、家用恒溫器，甚至于廚房電器也都能連接互聯(lián)網(wǎng)。根據(jù)一項(xiàng)被廣泛引用的預(yù)測(cè)結(jié)果，到2020年，線上設(shè)備的數(shù)量將達(dá)到人口量的6倍——每一個(gè)都是新增的潛在漏洞，都有可能在黑客集市進(jìn)行交易。

正如研究員所記錄的那樣：“一個(gè)有20年使用壽命的冰箱同時(shí)也需要價(jià)值20年的軟件安全補(bǔ)丁，消費(fèi)者能理解這樣的事嗎？”

原文標(biāo)題：The Digital Underworld: What You Need to Know