电脑黑客与其攻击目标之间持续不断的猫鼠游戏变得越来越激烈。网络罪犯越来越善于绕开防火墙和杀毒程序。越来越多的黑客在借助软件进行勒索,此类软
件对电脑数据进行加密挟持,直到获得金钱。一些黑客在合法网站上植入携带病毒的广告,使他们能够远程抹除硬盘上的数据,或者使硬盘过热。与此同时,一些公
司经常成为伊朗及中国政府发起的攻击活动的目标。甚至小型初创企业都在遭受勒索目的的拒绝服务攻击,黑客会要求网站拿出钱来,否则就令网站无法运转。
本月早些时候,联邦调查局(FBI)和国际执法机构联手摧毁了勒索软件程序CryptoLocker,该程序感染了30万台电脑,但另一个恶意程序Cryptowall突然出现,并开始迅速传播。
面 对这些威胁,越来越多的公司开始采取反制手段,比如在自己的服务器上植入错误信息以误导数据窃贼,在网络论坛内巡视,寻找被盗信息,创立“蜜罐”服务器, 收集有关入侵者的信息。去年,各大公司还花费了大约13亿美元(约合80亿元人民币)购买保险,以便帮助支付与数据盗窃有关的费用。
一些安 全专家呼吁采取更为强硬的行动。曾在国土安全部(Department of Homeland Security)负责政策事务的助理部长斯图尔特·A·贝克(Stewart A. Baker)说,“执法部门目前取得的成效,还达不到企业的要求。” 他质疑国家安全局(National Security Agency,简称NSA)、FBI或CIA(中央情报局)是否有足够多合格的反黑客人员去监视公司网络,此外也怀疑这些公司能不能放心地给政府更多访问 其网络的权限。
数据盗窃的受害者认为他们有权追踪、取回数据,无论盗贼将数据放在何处,贝克始终相信这种看法是有理有据的。他还表示,相关的联邦法律非常模糊,因为入侵黑客网域的行为起诉一家公司是很困难的,几乎没有成功的机会。
红 色天空联盟(Red Sky Alliance)副总裁杰弗里·L·斯塔茨曼(Jeffery L. Stutzman)表示,“我真的认为在网络中应该有一种宪法第二修正案的权利,”他指的是在网络中“持枪”的权利。他的公司为很多世界顶级公司协调情报 共享。他表示,基本上它们都在考虑应该以何种强度与黑客作战。
2011年,曾在CIA和NSA担任局长的迈克尔·海登(Michael Hayden)表示,政府应该考虑允许一个“数码版黑水公司(Blackwater)”的雇佣兵代表公司打击网络攻击者。但安全专家警告称,公司自己动手 作战,可能会导致报复、诉讼或网络通信堵塞的进一步升级。
除此之外,乔治·华盛顿大学法学院(George Washington University Law School)教授奥林·S·克尔(Orin S. Kerr)表示,由于网路罪犯常常劫持不知情的第三方的系统发动攻击,通常很难确定报复目标。“这有点像聚会上被遮住眼睛的客人用棒球棒打皮纳塔,”他 说,“他也许能打中皮纳塔,但也有可能打中的是站在一旁的莎莉姨妈。”
如果一不小心进入了他人的服务器,企业还可能妨碍到执法部门的行动,甚至成为被告。许多国外的法律规定,私营企业的自卫行动属网络间谍行为。
司 法部认为,只要一家公司未经允许进入另一个计算机网络,它就极有可能触犯了法律。在美国律师协会(American Bar Association)主持的一个小组讨论会上,司法部刑事犯罪科计算机犯罪与知识产权处主任约翰·林奇(John Lynch)说,通常,当他的办公室确定了一家公司为调查某个已知黑客而进入其服务器时,他的第一个想法是,“哎呦——现在有两起罪行了。”
然而,红色天空联盟的斯塔茨曼说,还是有一些方法能够合法而有效地打击黑客的。例如,他的公司会为黑客建立档案,保存黑客的照片、电话号码和其他个人信息。他还支持使用一些软件给敏感文件添加标记,一旦被盗,这些文件可以自我销毁或向主人报警。
