技術勒索已形成完整產業鏈

被勒索病毒劫持的電腦桌面。 資料圖

法治周末記者馬樹娟

Wannacry勒索病毒的餘威還未完全消退，一種名為Petya變種病毒又卷土襲來。

據報道，新一輪網路襲擊於6月27日首先從烏克蘭政府部門的網路系統開始，隨後俄羅斯石油公司、英國廣告商WPP和切爾諾貝利核電站等機構均報告稱遭到襲擊。受其影響最深的丹麥航運巨頭馬士基集團在進行了全面評估后，不得不選擇關閉了整個網路系統。據了解，此次病毒破壞力，可與5月爆發的席捲全球的WannaCry勒索病毒的攻擊性相提並論。

微軟公司經過初步分析確認，Petya勒索病毒使用多種網路攻擊技術複合手段進行傳播，其中包括利用一項已知的、並且微軟已為Windows XP到Windows 10等所有平台發布安全補丁更新解決(MS17-010)的漏洞進行攻擊。6月28日，多地網信辦已經發布了防範和遏制新型病毒攻擊的指南。

在勒索病毒快速傳播的當下，如何有效地運用技術、法律、政策措施予以反制，如何通過政企合作、國際合作的方式進行規制，成為業界和社會關注的焦點。近日，人民公安大學舉行了一場名為「反技術勒索」的沙龍，就上述問題進行了研討。

惡意勒索軟體是網路「黑死病」

微軟首席安全官、政府與公共事業部首席架構師邵江寧介紹，勒索軟體作為已存在多年惡意代碼類型，其實並非完全新型的網路安全威脅。對抗新型惡意勒索軟體攻擊，必須超越傳統的反病毒、入侵檢測、防火牆查殺規則三大傳統、單一防護手段。近期惡意勒索軟體進化的越來越快、越來越複雜，給政府、企業、用戶帶來了非常大的挑戰。

邵江寧表示，在個人計算和移動互聯網時代，由於操作系統軟硬體廠商和第三方安全廠商的長期持續努力，為個人計算終端發展了較全面的防護能力。進入到萬物互聯時代，一些像POS機等計算能力受限的、低端的設備接入到互聯網中，設備安全防護能力較弱，導致黑客就可尋求更脆弱的網路攻擊鏈條，「黑」掉不具備基礎保護能力的低端系統，進而順著網路鏈條，竊取身份，再竊取數據、實施犯罪。

邵江寧表示，惡意勒索軟體是互聯網「黑死病」。近期WannaCry勒索蠕蟲攻擊可以說是惡意網路組織發動的「准」網路戰，大量受影響的網路和計算設備屬於民用關鍵基礎設施，遍布各個行業，危害性極大。

人民公安大學偵查與反恐怖學院教授劉為軍、人民公安大學網路空間安全與法治協同創新中心研究員蘆天亮曾就技術勒索做過專門研究，並著有《論技術勒索的綜合治理》一文，他們發現，目前技術勒索已經產業化，形成了完整的產業鏈條；勒索軟體製造者開發能夠自定義的勒索軟體工具包，並銷售給勒索軟體攻擊者或者為後者提供培訓；勒索軟體攻擊者同時也可以向其他黑客、非法網路服務提供商購買DNS解析服務、網路伺服器空間等實施攻擊所需的網路基礎設施；勒索標的是比特幣等虛擬財產的，當攻擊者獲利后，會將電子貨幣等虛擬財產由專門人員負責進行套現；最後，攻擊者會將收益與產業鏈上的其他犯罪分子進行分成。

由於通過技術勒索，可以獲得不菲的回報，攻擊者使用勒索軟體的頻次也在不斷提升。360企業安全集團安全服務專家趙晉龍表示，目前，一些網路武器出現了民用化的趨勢，利用泄漏出來的漏洞攻擊工具，勒索軟體蠕蟲化變得十分簡單，發動攻擊的人完全不需要了解技術原理，就可以輕鬆發起攻擊；據調查統計，50%單位在一年內未對系統進行安全評估，這種安全工作的缺失導致了勒索蠕蟲的爆發。

規制技術勒索已有法可依

人民大學網路安全與犯罪研究中心秘書長謝君澤表示，關於技術漏洞，已經實施的網路安全法規定了發現報告制度、應急報告制度，以及發布法定製度，互聯網企業應該嚴格遵守，否則將要承擔相應的法律責任。

此外，謝君澤介紹，像Wannacry這樣的技術勒索可能會涉及故意製作、傳播病毒等破壞性程序犯罪、非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪、破壞計算機信息系統罪、敲詐勒索罪、以危險方法危害公共安全罪、故意毀壞財物罪、尋釁滋事罪、侵犯通信自由罪等多個罪名。

不過，與網路安全產業界監測到大量技術勒索實例不相適應的是，實際進入執法機關辦案流程的案件數量幾乎可以忽略不計。

劉為軍和蘆天亮曾在裁判文書網上輸入「技術勒索」「勒索軟體」「病毒+敲詐勒索」「敲詐勒索+軟體」等關鍵詞再加「刑事案由」進行檢索，發現僅有兩起相關案件。劉衛軍表示，這其中雖然有被害人不報案因素，但這種現狀至少反映了執法機關在主動監測、精準研判網路不法行為等方面存在較大欠缺。

他們認為，從現有刑事和行政立法來看，目前所發現的技術勒索行為類型，幾乎都可以找到對應的法律規定加以規制，即便有些規範不太明確，亦有可能通過合理的解釋找到合適的法律依據，「換言之，針對技術勒索行為的刑事立法和行政立法法網嚴密，行刑銜接亦較為緊密。當前最大的問題不在於『有法可依』環節，而在於『有法必依』『執法必嚴』『違法必究』環節」。

應建國家級縱深防禦體系

儘管已經存在較為完備的規制技術勒索的法律體系，但徒法不足以自行，學界和業界普遍認為，應從技術、執法、管理和宣傳教育多個維度入手。

針對Wannacry勒索事件產生的負面影響，工信部CNCERT安全處張帥認為，從用戶角度構建網路安全防護體系仍十分不足。張帥建議，的網路安全建設，需在更高層面上強化全網態勢感知能力，構建國家級縱深防禦體系，全面提升網路安全應急響應能力，聯合網路安全領域和各行業深入開展風險預警和協同處置行動，在早期、從源頭上消除攻擊隱患和攻擊威脅；同時，應加強威脅情報信息的監測預警與共享分析，對高危漏洞做到更快監測、更快防範，預防利用高危漏洞演變成大規模攻擊事件。

邵江寧也認為，應對像WannaCry這樣由資源充足、處於頂級的網路恐怖主義組織發動的網路攻擊，應當有國家級力量統籌協調企業和用戶，建立成熟響應機制，予以及時有效處置。

考慮到實踐中，一些安全廠商、易受害群體和終端用戶有著更為強烈的反技術勒索意願，劉衛軍建議，政府應當有意識地運用市場調節工具，通過政策引導和一定的傾斜性資源投入，做強做大網路安全產業，從而取得比單純政府主導、其他主體被動參與模式更好的反技術勒索效果。