全站文章 iT邦幫忙
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
13' E政府專刊no.7(48)
13' iTcloud No.3(47)
12' E政府專刊no.6(46)
12' 個資法專刊No2(45)
12' iTcloud No.2(44)
12' e政府專刊No.5(43)
12' 個資法專刊(42)
11' CIO專刊(41)
11' e教育專刊No.3 (40)
11' e政府專刊No.4 (39)
11'iTcloud專刊(38)
10' e教育專刊No.2 (37)
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
書摘- 隱形科技犯罪──你不知道的網路黑暗面
文/iThome (記者) 2012-12-28
分享到facebook
在網際網路構成的巨大數位世界隱藏諸多安全漏洞,讓有心人士得以藉由資訊科技這雙看不見的手在虛擬環境進行匿名犯罪


網路黑盜
(DarkMarket: CyberThieves, CyberCops and You)
米夏.葛列尼(Misha Glenny)/著;林添貴/譯
時報文化出版
售價:300元
我們現在面臨一種狀況:只有極少數人(他們自稱「怪咖」、 「技客」、「駭客」、「密碼客」、「安全官僚」等等)對於愈來愈密切、廣泛主導我們日常生活的技術有深切的了解,而我們絕大多數人的了解程度幾近於零。我在研究調查我前一本有關全球組織犯罪的著作《黑道無國界》(McMafia: Crime Without Frontiers)期間,首次了解到這裡頭的重大意義。我前往巴西調查網路犯罪,因為這個有趣的國家雖有許多正面特質,卻是網路世界犯罪的淵藪,只不過當時並沒有太多人明白這一點。

我在巴西遇見網路大盜,他們設計了非常成功的釣魚騙術(phishing scam)。釣魚騙術仍是網路犯罪的最大支柱,分為兩種,第一種是受害人打開一封垃圾電子郵件,它的附件可能藏著病毒,世界某個角落的一部電腦可藉由它監視受害人電腦的一切活動,包括輸入你的銀行通關密碼。第二種花招是設計一封似乎來自銀行或其他機關的電子郵件,要求確認連線及密碼的詳細內容。如果收信人上了當,則垃圾郵件發信人(spammer)可以利用它們進出你的一部分或全部網路帳戶。巴西駭客一步一步展示給我看,他們如何從巴西、西班牙、葡萄牙、英國和美國的銀行帳戶竊取數千萬美元。

我又到巴西里亞拜會網路警察,他們破獲這個犯罪集團的四名成員(不過仍有至少兩倍以上的成員,警方一直沒追查到);我又訪問了美國電腦安全公司ISS的祕密作業部門X Force的主管。大約一個星期左右,我就發覺傳統的組織犯罪雖然多彩多姿,但所承擔的風險其實遠比網路犯罪的歹徒來得多。

老式的組織犯罪團體,依賴二十世紀的技術和手段,若要駿業宏發,需要克服兩道艱鉅障礙。警方是他們做生意最大的風險。執法機關的效率因地、因時而異,組織犯罪團體必須針對各種狀況來應變調整,從對付執法單位的許多方法中找出一個可行的方法。他們可以和警方鬥智、鬥力;他們可以設法收買、腐化警方;他們也可以收買有權管轄警察的政客。

他們的第二個問題是競爭對手所構成的威脅,其他歹徒也在同一海域伺機獵捕對象。當然,他們還是可以和對手鬥智、鬥力;也可以提議結盟;或乾脆同意被對方兼併。然而,不論是承擔風險或是失敗,有時甚至可能喪命,黑道團體都可以置之不理。得以生存、能夠發財的關鍵是要有能力與黑道同業及警方溝通,意即要能對黑、白兩道傳遞出正確的訊息。

我在巴西很快就發覺到,二十一世紀的犯罪風貌完全不同。最重要的是,非常難以在網路上找到誰在做壞事。各國管理網際網路的法令非常懸殊。這一點之所以重要是因為,一般而言,網路歹徒是從甲國的「網際網路協議」(Internet Protocol,IP)侵入位於乙國的個人或公司,然後在丙國被查覺(或兌取利得)。例如,哥倫比亞警察或許能夠查到指揮攻擊哥倫比亞某銀行的IP位址位於哈薩克。可是,接下來他發現,在哈薩克並不認為這個行為是犯罪,因此他在哈薩克首都的同業沒有理由展開偵查。

許多網路歹徒有智慧研究及利用這種差異。瑞典有個最成功的「信用卡大盜」(carder,以下簡稱卡盜)告訴我:「我絕不碰美國的信用卡或金融卡。因為只要我活在地球上,都在美國法律管轄追訴之下。因此,我只碰歐洲和加拿大的信用卡,我對此是既快樂又安全──他們絕不會抓到我。」

將美國和歐洲、加拿大區分開來,事關重大,這些國家是網路犯罪受害人居住最密集的地區。後者有相當強大的法律保護網路上個人的自由和權利。美國歷屆政府賦與執法機關的權力大過多數歐洲政府所授與的權力,允許警察以打擊恐怖主義及掃黑的名義,更方便取得民間公司的資料。

這裡頭的影響非常深遠,目前還無法探測全貌。對於犯罪、監視、隱私權、民間及國家機關蒐集資料、言論自由(如維基解密〔WikiLeaks〕的例子)、出入網站的方便性(所謂網路中立之辯)、社群網路做為政治工具、國家安全利益之關切,這些通通都在網路世界經常地相互碰撞。

譬如,你或許會說,谷歌(Google)的多平台、多功能鋪天蓋地、無所不在,違反美國反托拉斯法(anti- trust legislation)的原則,它積累了那麼多的個人資料不僅給予歹徒機會,也威脅到人民自由。可是,谷歌可能會反駁說,它的特點及成功的精髓就在於它的多平台、多功能鋪天蓋地、無所不在;而且它們促進了美國的商業及安全利益。美國政府如果有心,可以採取法律程序在幾小時之內取得谷歌的資料,而且由於谷歌從全世界各地蒐集資料,這使華府居於極大的戰略優勢。其他政府應該覺得很幸運,美國可不像中國、俄羅斯或中東國家,不需要駭入谷歌去研究其中機密,只需要申請法院批准即可。你會因為堅持反托拉斯法,就放棄這個方便的事嗎?


1 / 2 / 3 / 4 / 5 / 6 下一頁

分享到facebook

2014資安趨勢研討會
更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome