对这个神奇组织"绿色兵团"及其创始人龚蔚(网络ID:Goodwill)、知名黑客李麒(网络ID:liwrml)的采访机会十分难得,也许是因为保留了黑客的神秘色彩,他们行事低调,对于记者采访结束后再三的拍照要求都婉言谢绝。
龚蔚:做技术可以,做贡献可以,搞破坏绝不允许
被誉为"黑客教父"的龚蔚,是知名的"绿色兵团"的创始人,这位曾经闻名于江湖的"东邪",现在正为创建黑客间的自律公约而奔走。
在采访中他一再提及,创建"绿色兵团"是出于爱好和兴趣,这"与利益无关,与政治无关",因为"绿色兵团"这个充满希望和活力的名字包含了他的期望,"以兵团一般的纪律和规则,打造绿色和平的网络世界"。
3 S& u3 l+ v- ]8 X/ X6 z
; @, G1 [) ^; e4 d% F/ c, F4 @ 任何一个符合黑客精神的组织都有内部的规范和行为准则
绿色兵团参与的"战役":
·1998年5月,中国黑客声援印尼华侨,第一次在公共视野的亮相;
·1999年,中国黑客大规模地团结起来,开展了对轰炸我使馆的始作俑者的攻击;
·2001年,中美黑客大战之际,8万中国黑客一起行动,使中国红旗在美国白宫网站飘扬两个小时。
作为中国第一代黑客组织,"绿色兵团"的发展被看做是中国黑客组织发展的样本,而创始人龚蔚的个人轨迹,也颇具历经事态兴衰后凤凰涅槃般的参透与大悟。
李麒:我是一个不代表任何利益方的公益倡导者
80后的李麒是绿色兵团的早期重要成员之一,曾拜"绿色兵团"的一名核心成员为师。李麒告诉记者,"那时的黑客都有着自己的追求和原则,没有介绍人是不可能进入这个圈子,师傅不仅会手把手地教徒弟技术和专业知识,更会成为徒弟的精神向导,肩负着对其行为负责的使命。"
. M c4 B" O [$ ^) G5 g: h$ W1 [. C
, K! L* l2 C4 d7 j, v: C+ M
成组织的条例,是规范黑客行为的主要措施之一
李麒笑称自己是龚蔚的"徒弟的徒弟",现在致力于"COG信息安全论坛"的事务推进。他说,为了保证这个论坛的公益及公正性,他作为重要组织者之一,不属于单位、公司,没有任何头衔,是一个不代表任何利益方的公益活动者。
一、为黑客"正名"
对于现在愈演愈烈的安全形势及黑客攻击行为,李麒介绍说,真正的黑客绝不会满足于一时的破坏。"黑客这个词起源于美国,他们最初是执着追求技术的人。他们有一种重要的人文精神--自由、共享。"
李麒说,"黑客"、"骇客"、"红客"是不同的概念,"黑客"追求技术、创造艺术和美,致力于专业性的改进及分享;"骇客"是以破坏为目的;而中国的"红客",最早是由绿色兵团分离出的一个组织,他们经"中美黑客大战"而一战成名,致力于以卓越的网络技术挥洒自己的热血报效祖国。
但是,任何一个符合黑客精神的组织都有内部的规范和行为准则。
龚蔚说,"我们认同的价值观是:做技术可以、做贡献可以,但是绝不允许利用自己专业的网络技能搞破坏。"不过李麒同时承认,对于黑客团体来说,虽然有规矩、有制度,但是并没有特别严格的执行标准及约束力,这也是整个黑客圈子面临的共同问题:黑客的专业技能很容易被别有用心的人利用,如何构建符合黑客精神及社会公德的黑客行为规范体系,是整个业界必须直面的问题。
二、"黑客事件"的前世今生
