作者:约翰·史密斯
Bitcoin价格在笔者写《两年成长两万倍,最划算的投资- Bitcoin》一文时,“只”有47美元,日前一路狂涨到最高点266美元。
随着交易价格水涨船高,各大Bitcoin交易平台也相继受到骇客的DDoS(分散式阻断)攻击,导致价格跌荡。在南北韩局势紧崩之际,南韩也传出受到北韩网军攻击,经济损失难以估计。
黑客在狙击实体经济上一样活跃。最近美联社Twitter 帐号被骇客盗用,发出奥巴马被炸弹客攻击受伤的假消息,造成股市瞬间暴跌。当日常生活越来越依赖网络,网络攻击就从无伤大雅的玩笑,转变为一种实体战争,更成为有意者获取暴利的手段。
黑客从为了好玩到为了获利,从单打独斗到团队合作,让笔者带读者一窥这些不为人知的地下经济活动。
黑客集团的获利循环
Bitcoin 最高曾可兑266 美金。若以知名的Pizza 指标来看,当年不到500元卖出去的两块Pizza,如今已值7千9百8十万元台币。骇客集团眼见利益庞大,当然不会放过发财的好机会。
注:每个人对黑客有不一样的见解,有褒有贬。笔者的重点不是名词,而是行为,由读者自行解读。
不久之后,各大Bitcoin 交易平台都同时发生了严重的交易延迟,造成了许多人害怕无法脱手Bitcoin,疯狂抛售,价格一落千丈。这一切正是黑客集团所致。
黑客集团在价格最高点卖出手中所持有的所有Bitcoin,接着对主要交易平台发动攻击,让投机客大量卖出进而让价格暴跌。此时黑客集团再大量收购被抛售的便宜Bitcoin、停止攻击,让交易回稳,等待价格回升时再大量卖出。如此重覆循环来获取暴利,如下图:
黑客攻击也要成本
但此类的价格操控并非稳赚不赔,因为DDoS攻击并不是免费的。
常见的DDoS是透过僵尸网络(Botnet),也就是用恶意程式感染大量一般大众的电脑,利用这些电脑攻击。一般僵尸网路出租是以小时计价。规模越大收费越贵。因此僵尸网路的收费就是发动攻击的成本。
其他操控Bitcoin 的手法还有“短时间送出大量小额交易”等。然而这些手法仍然需要持续花费(手续费)。总之,攻击需要烧钱,肯定无法持久。
除此之外,狼来了喊太多次,大家终究会习惯,开始认清平台瘫痪只是放羊小孩的把戏。当投机客懂得静观其变而非疯狂抛售,攻击者很难从中赚到钱。
另外,其它黑客集团的加入会使得状况难以掌控,因此价格操控还是有相当的风险。黑客手法还在不断演进中。
好莱坞的黑客太帅了
黑客操控Bitcoin 只是骇客经济的冰山一角,实际经济规模远比你我想像的还要庞大。
好莱坞电影与漫画常描写黑客一个人在极短时间内,控制各种重要的设施来摧毁世界。但那种剧情早就落伍了。现实中,这些人是有组织地以获利为目的进行着地下活动。
会有这样的落差,是因为这二十年来,黑客的本质有了很大的改变。
从为了好玩到为了获利
一开始,有一些精通电脑技术的人,为了好玩和证明自己能力竞相在网络上大展身手,以攻破困难的目标为乐。当年资讯安全的概念尚不普及,许多设计也只防君子不防小人。
当时在电脑、网路上交易的资金也相对有限,因此利益不大。那时为了获利而攻击的人并不多见。
随着网络人口与投入资金的暴增,渐渐地有更多人发现他们的能力可以赚钱。网络产业的成长同时也带动了地下经济的成长,更多的地下商机吸引了更多有天赋的年轻人。由于网路上昵名和无国界的特色,懂得隐藏自己的人被逮到的机率微乎其微,自然有更多人加入黑客的行列。
从单打独斗到团队合作
原本独来独往的黑客们,在获利的大旗下开始合作。网络技术的发展也一日千里,不再是一个人可以完全掌握,自然也出现专业分工。
举例来说,假如你发现一个软件中的漏洞,利用这个漏洞你可以控制成千上万的电脑,你会怎么做?