大 多数网络安全公司说,其主要目标应该是增加黑客活动的成本。例如,CloudFare就开发了一款名叫Maze的服务,该公司称,这款服务就像“一个错综 复杂的虚拟迷宫”,可以把入侵者引向假数据,让他们远离有用的信息。还有一些公司则设置了瓶颈,把攻击者引向安全检查点。
黑客调查公司 CrowdStrike的创始人之一德米特里·阿尔珀洛维奇(Dmitri Alperovitch)说,一些律所在中国谈判建立合资公司期间,他们的邮箱常常会被入侵。因此,她说如果一家律所知道其律师将成为黑客的攻击目标,可 以率先放置诱饵,以便占据上风。
本月,CrowdStrike揭露了与中国军方有关的一个秘密的网络盗窃机构。他们从军事承包商和研究公司那里窃取了价值数百万美元的数据,方法通常是把黑客软件藏在高尔夫活动的邮件邀请函里。
赛 门铁克公司(Symantec)网络安全服务组副总裁萨米尔·卡普里亚(Samir Kapuria)回忆了一个案例,当时他的公司帮助一家大型制造商伪造了一款重要产品的蓝图——蓝图中有一个可以追踪但无害的缺陷,并把它藏在服务器里。 他说,制造商后来发现了黑市上正在销售这个蓝图,则能够帮助追踪这个漏洞的来源,解雇承包商,从而为公司节省数千万美元。
不过,华盛顿大学 (University of Washington)的安全工程师戴夫·迪特里奇(Dave Dittrich)说,嵌入虚假信息的做法可能会引发始料未及的后果。他举了一个假设的例子:一家公司故意在虚假的车辆设计图中加入了一些缺陷。“如果这 些包含不实信息的文件被偷走并使用,会导致无辜者丧命,”他说,“我们有充分理由证明,在文件中故意嵌入虚假信息的公司,是在以不负责任和无正当理由的方 式行事。”
总地来说,赛门铁克的卡普里亚倾向于用一种豁达的方式来挫败网络犯罪大军,他称这种方法是“网络孙子兵法——故敌佚能劳之,饱能饥之,安能动之。”
扬·乌尔维纳(Ian Urbina)是《纽约时报》的调查记者。
翻译:许欣、王湛
本月早些时候,联邦调查局(FBI)和国际执法机构联手摧毁了勒索软件程序CryptoLocker,该程序感染了30万台电脑,但另一个恶意程序Cryptowall突然出现,并开始迅速传播。
面 对这些威胁,越来越多的公司开始采取反制手段,比如在自己的服务器上植入错误信息以误导数据窃贼,在网络论坛内巡视,寻找被盗信息,创立“蜜罐”服务器, 收集有关入侵者的信息。去年,各大公司还花费了大约13亿美元(约合80亿元人民币)购买保险,以便帮助支付与数据盗窃有关的费用。
一些安 全专家呼吁采取更为强硬的行动。曾在国土安全部(Department of Homeland Security)负责政策事务的助理部长斯图尔特·A·贝克(Stewart A. Baker)说,“执法部门目前取得的成效,还达不到企业的要求。” 他质疑国家安全局(National Security Agency,简称NSA)、FBI或CIA(中央情报局)是否有足够多合格的反黑客人员去监视公司网络,此外也怀疑这些公司能不能放心地给政府更多访问 其网络的权限。
数据盗窃的受害者认为他们有权追踪、取回数据,无论盗贼将数据放在何处,贝克始终相信这种看法是有理有据的。他还表示,相关的联邦法律非常模糊,因为入侵黑客网域的行为起诉一家公司是很困难的,几乎没有成功的机会。
红 色天空联盟(Red Sky Alliance)副总裁杰弗里·L·斯塔茨曼(Jeffery L. Stutzman)表示,“我真的认为在网络中应该有一种宪法第二修正案的权利,”他指的是在网络中“持枪”的权利。他的公司为很多世界顶级公司协调情报 共享。他表示,基本上它们都在考虑应该以何种强度与黑客作战。