1988年的"莫里斯蠕虫"是历史上首次"黑客事件"。在那一年的11月2日,首个互联网"蠕虫"病毒通过网络传播,它致使当时Internet上约60000台主机中的10%~20%受到感染,直接迫使美国总统里根签署了《计算机安全法令》。
当时康奈尔大学的研究生罗伯特·莫里斯向互联网上传了一个"蠕虫"程序,他的本意是要检验网络的安全状况。然而,由于程序中一个小小的错误,使"蠕虫"的运行失去了控制,上网后12个小时这只"蠕虫"迅速感染了6200多个系统。在被感染的电脑里,"蠕虫"高速自我复制,由于它占用了大量的系统资源,实际上使网络陷入瘫痪。大量的数据和资料毁于一旦,直接经济损失近亿美元。而"始作俑者"罗伯特·莫里斯也被起诉,最终判罚莫里斯三年缓刑、1万美元罚金以及400个小时的社区义务服务。可见,黑客入侵造成的损失和后果十分严重。
黑客最早源自英文"hacker",在早起的美国电脑界是带有褒义的词性。黑客不干涉政治、与利益无关,他们的出现推动了计算机和网络的发展与完善。早期的黑客不屑于对网络的恶意破坏,他们更像纵横于网络江湖的"大侠",追求技术、自由、共享。
对于早期国内的第一批黑客元老来说,"黑客"只是他们的一项业余爱好,是出于自己的兴趣和技术追求,而并非为了赚钱或利益需要。
* _! N; j& m! i8 b4 D, A
Y T: N9 A3 j4 b1 b 众多的黑客组织面临着转型的“阵痛”
龚蔚告诉记者,目前互联网的骇客行为已经脱离了"自由、共享"的初衷,正处于逐步失控的状态。由于个别骇客追逐利益的行为,一系列的网络安全事件频频发生,为整个业界带来了非常大的舆论压力。
龚蔚认为,企业遭遇黑客袭击的后果多是非常严重的,比如索尼因为此前的一系列安全事件,直接导致了索尼向互联网战略转型(剥离制造业,收购内容资源,重组以突出游戏与娱乐内容及网络服务平台业务)的失败,且后续的上亿用户信息泄露不仅为索尼塑造了"毫无作为"的企业形象,更对企业品牌带来了致命打击。除了显而易见的股价大跌外,索尼公司在日后维系客户、重塑品牌等方面的投入,更将是旷日持久的"战争"。
2 A! b3 C3 M a' Z
$ B8 l2 j; a$ O- a5 j- w 索尼高管就黑客入侵事件向公众致歉(图片来自互联网)
龚蔚表示,"类似索尼被黑客入侵的事件如果在中国的企业爆发,损失一定更为惨重。虽然我们不希望索尼的前车之鉴发生在国内企业身上,但是依照目前的安全形式来看,这也许只是时间问题。国内的很多企业都是在走钢丝,没有足够的安全保护,一旦造成损失,想弥补要花很大的代价。中国的黑客界,应该树立统一的行为约束和准则,目前新生的黑客学习到技术、进入黑客圈后,却没有目标和准则,是非常不正确和不健全的。"
三、被利益蒙蔽的黑客之路
李麒说,国外法律很完善并且足够严格,很多人不敢做黑客,而大多数国外的黑客也有自己的正式工作,做黑客只是为了满足对技术和精神的追求;而我国目前的法律欠缺,黑客行为很难界定,即使被发现,也需要一定的专业技术才能完成司法鉴定,因此有越来越多的骇客行为可以浑水摸鱼。
李麒认为,中国的黑客之路发展的很艰辛,纯粹追求技术创新理念的黑客越来越少,很多人一开始进入黑客领域的时候是出于兴趣和爱好,一旦学到一定技术可以满足利益需要时,就不会继续研究,这对于有天赋的黑客来说是很值得惋惜的事。
