PDF网络犯罪——一场流行病
我们能否保护自己免受在线世界的危害?
Team Cymru
从最广泛的角度来看,网络犯罪本质上是利用信息系统和技术来实施盗窃、敲诈勒索、身份盗窃、欺诈,在某些情况下还包括商业间谍活动。 谁是犯下这些罪行的罪犯,他们的动机是什么? 人们可能会认为,他们与在现实世界中犯罪的个人并非同一类人。 银行抢劫犯和诈骗艺术家在仅仅发生几次犯罪后就会获得一定的公众知名度,但网络罪犯在很大程度上仍然是隐形的,不为人知的。 基于一些粗略的新闻报道和少数公开逮捕事件,例如被指控瘫痪亚马逊、CNN 和其他网站的 Mafiaboy,公众可能会推断这些罪犯仅仅是青少年亚文化的一部分。 在本文中,我们将深入了解网络犯罪的根本原因、参与者及其动机,并找出处理这场犯罪浪潮中固有的一些问题。
网络犯罪普遍存在、不加区分,并且急剧增加。 无数美元正从无辜的个人和大型企业实体手中被偷偷盗走。 由于网络犯罪的低技能入门要求和极高的经济回报前景,人们正以不断升级的数量转向网络犯罪,而风险却极小。
只需登录 30 或 40 个地下经济 IRC(互联网中继聊天)频道之一(例如 #ccpower),您就会看到非法获得的金融账户的规模,其中一些涉及数百万美元。 然而,经济机构继续鼓励客户拥抱电子商务和银行,以减少其实体支出。 其中一些机构未能为计算机安全做出相应的支出; 他们为其用户提供静态登录名和密码进行身份验证,这使得键盘记录和数据包嗅探恶意软件对这些受害者非常有效。 这种对便利性和易用性的偏爱通常会牺牲安全性,从而为网络罪犯提供了丰收的机会。
执法角度
那么,将这些网络罪犯绳之以法呢? 无论是在国内还是国际上,执法部门都无法阻止网络犯罪的迅速蔓延。 培训不足、资源有限(人员、设备、预算)、合作障碍、过时或不存在的法律补救措施、缺乏跨境合作、高延迟的跨境合作流程以及各个组织的文化范式为网络犯罪的成功创造了肥沃的土壤。 在美国,诸如《窃听法案》或《计算机欺诈和滥用法案》等计算机犯罪法规已经过时且不足以应对当今世界技术进步的步伐。 《计算机欺诈和滥用法案》是在 1986 年编写的,那时信息系统尚未成为美国人生活中如此不可或缺的一部分。 因此,检察官必须找到合理的方式来应用法律,并希望司法部门和陪审团理解犯罪的严重性,并能在法律规定的限制范围内,处以适当的惩罚。
许多受害者似乎没有将他们的损失与网络犯罪联系起来; 更糟糕的是,他们通常认为这是一种不可能调查和起诉的犯罪。 为了使网络犯罪被承认为一个重要问题,受害者必须向乐于接受的执法部门和消息灵通的司法部门报告此类事件。 诸如总统的《国家网络空间安全战略》1之类的尝试代表了朝着正确方向迈出的重要第一步。 然而,为了产生预期的影响,必须实施详细的规定,这些规定被列为行动/建议。 欧洲委员会《网络犯罪公约》2条约阐述了国际合作和协作的开端,但尚未得到所有参与国的批准。 建立全面的网络防御以及识别关键国家网络资产的工作仍未完成。
公共部门和私营企业之间的联盟正处于发展的初期阶段,迄今为止收效甚微。 公私合作伙伴关系(在某些情况下有政府参与或赞助),例如国家安全电信咨询委员会 (NSTAC)、国家安全信息交换 (NSIE) 和网络安全产业联盟 (CSIA),在执行关键部门网络空间安全的总体政策和实践方面取得了一定的成功。 其他国家,例如英国,已为其自身的公私合作关系制定了 NSIE 模型。 在国际执法界,平行于这种协作结构的初步尝试正在进行中,但迄今为止,仍然缺乏足够的资源和技能来对网络犯罪巨头产生实质性影响。
也许更成功的是私营部门赞助的类似努力。 软件供应商急于确保他们的客户将互联网视为休闲和商业的安全港湾。 因此,他们创建了由私营行业、执法部门和政策制定者组成的全球论坛。 微软提供了一个例子,即僵尸网络特别工作组,微软可信赖计算计划副总裁 Scott Charney3 详细介绍了该工作组。
在美国政府和国际执法界确实存在个别专业知识中心,他们巧妙地利用信任关系的非正式网络,在其各自领域内以及与私营部门同行之间进行合作。 与其培养和鼓励公共部门和私营企业之间的这种非正式安排,不如说不可避免地会存在将其正式化和制度化的压力,从而严重限制现在存在的灵活性和响应能力。
作为当前安排的一个例子,非正式网络的敏捷性提供了跨多个互联网连接网络跟踪不良行为者活动的能力。 最近,一个组织遭受了 1-Mpps(每秒百万数据包)DDoS(分布式拒绝服务)攻击。 这是一次来自非欺骗源 IP 的 UDP 端口 53 攻击。 仅使用攻击该组织名称服务器的 IP 地址列表,非正式网络就能够在不到七分钟的时间内追溯到命令和控制点。 这提供了将攻击命令和控制流量导向不可用的网络空间的能力,从而结束攻击。 虽然这种快速的结果并非总是可以实现的,但它确实说明了通过非正式的、受信任的网络积极影响和被动检测和跟踪犯罪分子活动的能力。
无所畏惧
灵活性、协作性和响应能力这三个方面在打击网络犯罪中至关重要。 鉴于不良行为者在网络空间内的行动自由,他们倾向于具有流动性和难以捉摸的特点。 在这样的环境中,他们可以有恃无恐、肆无忌惮地行动。 无数公开论坛上的对话表明,他们绝对不惧怕执法部门。 证据表明,不良行为者受雇侵入网络,或编写侵入网络的工具,或只是出售他们已经侵入的东西。
黑客行为过去仅仅是为了给从业者提供地位,但现在雇佣黑客的现象正在兴起。 当自动化工具和地下经济使这些相同的技能如此容易获得时,为什么要发展这些技能呢? 不良行为者并不反对为他们需要的东西付费。 例如