1.好人:无偿告知该软体厂商
2.回馈:收钱告知该软体厂商
3.黑客:利用该漏洞来牟利
4.商人:卖给第三者牟利
其中,转卖给第三者是最方便、获利高、风险又低的方式。
正因为如此,软件漏洞的知识交易市场已经相当庞大。买卖的并不只有黑客,还包括政府情资单位、网络业者、软件商等。
读者或许有听过Google 提供高额奖金,悬赏发现漏洞并独家回报的人。Google 此举并不是做慈善事业,而是与地下市场的其他买家们竞价。与其让软体漏洞被恶意攻击者买走,不如软件厂商自己买走。
公开市场的出现代表相当的专业分工。除了软件漏洞被做为商品贩卖,还有很多像是被盗的游戏帐号、Facebook 帐号、Twitter 帐号、信用卡号码和个人资料等等,各种市场不胜繁举。读者遇到朋友的脸书帐号被用来诈骗,很可能就是从地下市场中被诈骗集团买走的。
恐吓与勒索:你买不买单?
黑客们也恐吓与勒索。最近一家线上Bitcoin商店收到了“DDoS incoming unless you pay $5,000”的恐吓信,意思是“除非你付$5,000美金,否则准备接受攻击。”信末还附上一张图片。比较另一家受害者的损失与勒索金的比例。
没想到,这家Bitcoin 商店不但不付钱,反而悬赏$5,000 美金抓这位攻击者。换做是你会付钱吗?我不会。甚至我直接忽略这样的信件。
因为DDoS 攻击必须持续烧钱。如果骇客执意发动攻击,例如攻击24 小时,规模为每小时100 美金,那么骇客的成本就是2,400 美金。我方就算遭受到一时的损失,对方也终究会停止烧钱攻击。整体来说双输,两个傻子互殴一拳,谁也没得到好处。
如果对方真的要展示攻击的决心,应该在攻击的同时勒索。既然没有,就没什么好担心的,除非对方是为了商业竞争。那往好处想,有人愿意花钱攻击你表示你的网站成功了。
当然,攻击者也不是爱烧钱的笨蛋,他打的是另外的算盘:只要大量寄恐吓信,总有一两个不懂的受害者愿意付钱。这样攻击者就赚到了,毕竟寄信成本几乎是零,获利仍然不斐。
预知市场不如操控市场
操控Bitcoin 市场可以尝到甜头,那如果操控现实市场呢?
4月24日,美联社的Twitter帐号被黑客盗取,发出了奥巴马因炸弹攻击而受伤的假消息。消息一出,特别是在波士顿暴炸案的影响当下,造成道琼工业指数下跌1个百分点。如下图所示。
黑客成功地利用假消息,在现实市场中砍出一道深深的缺口。攻击者如果精准地抓到市场反应,获利之惊人可想而知。
不过这么做相当危险,因为有价证卷交易大多有资料可查,昵名性远不如Bitcoin 交易。过度精准地在这样的事件中赚取暴利,可能反而会引发相关单位的关注。
这只是个开端,是时候该俱备网络战争的新思维
世界上任何安全措施都有可能被攻破,问题在花多少成本。因此到底该做到多安全?其实这些都是成本与风险的考量。要考量的条件有:
1.攻击可能造成的损害
2.防御攻击的成本
3.攻击者能得到的好处
4.成攻攻击需要的成本
假设你经营了一个社交网站,针对个资外泄的攻击,做出了这样的评估:
被攻击损害:500万
防御成本:100万
攻破获利:3万
攻破成本:10万
此时投入100 万元防御是合理的。因为攻击你的网站要花10 万元,但卖掉你网站上的个人资料只能赚三万元。大多数攻击者都会打消念头。
我们再来看另一个状况:
被攻击损害:10万
防御成本:50万
攻破获利:3万
攻击成本:0
在这个状况中,投资防御不划算,因为50 万元的防御只保护了10 万元的风险。
此时选择简陋的的安全设计,例如用缺乏资安概念的程式设计师设计网站,使网站对最基本的SQL隐码插入攻击(SQL injection)都疏于防范,自然会产生资安问题。
上述例子只是解释攻防之间的成本与花费,实务上这些成本很难量化。被攻破的损失不只是赔偿,还损失了使用者的信心、商誉等,都很难估算。同样的,也很难计算投入的防御成本是否真的能反应在防御能力上。
许多人低估了被攻破的损失,或是过于节省防御成本、没有资安观念,导致资安事件频传。网站我的密码没加密中,列出了许多使用者密码没加密的台湾网站,不乏知名公司与政府网站。从此就能看出这问题的严重性。
资讯安全最重要的关键,还是在人。有正确的资讯安全观念,找到对的人,投入适当的预算,细心的实行深度防御的策略,你可以不必成为黑客眼中的肥羊。
随着网络规模持续成长,渗透至生活上每个角落,网络攻击者能获得的利益就更多。这些事件只是个开端,网络攻击在将来会更加频繁,地下的黑客经济体只会成长不会减少,该是俱备网络战争的新思维的时候了。