4 N! F( |) y3 ?
5 M0 v6 }- h+ R! C0 [3 G7 j( ?
黑客袭击事件层出不穷
据了解,目前中国黑客的归宿无非是三种:"黑"、"白"、"灰"。有些黑客成为黑色产业链中的一部分,逐步走向"黑"的深渊;另有一部分黑客涉足商业竞争领域,利用专业技术刺探商业情报、机密配方、核心资料等等,这些钻了法律"空子"的黑客,走向了"灰"道;最后一部分黑客,他们致力于构建安全网络,以专业技能发现网络漏洞并协助维护,成为了"白"的网络守护者。
而在早期的黑客圈,无论是从技术层面还是精神或普遍价值观层面,都和现在的情况大不一样。
李麒说:"我98年入行,当时进入这个圈子没有邀请是不行的,后来我认真拜师,师傅对我说,在这个圈子首先不能随便做破坏的事;其次要共享自己的技术成就,最后还要求不能在未经允许的情况下随意散播消息。我接受了师傅的要求,才进入了圈子。在这个圈子我找到了认同感和归属感,当我把自己的研究成果共享时,我觉得是一种荣誉,是值得骄傲的。但现在的年轻人没有这种归属感,他们觉得技术是可以按金钱衡量的,研究出了技术首先想的是这值多少钱、该找谁卖钱。因此,我们希望年轻人能找到我们当初的归属感,找到自己方向的引领者,我希望树立最起码的道德底线和利益模式,这样当诱惑来临的时候,可以有人或精神为年轻人起到约束、帮助他们找到方向。"
/ \5 V' e9 }/ h8 `1 H) u
4 U* W/ @* x2 Y! ~( g& Y8 h: y; n; S
对于年轻黑客的攻击目的分析(摘自龚蔚微博)
目前,国内的黑客群体是一盘散沙,黑客组织之间甚至有利益纠葛和寻仇栽赃,经常是"窝里斗"。中国黑客界的环境需要整顿,中国网络安全领域应该是一片净土,这已经成为许多黑客界资深人士的共识。
四、触目惊心的黑色产业链
"黑色产业链"已经不是新鲜事物了,中国的黑色产业链有上百亿的规模。今年年初曝光的"中国十大病毒集团"让人触目惊心,据悉,这十大病毒集团仅靠流量收入一项每年获益就可达1.5亿元(数据来源于金山网络)。
此外,国内的木马集团也已形成完整产业链,比如"奥巴马"、"大小姐"这样的大型木马集团,通过盗取用户游戏账号信息、虚拟财产,进行有组织有分工的洗信、洗钱、销赃,甚至形成"黑吃黑"的网络黑社会,能完全操作游戏内的虚拟经济情况、通货膨胀、控制虚拟数值,而游戏厂商往往也防不胜防。
在这条黑色产业链中,黑客多通过"编写木马--组织网上销售--安排黑客攻击网站植入木马--截获流量盗取游戏装备等虚拟财产--网上销售盗来的虚拟财产"实施一条龙作案,导致众多网站和不计其数的游戏玩家受到侵害或蒙受损失。比如"大小姐"木马集团的木马售卖已经形成了一级销售、二级销售、区域代理的完整销售架构,有些"小黑"拿了四五手的货,一套几百元都卖。
' e* \5 f" X% m h+ j1 {' U
8 B M6 `+ Z" y7 B" n$ A5 r 摘自某黑客博客的“潜规则”揭露
还有一些地下的黑客网站还专门教授黑客知识,学会"放鸽子"(植入恶意软件)只要两天,木马网页制作传播只要一星期,最高等级的网站入侵也只要短短一个月。黑客技术傻瓜式的普及以及由此产生的作案动机的随意性也越来越引起人们关注。
除了成体系的黑客行为外,也有越来越多的黑客靠"技术"单打独斗。有的黑客拿下网络游戏数据库,弄到整个服务器控制权,刷装备、换金币完成游戏装备交易;也有黑客拿下境外高利贷、赌博站点,获得个人信息后联系犯罪组织,实现利益需求;也有黑客盗取受害人的信用卡等个人金融信息,购物、刷卡;还有制作钓鱼网站,大规模盗取网络用户银行帐号的卡号及密码记录,造成极大安全隐患。