<A> can anyone screw up a PHP website, I am willing to pay who will do that
在这里,另一位不良行为者强调了那些带来稳定非法收入的人的困境
<A> my gf just ask me
<A> how u get somuch money
<A> are u a dealer
<A> >_<
<B> lol
<A> lol i told my gf
<A> iam a hacker and steal money from americans
<A> and she started to laugh :D
网络罪犯确实会分享见解,尽管他们不将其标记为见解。 当一个不良行为者被捕时,通常会在几个小时内看到同一个人回到网上,分享他或她的悲惨故事以及所涉及的特定执法机构,通常会指认负责的特工。
在以下对话中,几位不良行为者讨论了参与 Foonet 案件的 FBI 特工,以及其他一些执法组织。 为了本文,特工的名字已被混淆处理。
<A> how do u know r******
<B> r****** was responsible for shutting foonet down
<C> fbi waste time
<C> in these places
<C> they really come ?
<A> leo.gov is law enforcement online
<A> tis what most of feds use
<B> this guy that got his hdd’s raided [hdd is hard disk drive]
<B> got them back after 3 years
<B> the day after [CRIMINAL] was arrested
<C> if u do something illegal
<C> then make ur hd
<C> easy access
<C> so u can kill it
<C> in half a second
<C> before feds can even walk in house
<D> mine just sits there, not screwed in
<D> rip it straight out
<B> also
<B> m*****@fbi.gov
<B> ********** division manager
Do they worry about being apprehended? Here two miscreants confer about that possibility. Encryption and obfuscation complicate matters, but in their twisted logic, their type of crime is not that serious anyway.
<A> Well i am 90% confident that encryption will make me impossible to trace, that’s for sure, unless the fbi decide to spend millions to end the project then bust me
<A> You know how many of these so called ‘criminals’ get caught? 1% apparently
<B> dont think fbi wud pay much attention to it
<A> yeah, what makes you think that?
<B> well modeling site wudnt be that important to them
<B> plus the way u wud make money isnt going to draw there attention
<A> i see what you mean, it’s not really a very intrusive hostile form of money making is it
重要的是要注意,目前这种公开的犯罪行为是在不考虑安全、隐私或加密的情况下进行的。 地下经济,即在线犯罪的收益进行交易的地方,对所有人都开放。 这些交易点被广泛宣传,并且没有身份验证、安全或隐私规定。
由于美国和国际上都缺乏或不足够的网络犯罪刑事法规,不良行为者可以毫不犹豫或担忧地进行犯罪活动。 他们吹嘘自己的功绩,发布自己及其不当行为的视觉证据,并庆祝执法部门无法逮捕他们。
需要明确的是,问题通常不在于执法部门。 虽然全球许多执法机构在技术上都很娴熟,并且渴望调查在线犯罪,但他们发现检察官、法官和政策制定者提供的支持很少。 执法部门需要这些实体以及全球协作系统的更多支持。
对现实世界中犯罪活动的反应很少在网络世界中复制。 诚然,对于此类现实犯罪事件,刑事法规和处罚更加清晰和明确,但这仅仅突出了制定更全面的网络犯罪法规的必要性,并为此类犯罪处以更严厉、更严厉的判决。 也许甚至可以考虑援引 RICO(勒索影响和腐败组织)法规和资产没收。 毕竟,在线犯罪通常组织性很强,涉及许多犯罪专家、协作和计划。 然而,这假设网络犯罪法规甚至存在; 在许多国家,此类法规不存在、不完整或写得很差。
