Bitcoin 价格在笔者写《两年成长两万倍,最划算的投资 - Bitcoin》一文时,「只」有 47 美元,日前一路狂涨到最高点 266 美元。
随着交易价格水涨船高,各大 Bitcoin 交易平台也相继受到黑客的 DDoS(分布式阻断)攻击,导致价格跌荡。在南北韩局势紧崩之际,南韩也传出受到北韩网军攻击,经济损失难以估计。
黑客在狙击实体经济上一样活跃。最近美联社 Twitter 账号被黑客盗用,发出欧巴马被炸弹客攻击受伤的假消息,造成股市瞬间暴跌。当日常生活越来越依赖网络,网络攻击就从无伤大雅的玩笑,转变为一种实体战争,更成为有意者获取暴利的手段。
黑客从为了好玩到为了获利,从单打独斗到团队合作,让笔者带读者一窥这些不为人知的地下经济活动。
黑客集团的获利循环
1 Bitcoin 最高曾可兑 266 美金。若以知名的 Pizza 指标来看,当年不到500元卖出去的两块 Pizza,如今已值7千9百8十万元台币。黑客集团眼见利益庞大,当然不会放过发财的好机会。
注:每个人对黑客有不一样的见解,有褒有贬。笔者的重点不是名词,而是行为,由读者自行解读。
不久之后,各大 Bitcoin 交易平台都同时发生了严重的交易延迟,造成了许多人害怕无法脱手 Bitcoin,疯狂抛售,价格一落千丈。这一切正是黑客集团所致。
Bitcoin 价格跌宕。图片来源:Mtgox
黑客集团在价格最高点卖出手中所持有的所有 Bitcoin,接着对主要交易平台发动攻击,让投机客大量卖出进而让价格暴跌。此时黑客集团再大量收购被抛售的便宜 Bitcoin、停止攻击,让交易回稳,等待价格回升时再大量卖出。如此重复循环来获取暴利,如下图:
图片来源:约翰‧史密斯
黑客攻击也要成本
但此类的价格操控并非稳赚不赔,因为 DDoS 攻击并不是免费的。
常见的 DDoS 是透过殭尸网络 (Botnet),也就是用恶意程序感染大量一般大众的计算机,利用这些计算机攻击。一般殭尸网络出租是以小时计价。规模越大收费越贵。因此殭尸网络的收费就是发动攻击的成本。
其它操控 Bitcoin 的手法还有「短时间送出大量小额交易」等。然而这些手法仍然需要持续花费(手续费)。总之,攻击需要烧钱,肯定无法持久。
除此之外,狼来了喊太多次,大家终究会习惯,开始认清平台瘫痪只是放羊小孩的把戏。当投机客懂得静观其变而非疯狂抛售,攻击者很难从中赚到钱。
另外,其它黑客集团的加入会使得状况难以掌控,因此价格操控还是有相当的风险。黑客手法还在不断演进中。
好莱坞的黑客太帅了
黑客操控 Bitcoin 只是黑客经济的冰山一角,实际经济规模远比你我想象的还要庞大。
好莱坞电影与漫画常描写黑客一个人在极短时间内,控制各种重要的设施来摧毁世界。但那种剧情早就落伍了。现实中,这些人是有组织地以获利为目的进行着地下活动。
会有这样的落差,是因为这二十年来,黑客的本质有了很大的改变。
从为了好玩到为了获利
一开始,有一些精通计算机技术的人,为了好玩和证明自己能力竞相在网络上大展身手,以攻破困难的目标为乐。当年信息安全的概念尚不普及,许多设计也只防君子不防小人。
当时在计算机、网络上交易的资金也相对有限,因此利益不大。那时为了获利而攻击的人并不多见。
随着因特网人口与投入资金的暴增,渐渐地有更多人发现他们的能力可以赚钱。网络产业的成长同时也带动了地下经济的成长,更多的地下商机吸引了更多有天赋的年轻人。由于网络上昵名和无国界的特色,懂得隐藏自己的人被逮到的机率微乎其微,自然有更多人加入黑客的行列。
从单打独斗到团队合作
原本独来独往的黑客们,在获利的大旗下开始合作。网络技术的发展也一日千里,不再是一个人可以完全掌握,自然也出现专业分工。
举例来说,假如你发现一个软件中的漏洞,利用这个漏洞你可以控制成千上万的计算机,你会怎么做?
