search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

劫持資料庫 「白帽子」黑客勒索比特幣

2017年5月13日,互聯網多家網站瘋傳一條消息:據TechWeb報道,全球突發劫持數據、勒索比特幣的病毒事件。英國16家醫院遭到大範圍網路攻擊,電腦被鎖定,黑客索要每家醫院支付相當於400萬人民幣的比特幣贖金,否則將刪除所有資料。病毒也波及部分高校,畢業論文及設計資料被鎖。受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院以及廣西等地區的大學。

其實,類似的事件在國內早有發生,2016年間,一個自詡是信息安全衛士的「白帽子」黑客,偶然掌握了一家公司的客戶名冊和商業訂單數據后,導演了一起劫持信息,勒索比特幣的劇情。

志做「白帽子」

32歲的趙文,讀高中時就酷愛計算機編程。他在學習上偏科,除了數學成績好一些,其他科目都比較差。2004年聯考前,經過三輪模擬考試,他的平均成績在全校處於中下水平,基本不可能被其所喜歡的計算機專業院校錄取。於是,父親一再勸說他填報師範志願,「咱是農村孩子,進城謀個鐵飯碗就算燒高香了。」最終,趙文不得已上了一所師範學校。2008年畢業季,趙文應聘到江蘇省蘇州一所寄宿制民營國小教數學。這份讓旁人羨慕不已的職業,他卻毫無興趣。為了生存,不得不一邊將就著,一邊思忖另謀出路。

憑之前的數學底子,趙文開始系統學習計算機編程。功夫不負有心人,幾年後,他不僅拿到了計算機及應用專業自考大學部文憑,還掌握了發現網路安全漏洞,並及時修復漏洞的本領。自以為有了足夠底氣的他,毫不猶豫地把辭職報告扔在校長的辦公桌上,揚長而去。為這事,趙父氣得要跟他斷絕往來。

理想雖豐滿,現實很骨感。在智聯網上求職,四下投遞簡歷,雖有區區幾家有實力的企業對趙文面試,卻因他學歷不過硬而婉言拒絕,最終,蘇州市吳江區一家成立不久的計算機公司錄用了他。儘管不甘心,趙文仍不得不屈就做了程序員,從事信息安全建設與系統維護工作。

總算找到了喜愛的崗位,趙文心裡卻有些失落,與原來的教師工作相比,不僅收入少了許多,還隔三差五加班加點。可惜,世上沒有後悔的葯,除了眼下的工作,他也實在找不到更好的出路。因此,他只能自我調適,心想著,唯有讓自己變得更厲害,才能出人頭地。於是,趙文暗暗樹立了一個小目標,做一名行走在信息安全江湖的「白帽子黑客」。

所謂「白帽子黑客」, 是指對網路技術防禦的人。對電腦系統比如語言,TCP協議等,具有很高的造詣。他們精通攻擊和防禦,同時頭腦里具有信息安全體系的宏觀意識。知易行難,「白帽子黑客」需要掌握的知識很多,從電子學到網路密鑰到通訊框架等基本的黑客知識,課程橫跨多個學科,於是,他決定從自學Web安全入手,找來幾本「黑客」武功秘籍,花費了大量時間把《白帽子講Web安全》《黑客攻防技術寶典—Web實戰篇》《Web前端黑客技術揭秘》幾本書讀得爛熟。同時,還熟悉了一些常用的Web安全工具,如綜合漏掃工具、抓包工具、注入工具、經典的敏感文件掃描工具等。經過一年多的刻苦修鍊,趙文自認為完全可以行走於黑客江湖了,開始瀏覽各大公司網站,著手網路入侵的實戰演習。

意外收穫

2016年7月下旬,趙文瀏覽某網站時,偶然間發現了一個程序代碼筆記,筆記中標明該代碼可以成功登錄某公司資料庫伺服器,並且寫上了資料庫的賬號和密碼。趙文抱著試試看的心理,登錄了該公司的資料庫伺服器,沒想到竟發現了大量公司用戶信息和訂單信息。「這可是企業的核心機密呀,賬戶密碼怎麼能夠隨便放在開放性的論壇筆記上呢?」趙文在驚訝之餘,心中竊喜,「對方的程序員太二了。」這樣的信息無異於企業的生命線,一旦據為己有,豈不要發一筆意外之財?他想著自己經濟拮据的囧境,邪念頓生。但又心知,直接向對方要錢肯定是犯法的,前思後想,心生一計,向對方索要「比特幣」,以規避法律的制裁。

那麼,「比特幣」到底是個啥玩意呢?這事要從一位江湖隱士「中本聰」說起。

原來,有一位自號「中本聰」的日裔美國人,曾做過為美國軍方執行保密的服務工作,他是全球聞名的計算機與網路「大神」。多年前,中本聰就預言,隨著計算機的普及和互聯網的發展,電子貨幣必將一統天下。2008年11月1日,中本聰夜觀天象,認為時機已經成熟,於是便在一個隱秘的密碼學論壇上發布了自己想要發行一種叫做「比特幣」的電子貨幣的新設想。接著,又在互聯網上一個討論信息加密的郵件組中發表了一篇文章,勾畫了比特幣系統的基本框架。2009年他為該系統建立了一個開放源代碼項目,從而正式宣告了比特幣的誕生。 2010年12月12日,正當比特幣漸成氣候時,他卻神秘地在互聯網上銷聲匿跡。

