黑色的眼睛

記者／李　偉

失望的黑客

海信向黑客下戰書了。

8月21日海信推出它的8341防火墻，懸賞50萬元，限期10天。雖然在接下來的幾天內，海信主頁兩次被改，但副總王培松始終認為防火墻的地址始終固若金湯，完好無損。

8月31日是海信防火墻測驗的最后一晚，即將開學的孩子在廣場上溜旱冰，“檢驗民族實力，海信以身試先”的展示牌在秋風中顯得有些落寞。記者在當代9樓見到了海信的程序員姜斌，他正悠閑地打著技術報告，“估計50萬元不會有人拿走了，我們的產品看來表現不錯。”

第二天，在海信防火墻的檢測發布會上，副總王培松把50萬元賞金捐給了信息產業領導小組與網絡安全中心，在黑客的不滿聲中，最高榮譽歸了網安中心。看來海信和黑客們說得好像不是一回事。

黑白對話

就在海信防火墻測試結束當天，一輛大巴靜悄悄地駛入京郊龍泉賓館。國內著名網絡黑客中國鷹派、冰河、江海客、秋天的樹、袁哥在車上隨意說笑著、翻看報紙或是靠窗打盹，同車而行的還有ISS、高陽信安、天網、安絡等國內外著名信息安全公司的反黑專家。由天極網主辦的中國信息安全研討會在京召開，網絡黑客與信息安全專家面對面開始了一場激烈而和諧的對話。

DoS（不是菜鳥們知道的DOS操作系統）是黑客們最常用的攻擊手段，天網的總經理袁鑒為此帶來了研發的最新防火墻。所謂DoS全稱是Denial of Service，中文意思是拒絕服務攻擊。這種攻擊行動是網站服務器充斥大量要求恢復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以致癱瘓而停止提供正常的網絡服務。對黑客來說這是一個簡單實用屢試不爽秘技，年初雅虎、亞馬遜、eBay、CNN、Buy等著名網站就中了這一刀。天網的主要解決之道就是將服務器與用戶端的“第一次握手”時間壓縮為30秒，從而拒絕惡意連接。但在黑客小榕的追問下，袁鑒也不得不承認如果遭到三十萬用戶端同時的攻擊，防火墻也面臨崩潰危險，而且這種技術也有兩大局限：浪費服務端系統資源并且有可能被攻擊者利用。

即使如此，安絡科技公司的工程師認為DoS制造的數字炸彈攻擊還是危害最小的黑客手法。他們將黑客入侵的模式分為六層，DoS數據炸彈是危害最小的，其后還有獲取敏感信息、獲取文件非法閱讀權、獲取普通用戶賬號、獲取文件改寫權、直至獲取網絡系統的最高控制權。同時新產品的研發、軟硬件技術的高速發展都會帶來更多的技術漏洞，合作伙伴的不可靠性也會增加不安全因素——“黑客的存在無疑給科技社會帶來一種數字恐怖，因為互聯網本身就是脆弱的。防火墻不過是一種外圍防御方式，就像大院的圍墻與院門，但撬門或是跳墻同樣可沖進來，我們的努力就是讓黑客付出更高的代價。互聯網面對的是一個過于開放的世界，所謂信息安全在網絡時代都是相對的。”

在程序員中流傳著一個笑話，你寫了一段程序，第一次測試發現了3個bug，于是去修改，第二次測試時又出現了6個新bug，再去改，再測試，又出了9個bug，于是重寫。即使強大如微軟也繞不過這個怪圈，中國黑客組織綠色兵團發現了Windows2000和WindowsNT的很多漏洞，并且已經迫使微軟公司進行了必要的修改。比爾·蓋茨曾說：“所謂致命的系統漏洞都只是理論上的”，今天聽來更像廣告詞。