1.好人:无偿告知该软件厂商
2.回馈:收钱告知该软件厂商
3.黑客:利用该漏洞来牟利
4.商人:卖给第三者牟利
其中,转卖给第三者是最方便、获利高、风险又低的方式。
正因为如此,软件漏洞的知识交易市场已经相当庞大。买卖的并不只有黑客,还包括政府情资单位、网络业者、软件商等。
读者或许有听过 Google 提供高额奖金,悬赏发现漏洞并独家回报的人。Google 此举并不是做慈善事业,而是与地下市场的其它买家们竞价。与其让软件漏洞被恶意攻击者买走,不如软件厂商自己买走。
公开市场的出现代表相当的专业分工。除了软件漏洞被做为商品贩卖,还有很多像是被盗的游戏账号、Facebook 账号、Twitter 账号、信用卡号码和个人数据等等,各种市场不胜繁举。读者遇到朋友的脸书账号被用来诈骗,很可能就是从地下市场中被诈骗集团买走的。
恐吓与勒索 – 你买不买单?
黑 客们也恐吓与勒索。最近一家在线 Bitcoin 商店收到了「DDoS incoming unless you pay $5,000」的恐吓信,意思是「除非你付$5,000 美金,否则准备接受攻击。」信末还附上一张图片。比较另一家受害者的损失与勒索金的比例。
没想到,这家 Bitcoin 商店不但不付钱,反而悬赏$5,000 美金抓这位攻击者。换做是你会付钱吗?我不会。甚至我直接忽略这样的信件。
因为 DDoS 攻击必须持续烧钱。如果黑客执意发动攻击,例如攻击 24 小时,规模为每小时 100 美金,那么黑客的成本就是 2,400 美金。我方就算遭受到一时的损失,对方也终究会停止烧钱攻击。整体来说双输,两个傻子互殴一拳,谁也没得到好处。
如果对方真的要展示攻击的决心,应该在攻击的同时勒索。既然没有,就没什么好担心的,除非对方是为了商业竞争。那往好处想,有人愿意花钱攻击你表示你的网站成功了。
当然,攻击者也不是爱烧钱的笨蛋,他打的是另外的算盘:只要大量寄恐吓信,总有一两个不懂的受害者愿意付钱。这样攻击者就赚到了,毕竟寄信成本几乎是零,获利仍然不斐。
预知市场不如操控市场
操控 Bitcoin 市场可以尝到甜头,那如果操控现实市场呢?
4 月 24 日,美联社的 Twitter 账号被黑客盗取,发出了欧巴马因炸弹攻击而受伤的假消息。消息一出,特别是在波士顿暴炸案的影响当下,造成道琼工业指数下跌 1 个百分点。如下图所示。
黑客成功地利用假消息,在现实市场中砍出一道深深的缺口。攻击者如果精准地抓到市场反应,获利之惊人可想而知。
不过这么做相当危险,因为有价证卷交易大多有数据可查,昵名性远不如 Bitcoin 交易。过度精准地在这样的事件中赚取暴利,可能反而会引发相关单位的关注。
这只是个开端,是时候该俱备网络战争的新思维
世界上任何安全措施都有可能被攻破,问题在花多少成本。因此到底该做到多安全?其实这些都是成本与风险的考虑。要考虑的条件有:
1.攻击可能造成的损害
2.防御攻击的成本
3.攻击者能得到的好处
4.成攻攻击需要的成本
假设你经营了一个社群网站,针对个资外泄的攻击,做出了这样的评估:
●被攻击损害:500 万
●防御成本:100 万
●攻破获利:3 万
●攻破成本:10 万
此时投入100 万元防御是合理的。因为攻击你的网站要花10 万元,但卖掉你网站上的个人资料只能赚三万元。大多数攻击者都会打消念头。
我们再来看另一个状况:
●被攻击损害:10 万
●防御成本:50 万
●攻破获利:3 万
●攻击成本:0
在这个状况中,投资防御不划算,因为 50 万元的防御只保护了 10 万元的风险。
此时选择简陋的的安全设计,例如用缺乏资安概念的程序设计师设计网站,使网站对最基本的 SQL 隐码插入攻击(SQL injection)都疏于防范,自然会产生资安问题。
上述例子只是解释攻防之间的成本与花费,实务上这些成本很难量化。被攻破的损失不只是赔偿,还损失了使用者的信心、商誉等,都很难估算。同样的,也很难计算投入的防御成本是否真的能反应在防御能力上。
许多人低估了被攻破的损失,或是过于节省防御成本、没有资安观念,导致资安事件频传。网站我的密码没加密中,列出了许多使用者密码没加密的台湾网站,不乏知名公司与政府网站。从此就能看出这问题的严重性。
信息安全最重要的关键,还是在人。有正确的信息安全观念,找到对的人,投入适当的预算,细心的实行深度防御的策略,你可以不必成为黑客眼中的肥羊。
随着网络规模持续成长,渗透至生活上每个角落,网络攻击者能获得的利益就更多。这些事件只是个开端,网络攻击在将来会更加频繁,地下的黑客经济体只会成长不会减少,该是俱备网络战争的新思维的时候了。