作為一種網路形式的數字貨幣,比特幣不依靠正規貨幣機構發行,必須依據特定演算法,通過大量的計算產生,但並不是可以無上限的生產,中本聰此前將其總量設定為2100萬枚,使得比特幣與其他虛擬貨幣相比,更具有稀缺性,且具有不可再生性。因此,它往往更容易受到計算機從業人員的青睞。同時,比特幣還可以兌換成大多數國家的貨幣,使用者既可以用比特幣購買一些虛擬物品,也可以購買現實生活當中的物品。它沒有固定的兌換比,像股票一樣有漲有跌。2016年8月時,一枚比特幣相當於人民幣三千多元。這也是趙文最終選擇勒索比特幣的原因之一。

敲詐比特幣

趙文通過搜索功能,搜索到了蘇州某公司的QQ群,找到了群主的QQ號,申請加對方為好友,並順利通過驗證。

2016年8月1日凌晨,趙文向該群主的QQ 發起了會話:「告訴你一個不幸的消息,你們公司的資料庫泄露了,如果這些數據落到黑客手中,後果你懂的!」當夜,對方QQ沒有回應。早晨6點35分,趙文在睡意朦朧中聽到了QQ的提示音,他一骨碌爬起身,打開手機 ,群主的QQ發來消息:「你是誰,想幹什麼?」見此,趙文興奮不已,「我是『白帽子』黑客,你放心,這是專門做好事的黑客。」接著,他開門見山:「作為一個白帽子黑客,我選擇了匿名,主要想賺點錢花,如果我們合作,我會幫你們企業修復網站及資料庫漏洞,另外我擁有你們企業目前所有的數據,包括用戶訂單等等」,還特彆強調:「我所要的報酬只需一點點, 20個比特幣哦」。群主發來個疑問的表情:「我憑什麼相信你?」為證明自己所言不虛,趙文連忙發出一串客戶名單。並威脅對方:「截至2016年8月5日12點,如果沒有如數支付比特幣,就代表你們放棄合作,我會利用數據和代碼找其他賺錢方式。若在期限內付款,我會信守承諾,將漏洞詳情及解決方案發給你。」接著,他向對方QQ郵箱發出郵件,提供了比特幣的付款地址以及自己的郵箱地址。

與趙文會話的正是公司業務經理,這封郵件讓他惴惴不安,這可是涉及公司700多萬註冊用戶和1000多萬的訂單信息啊,一旦泄露,企業近10年苦心建立的營銷網路將可能受到重創。他顧不上吃早飯,匆匆駕車趕往公司,向總經理彙報了信息泄露事件,以及不明人員的郵件。

公司總經理立即安排人員報警,同時迅速聯繫合作方某信息技術公司,合作方主要為該公司提供客戶關係維護管理的軟體服務,其訂單、商品、會員三類信息都存儲在合作方網站的伺服器上。了解到蘇州某公司客戶及訂單數據被黑客掌握,並被敲詐要求支付20枚比特幣的情況后,合作方迅速排查系統隱患,最終確定被黑客獲取的數據,正是從自身的伺服器上泄露的。原來,合作方的工作人員因習慣及疏忽,將帶有蘇州某公司標識的伺服器IP 和密碼存放在開放性的論壇筆記中,正是這個員工的無意之舉,讓黑客獲得了賬戶密碼。對此,合作方主動表示自擔責任,當天花費7萬多元購買了20枚比特幣,代蘇州某公司支付到指定的賬戶,以保證客戶的信息安全。趙文收到比特幣后,果真沒有食言,8月2日,他把伺服器漏洞的詳細信息和修復方案以及代碼筆記等信息,通過郵件方式發送給蘇州某公司。

就在趙文為自己獲得比特幣而欣喜若狂時,蘇州市吳中警方緊鑼密鼓展開偵查,趙文發送郵件用的是暗網郵箱地址,他自認為不可追溯來源。萬萬沒想到的是,公安部門強大的網路追擊手段,很快就查到了他的行蹤。2016年8月10日,正在上班的趙文被警方抓獲。當辦案民警帶他上警車時,他連呼冤枉,「我索要的僅僅是虛擬財產,憑什麼抓我?」

公安部門通過蘇州物價部門認證,案發時,20枚比特幣相當於人民幣7.3萬元。

2017年5月,蘇州市吳中區人民法院經審理認為,依據人民銀行法規定,人民幣是國家法定貨幣,由人民銀行統一發行和管理,因此比特幣不是法定貨幣。但比特幣雖然是一種虛擬財產,目前具有相應的法定貨幣價值。被告人趙文以被害單位的商業機密相要挾,要求被害單位支付20枚比特幣,相當於人民幣7.3萬元,數額巨大,其行為已構成敲詐勒索罪。其歸案后如實供述其罪行,且主動提出並協助退還了涉案比特幣,取得了被害單位的諒解,可酌情從輕處罰。遂以敲詐勒索罪判處趙某有期徒刑三年,並處罰金人民幣二千元。

隨著網路技術的普及,黑客入侵也越來越多發,入侵資料庫伺服器的案件屢見不鮮。單位應加強防範,將安全管理和安全技術做到位,及時注重信息安全防範。

本期主編丨王 鐔

編輯丨白易凡

審核丨阮 瑩

民主與法制社是由法學會主管的中央級新聞事業單位,擁有《民主與法制》周刊、《民主與法制時報》、民主與法制網、民主與法制移動新聞客戶端等權威法制媒體。「兵馬司63號」是民主與法制社記者原創報道的有聲新聞和新聞評論。由新媒體部負責運營。

兵馬司63號:bingmasi63

投稿合作郵箱:[email protected]

長按識別 二維碼



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