結果，以前各自為戰的信息安全專家和網絡黑客在秋天的北京終于實現了一次“親密接觸”，“技術的追求是無止境的，高手過招，總是惺惺相惜”，ISS的工程師胡昌貴說。參會的很多黑客不是當年玩高科技的壞孩子，他們大都有了一份堂皇的職業，做的恰恰就是網絡信息安全。就像CIH的締造者已被臺灣軍方網羅，“愛蟲”的始作俑者也在美國謀到了一份不錯的工作，選擇被“招安”是黑客生涯的國際慣例。專家與黑客的手握在了一起，并不是所有的煩惱與痛苦都已成往事，而是黑客們那核彈般的能量讓人愛不釋手。

挑戰法律

中國鷹派一直希望還黑客一個清白：“黑客是中性的，搞破壞的是駭客。”但無論怎樣提起黑客，人們總是最先想到網絡惡作劇甚至竊取國家機密，而不是對技術的癡迷。畢竟黑客已經成了一個社會問題，技術的高墻無法保證網絡世界的絕對安詳。

黑客們大都有一個浪漫的想法——有點像羅賓漢，小人物對抗大機器或正確或錯誤而已。假如你是一個法官，在你面前站著的是一個臉部略有浮腫、頭法蓬亂目光渙散的年前人。他被指控入侵了銀行的電腦系統并下載了幾千人的賬戶資料，他告訴你這么做沒有任何犯罪企圖，當然也未對下載的資料作任何處理，并說如果他不這樣做別人也會這樣做——最大的錯誤是銀行沒把“門”關好。

然而你必須告訴他：“這不是銀行的錯，這是犯罪。”

保障網絡世界的安全，最有效的手段還是立法。舉一個最簡單的例子：我們每個人都可以很輕松地找到刀，但并沒有多少人會持刀搶劫，因為那是犯罪。法律的威嚴在虛擬世界中并不蒼白，日本頒布《反黑法》后，黑客入侵的頻率明顯減少。目前中國的相應法律正在逐步建立，除了1997年１０月１日執行的新刑法加入了有關計算機犯罪的若干規定、和比較新的《商用密碼管理條例》和《計算機信息系統國際聯網保密管理規定》外，還有若干的相關法律。但面對日新月異的信息技術，仍感覺跟不上趟。

舉一個簡單的例子，黑客攻擊ＩＳＰ，自己開設、分發賬號，盜用上網時間該如何處理?按照《刑法》第二百八十五條“違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役"。但ＩＳＰ能算國家事務、國防建設、尖端科學技術領域嗎？如果按照第二百八十六條“違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處5年以下有期徒刑或者拘役，后果特別嚴重的，處5年以上有期徒刑。違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，依照第一款的規定處罰。"那么第一，私開賬號算不算對信息系統的修改和增加？第二，顯然從后果上來看，行為并未構成造成計算機信息系統不能運行。假定按照盜竊罪中有關通訊線路條款來處理的話，也有兩個問題，第一是賬號和通訊線路并不是一回事，第二是該條款保護的對象是通訊用戶而不是通訊服務商，因此ＩＳＰ是否在保護之列？再比如，“有害數據”到底指什么？政治的還是技術的？況且很多軟件在某種條件下都有破壞性，這是作為系統功能出現的，是善意的，這又怎么界定?

當然所有的黑客都能潔身自律則是善莫大焉。“熱情、專注、對技術的狂熱追求而不是對破壞的惡狂熱追求，應成為黑客的行為準則”，中國鷹派說，“反權威的互聯網需要建立一個新秩序。”

在黑客眼中我們苦心經營的技術帝國都是脆弱乏力而漏洞百出。對技術體系對法律制度，黑客是一個天生的叛逆，他們始終站在另一個軌道中，不斷挑剔著我們這個歌舞升平的世界。科技許諾我們更高效、更舒適、更安全的生活，以及更恭順的目光；而黑客給了我們黑色的眼睛，在他的注視下我們看到了生活的背面。