關于地下數字世界：你所須知的一些事

道格·歐文（Doug Irving）

魏尚新/譯

關于地下數字世界：你所須知的一些事

道格·歐文（Doug Irving）

魏尚新/譯

選自美國《赫芬頓郵報》2016年7月26日

根據蘭德公司（RAND）的調查顯示，今年，美國將會有數千萬人的信用卡號、就診記錄或數字身份信息被入侵或是被盜——就范圍和精密程度講，現如今網絡犯罪的受害者可與非法毒品交易相匹敵。

與其說這些數字讓人吃驚，不如說是讓人清醒。這些年來，蘭德公司的研究員用事實證明：地下數字世界所帶來的威脅正在日益加深，黑客著眼實利，販賣服務；信用卡號只需要很低的價格就能獲取。

他們的調查有助于從攻擊者、防御者，以及夾在兩者之間的消費者等多角度去認識這種威脅。總的來說，該調查不僅提供了有關地下網絡攻擊及反攻擊的珍貴信息，還為擁有電腦或信用卡的任何一個人都上了寶貴的一課。

黑客即將勝出

這些人本身難逃罪責。蘭德公司今年早期發布的一項報告就曾預測，美國有6400萬成年人提前一年就接到有關通知，告知他們其個人數據遭到攻擊——這個數字達到成年人口的1/4還多。

數據泄露問題幾乎每天都會出現在新聞標題中；就消費者對數據泄露的態度和反應來說，該項調查屬于首例。調查發現的大部分案例都涉及信用卡號或財務記錄被盜等主要網絡犯罪活動。

然而，至少有1/5的受害者聲稱，他們丟失了自己的健康數據或社保賬號。研究人員對此發出警告：這項統計令人不安，因為那些記錄都是很難恢復和修復的；這同時也凸顯了這些數據在身份盜竊、醫療欺詐或敲詐勒索方面的價值。

與此同時，該調查表明：消費者并不總能像預期的那樣對數據侵害做出反應——他們甚至通常都不會為自己的最大利益付出行動。大約2/3的受訪者指出自己在數據遭到侵害后曾接受免費信用監督服務，這一數字高于預計。但僅有一半的人會去修改賬戶密碼，幾乎90%的受訪者聲稱會繼續同丟失數據的公司做生意。

依照蘭德公司網絡安全及新興技術研究員莉蓮·阿布隆（Lillian Ablon）的看法，“消費者看起來相當寬容”，“這些公司似乎沒有什么做出改變的動機。”

成本在上升，安全性卻沒有跟上

負責網絡防護的信息安全主管人員面臨第22條軍規，且代價高昂：不管他們在網絡安全上花費多少，都沒有辦法了解到底何時才是盡頭——只有，在遭受一項成功的攻擊之后，才知道防護是遠遠不夠的。蘭德公司調查員稱之為“防護人員的困局”。

如今，全世界每年在網絡安全上的花費接近800億美元。但在采訪一些公眾及個人網絡安全領導人時，蘭德公司的研究員發現，他們近期很難獲得什么優勢。他們依靠冷酷的準則而活：運營網絡的人應該始終認定黑客已經侵入。

這些訪談同時也顯示：企業及政府部門負責安全管理的官員最關心的并不是數據的丟失；他們關心的是聲譽及公眾信任的喪失。這使得風險系數呈指數增加，由此，即便是一場無害的入侵也會拉響警報，致使安全成本增高，有時候與實際危害并不成比例。

研究人員寫道，人們需要的，是用新的方式去對網絡安全進行思考。如果一家組織能將多數安全支出花費在最緊急以及很可能發生的危害上，把少數支出花費在軟件供應商售賣的最壞可能性上，它們就能更有效地保護自己。

蘭德公司高級管理科學家馬丁·利比基（Martin Libicki）認為，“很多網絡安全花費都來自于我們的擔心，但其實，我們所擔心的都很少發生。是的，壞人會摧毀一個網絡，但幾乎沒有人愿意這樣做。”

網絡犯罪已然成為一項涉及數十億美元的產業

蘭德公司研究員將其稱為“黑客集市”：黑客和其他網絡罪犯在秘密聊天室或秘密論壇碰頭及交易的市場。他們發現，它的內部運營跟所有商品交易場所一樣精致、有條理。“黑客集市”有一些線上店面跟亞馬遜或eBay一樣光鮮亮麗，一樣受歡迎。

這個集市的地下市場通常擁有自己的規章制度，擁有維持秩序的管理人員、經紀人、銷售商、中間商以及貨幣兌換商。了解通道的消費者可以從中找到任何東西——從就診記錄到黑客名單，再到毀滅性開發工具包、僵尸網絡及現成的勒索軟件程序。價格合適的話，他們甚至可以通過針刺漏洞（也叫“零日漏洞”）買到進入私人電腦或公共服務器的通道。

研究人員發現，其中還有一種非常出名的等級制度。俄羅斯黑客因其才能而著稱。一些越南組織將注意力集中在電子商務上。美國黑客傾向于鉆營金融犯罪。

據一位專家預測，網絡犯罪至少產生了數十億的交易額。研究人員總結說，在有些方面，網絡犯罪比非法毒品交易還賺錢——進入的成本較低，分擔的風險也更小。

“變成網絡罪犯很容易，”阿布隆說，“只要連上網就行了。”

樂觀或悲觀，都各有原因

蘭德公司在總結中說，圍繞網絡安全產業的悲觀主義成因或許與一些被保護起來的樂觀主義成因相同。各家公司在網絡安全上投入的精力要遠遠高于5年前，這也推動了安全工具市場的發展；安全工具市場至少增加了黑客入侵的難度和代價。蘋果手機的案例也表明：盡管連聯邦調查局都束手無策，人們還是有可能對數據進行充分防范。

與此同時，除卻上述因素，與互聯網相連的事物的數量還是在日益激增——不僅是手機和筆記本電腦，還有醫療設備、家用恒溫器，甚至于廚房電器也都能連接互聯網。根據一項被廣泛引用的預測結果，到2020年，線上設備的數量將達到人口量的6倍——每一個都是新增的潛在漏洞，都有可能在黑客集市進行交易。

正如研究員所記錄的那樣：“一個有20年使用壽命的冰箱同時也需要價值20年的軟件安全補丁，消費者能理解這樣的事嗎？”

原文標題：The Digital Underworld: What You Need to Know