2011年,曾在CIA和NSA担任局长的迈克尔·海登(Michael Hayden)表示,政府应该考虑允许一个“数码版黑水公司(Blackwater)”的雇佣兵代表公司打击网络攻击者。但安全专家警告称,公司自己动手 作战,可能会导致报复、诉讼或网络通信堵塞的进一步升级。
除此之外,乔治·华盛顿大学法学院(George Washington University Law School)教授奥林·S·克尔(Orin S. Kerr)表示,由于网路罪犯常常劫持不知情的第三方的系统发动攻击,通常很难确定报复目标。“这有点像聚会上被遮住眼睛的客人用棒球棒打皮纳塔,”他 说,“他也许能打中皮纳塔,但也有可能打中的是站在一旁的莎莉姨妈。”
如果一不小心进入了他人的服务器,企业还可能妨碍到执法部门的行动,甚至成为被告。许多国外的法律规定,私营企业的自卫行动属网络间谍行为。
司 法部认为,只要一家公司未经允许进入另一个计算机网络,它就极有可能触犯了法律。在美国律师协会(American Bar Association)主持的一个小组讨论会上,司法部刑事犯罪科计算机犯罪与知识产权处主任约翰·林奇(John Lynch)说,通常,当他的办公室确定了一家公司为调查某个已知黑客而进入其服务器时,他的第一个想法是,“哎呦——现在有两起罪行了。”
然而,红色天空联盟的斯塔茨曼说,还是有一些方法能够合法而有效地打击黑客的。例如,他的公司会为黑客建立档案,保存黑客的照片、电话号码和其他个人信息。他还支持使用一些软件给敏感文件添加标记,一旦被盗,这些文件可以自我销毁或向主人报警。
大 多数网络安全公司说,其主要目标应该是增加黑客活动的成本。例如,CloudFare就开发了一款名叫Maze的服务,该公司称,这款服务就像“一个错综 复杂的虚拟迷宫”,可以把入侵者引向假数据,让他们远离有用的信息。还有一些公司则设置了瓶颈,把攻击者引向安全检查点。
黑客调查公司 CrowdStrike的创始人之一德米特里·阿尔珀洛维奇(Dmitri Alperovitch)说,一些律所在中国谈判建立合资公司期间,他们的邮箱常常会被入侵。因此,她说如果一家律所知道其律师将成为黑客的攻击目标,可 以率先放置诱饵,以便占据上风。
本月,CrowdStrike揭露了与中国军方有关的一个秘密的网络盗窃机构。他们从军事承包商和研究公司那里窃取了价值数百万美元的数据,方法通常是把黑客软件藏在高尔夫活动的邮件邀请函里。
赛 门铁克公司(Symantec)网络安全服务组副总裁萨米尔·卡普里亚(Samir Kapuria)回忆了一个案例,当时他的公司帮助一家大型制造商伪造了一款重要产品的蓝图——蓝图中有一个可以追踪但无害的缺陷,并把它藏在服务器里。 他说,制造商后来发现了黑市上正在销售这个蓝图,则能够帮助追踪这个漏洞的来源,解雇承包商,从而为公司节省数千万美元。
不过,华盛顿大学 (University of Washington)的安全工程师戴夫·迪特里奇(Dave Dittrich)说,嵌入虚假信息的做法可能会引发始料未及的后果。他举了一个假设的例子:一家公司故意在虚假的车辆设计图中加入了一些缺陷。“如果这 些包含不实信息的文件被偷走并使用,会导致无辜者丧命,”他说,“我们有充分理由证明,在文件中故意嵌入虚假信息的公司,是在以不负责任和无正当理由的方 式行事。”
总地来说,赛门铁克的卡普里亚倾向于用一种豁达的方式来挫败网络犯罪大军,他称这种方法是“网络孙子兵法——故敌佚能劳之,饱能饥之,安能动之。”
扬·乌尔维纳(Ian Urbina)是《纽约时报》的调查记者。
翻译:许欣、王湛
from 纽约时报中文网 http://cn.nytimes.com/opinion/20140623/c23urbina/