由于黑色产业链的违法行为都是在网上进行,再加上受害对象无法确认及电子证据本身的不确定性因素,所以公诉机关的指控也存有一定的难度。基于这样严酷的现状,龚蔚和李麒认为,现在的黑客界已经被不正确和畸形的价值观充斥,如果不扭转现状,未来的三到五年会发生信任危机。李麒说,"中国有4.5亿的网民,一系列的黑色事件,会让公众对黑客不了解,以为所有的黑客都是破坏者。"在这样的环境下,最终的受害者是政府、企业和民众。
五、安全厂商任重道远
在谈到安全厂商对于"黑色势力"的作用和遏制时,李麒认为,"安全厂商并不一定真正的了解黑客技术和战术,黑客的行为也在日新月异的变化,甚至学习和变革速度比安全软件更快。比如游戏厂商,虽然采取了安全措施,但是想真正的抵抗黑客侵袭,除了安全软件的使用外,专门的技术人才、安全架构都必不可少,很可能当针对一种黑客行为的安全技术研发出来的时候,黑客已经完成了自己的目标,华丽隐退了。"
在现在的互联网,安全厂商像警察局,而一些别有用心的黑客就像不法分子,他们在虚拟的江湖进行博弈和拼杀,但是黑色交易只能被尽可能的禁止和减少,却无法彻底取缔。
六、构建行业间的准则势在必行
由于在全球范围内,互联网安全形式的日益严峻,各国已经开始从政府到企业层面的重视。美国已经具有了六大网络安全专职机构、130多项法律法规,近两年还成立了"白宫网络安全办公室"、"全国通信与网络安全控制联合协调中心",奥巴马政府已经着手从国家最高层面部署网络安全战略。
龚蔚说,中国早期的黑客多怀有一腔热血,想尽可能的为祖国做贡献,当然可能因为思想不够成熟而有过激的想法。而现在网络安全已经事关国计民生,任何网络事件都可能引起舆论压力。因此,新生代的黑客及网络技术更应该得到合理的规范和引导,避免铸成大错。
李麒说,"有些黑客组织名为培训技术,实际可能是教唆犯罪、错误引导,我们希望以道德行为规范,告诉年轻人什么该做什么不该做,给年轻的黑客以合理的建议。如果研究、技术不能带动信息安全产业的发展,社会怎么能和谐?"
七、为黑客“造血”,我们能做什么?
黑客,不仅仅是威风凛凛的网络侠客,他们需要面对现实的生存问题,需要好的环境来促进技术研究,实现自身能回馈社会的良好造血机制。
李麒解释说,"我们希望重建黑客间的规范和法则,制定合理的机制来帮助黑客满足技术追求,又能回报社会。比如黑客如果挖掘了漏洞,不是只能选择拿去黑市卖钱,还可以通过我们将技术发现和研究成果贡献给社会,由我们来对他提供一定的支持。"
COG将在9月召开一次大型论坛,并发布首个《中国黑客自律公约》。龚蔚说,"我们现阶段可以不讲技术,我们说数字、说案例、说自律、说典型,让大家关注黑客群体,促进整体良性发展,我们可以借鉴任何人的合理意见。"在谈及COG论坛和自律公约到底能影响多少黑客时,龚蔚表示,一旦确立了广泛的价值观,将会最大力度的执行,"若有人违反公约及社会道德,我们不排除会使用技术手段对其进行打击。"
“侠义”光环能否重现?
龚蔚说,"我们目前不是组织,只是松散的民间团队。"与这批“松散的民间团队”所奉行的“自由、共享”不同,一批批年轻的黑客摒弃了前人的精神和思想,他们对利益的探索高于对技术及使命的追求。
在这个诱惑和利益都随手可见的领域,已经沉沦了太多英才,他们在缺乏引导和逐渐缺失的道德观中沉没。
中国的黑客们究竟该何去何从,是影响整个互联网界的重要问题。我们是时候该重拾往昔光环,在征途中继续理想与抱负,肩负使命与责任了。
雷达卡
发表于 2011-8-8 15:15:08
提升卡
抢沙发
千斤顶
' b+ T* G; m* v2 ^6 ^