当政府和执法机构哀叹这一严酷现实时,地下互联网犯罪分子却非常敏锐; 他们几乎可以在不受法律制裁威胁的情况下实施犯罪活动。 即使是铁证如山、证据确凿、监管链无可争议的案件,也未能导致监禁。
然而,一些案件最显著的结果之一是,前所未有地展示了多个国际执法机构如何协同工作,共享信息和技术以收集证据、识别犯罪者并逮捕他们。 然而,这种程度的合作是例外而非规则。 在太多情况下,政治或文化障碍阻碍了这种程度的合作和互动。 打破这些障碍,并在法定限制方面实现某种等效性或一致性,对于在全球范围内开展全面的打击网络犯罪运动至关重要。
无需技术实力
多年来,高技术不良行为者的比例有所下降。 尽管某些圈子对此持相反看法,但现在的入门技能要求非常低。 虽然技术实力可能提供优势或额外的收入机会,但它不是必需的。 这并不是说地下没有非常有才华和技术的犯罪分子,但他们的数量在整个网络犯罪领域中所占的百分比有所下降。 这种情况的发生不是因为他们失去了技术实力,而是因为在线犯罪地下活动的公开和蓬勃发展。 总的来说,不良行为者可以使用 Web 浏览器、IRC 客户端以及仅仅使用两者的能力来进行在线犯罪。
鉴于这一原则,政府和执法部门首先应着手开展活动,以提高不良行为者的成本和风险。 实现这一目标的方法、技术和实践不是本文的主题。 相反,其目的是强调网络犯罪流行的根本原因:糟糕的安全实践、法律缺陷、协调不足以及对多个层面网络犯罪的存在和/或严重性缺乏认识。
当然,网络安全从业人员可以帮助灌输良好的安全实践,强调认识和报告的重要性,并协助协调方面,但阻止或减少在线犯罪的发生将通过几乎普遍地制定经过深思熟虑的政策及其适当的全球应用来实现。 问
- 国家网络空间安全战略; http://www.us-cert.gov/security-publications/national-strategy-secure-cyberspace。
- 欧洲委员会; http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=8/18/2006&CL=ENG
- Charney, S. 2005. 打击网络犯罪:数字环境中的公私战略; http://www.nwacc.org/programs/conf05/UNCrimeCongressPaper.doc。
TEAM CYMRU (www.cymru.com) 是一个利他主义的研究人员团体,致力于使互联网更加安全。 通过各种已发布的文档、项目和合作伙伴关系,Team Cymru 旨在提高人们对互联网用户面临的实际威胁的认识。
最初发表于 Queue 第 4 卷,第 9 期—
在 数字图书馆中查看此项目
最初发表于 Queue 第 4 卷,第 9 期—
在 数字图书馆中评论本文
更多相关文章
Paul Vixie - 保持静态或回家
当前和历史上计算机和网络安全中的大多数问题都归结为一个简单的观察:让其他人控制我们的设备对我们不利。 在另一个时候,我将解释我所说的“其他人”和“不利”是什么意思。 就本文而言,我将完全专注于我所说的控制是什么意思。 我们失去对设备控制的一种方式是外部分布式拒绝服务 (DDoS) 攻击,这种攻击会用不需要的流量填充网络,而没有空间容纳真正的(“需要的”)流量。 其他形式的 DDoS 类似:例如,低轨道离子炮 (LOIC) 的攻击可能不会完全填满网络,但它可以使 Web 服务器忙于响应无用的攻击请求,以至于服务器无法响应任何有用的客户请求。
Axel Arnbak, Hadi Asghari, Michel Van Eeten, Nico Van Eijk - HTTPS 市场的安全崩溃
HTTPS(超文本传输协议安全)已发展成为安全 Web 浏览的事实标准。 通过基于证书的身份验证协议,Web 服务和互联网用户首先使用 TLS/SSL 证书相互验证(“握手”),端到端加密 Web 通信,并在浏览器中显示挂锁,以指示通信是安全的。 近年来,HTTPS 已成为保护在线社交、政治和经济活动的关键技术。
Sharon Goldberg - 为什么保护互联网路由需要这么长时间?
BGP(边界网关协议)是将互联网粘合在一起的粘合剂,它支持由不同组织运营的大型网络之间的数据通信。 BGP 通过为组织之间的流量设置路由,使互联网通信全球化 - 例如,从波士顿大学的网络,通过更大的 ISP(互联网服务提供商),如 Level3、巴基斯坦电信和中国电信,然后到住宅网络,如 Comcast 或企业网络,如美国银行。
Ben Laurie - 证书透明度
2011 年 8 月 28 日,一个错误颁发的 google.com 通配符 HTTPS 证书被用于对伊朗的多名用户进行中间人攻击。 该证书由一家名为 DigiNotar 的荷兰 CA(证书颁发机构)颁发,DigiNotar 是 VASCO Data Security International 的子公司。 后来的分析表明,DigiNotar 早在一个多月前(至少自 7 月 19 日以来)就意识到了其系统中的漏洞。 它还表明,至少已颁发了 531 个欺诈性证书。 最终计数可能永远不会知道,因为 DigiNotar 没有所有错误颁发的证书的记录。
© 保留所有权利。