黑客是怎么黑网站的?如何抓到入侵网站的黑客?

黑客是怎么黑网站的?

人民日报2018年5月13日的消息,正所谓“天网恢恢疏而不漏”。日前,由北京市海淀警方抓获了一个特大售卖公民个人信息团伙,查获各类数据信息上亿条;当中包括17岁李姓的黑客少年。

据了解,这名嫌疑犯年仅17岁,曾在2016年库用黑客技术开发了一个程序,通过互联网获取大量网络公司的用户名等大量数据。为了炫耀自己的能力,将此“成就”在网络论坛上展示出来。随后不久,一个自称北京一家科技公司的人联系他,以每月500元的微薄微酬定期向科技公司提供网络用户信息。

自“凈网护网2018”行动开始以来,经过北京市公安局统一部署下,海淀警方就加强与百度等网络公司合作,严打利用网络非法获取公民个人信息案件。据百度安全事业部副总经理沈腾飞表示,为了应对当前已形成复杂产业链的互联网黑灰产,百度安全早于2016年组建“互联网黑灰产打击”团队。

今年年初,百度安全通过威胁情报平台,感知到互联网上存在一个黑产团伙,经调查发现有嫌疑人使用云服务器盗号的情况,立即将线索反馈给海淀分局。海淀警方通过勘验分析,发现大量线索的追踪溯源都指向了17岁的李姓青年。2017年3月11日,海淀警方与云南当地警方配合下抓获这名少年;在他家中提取其计算机内数据里发现涉嫌数家网络公司等各类信息数据,存储在云计算服务器内数据760万余条。

据这名李姓少年的供述和电子勘验,警方经追查锁定河北省石家庄市的一家科技公司,该公司主要经过计算器软件、硬件、电子产业、辅助设备的开发销售等业务,通过软件获取的用户信息用于对外销售牟利。4月5日,民警在石家庄警方的配合下,将冯某某、王某称、程某、王某峰等该公司主要涉案人员抓获,并在该公司计算机里提取了包含知名网络公司等各类信息数据上亿条。目前,冯某某等团伙私人因侵犯公民个人信息罪均被海淀警方刑事拘留;而李姓少年因未成年已被海淀警方依法取保候审。

据了解,在项目行动中,市公安局网安总队会与网信、通管、光电、文化执法等部门,加强监管监察,严格整治网络平台乱象。对违法有害信息高发的网站给予警告、罚款、关停等行政处罚。目前,自行动3个月以来,实地监察运营商298架次,依法处联网单位382家次,关闭违法网络域名1055个等。

请先 登录 后评论

1 个回答

司马懿
快搜用户

利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。

按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。

先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬案”,除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的,冲突口角、获取利益、炫耀出名等等,发生计算机犯罪案件后,侦破过程中往往最先要分析的是动机:被拒绝服务攻击,那么会不会是竞争对手?或者之前发生口角争执的用户?非正常离职的员工?等等,通过列出有动机人的嫌疑名单,可以有效缩小进一步侦破的范围。

实际发生过一个案子:有人拒绝服务攻击游戏公司,然后上门推销“拒绝服务防御”设备,攻击者对自己的技术很有信心,也确实没有留下什么痕迹,可是动机分析很容易就锁定了嫌疑犯,一次突击搜查就直接拿到了证据。

其次看方法,分析犯罪手法可以得出很多的结论,有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析,比如不久前发生的12306拖库事件,通过对公布出来的库进行比对分析,就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论,这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具(例如木马)的分析,可以得出犯罪嫌疑人的开发平台、使用的语言,如果是第三方下载的,那么也就知道了常去的网站,这些都可以是破案的线索。(美国几次公布中国黑客攻击的证据,其中就有大量对工具语言版本的分析作为支撑)

如果攻击者一点痕迹都没留下,其实也相当于留下了痕迹,我们可以判定此人是经验丰富的高手,业内能符合这个特征的人并不多,可以大大缩短怀疑的名单。

最后则是后果,犯罪嫌疑人进行计算机犯罪总是有其目的的,无非是名和利,为名者常常喜欢炫耀,而为利者则避免不了异常的收入和开支,这些都会形成破绽,结合之前的动机和方法,往往能锁定对象。

如果出现高智商反社会罪犯,纯粹出于兴趣进行随机犯罪,这才是最头疼的。

技术力量在计算机犯罪侦破中所能起到的作用是巨大的,除了之前说的“痕迹分析”外,还可能通过攻击路径溯源分析直接定位攻击者。此外,在锁定嫌疑人进行了搜查之后,技术支持往往还要进行证据分析,如果犯罪嫌疑人已经销毁了证据,还可能要进行证据恢复等等。

实际发生计算机犯罪案件时,会根据影响不同而调动不同级别的资源,因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复,公安部副部长亲自督办,大半夜电信运营商分区拉闸判断攻击位置,定位到攻击城市后,我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测,天还没亮执法人员就堵住了嫌疑犯大门……

中美在打击计算机犯罪上究竟有哪些不同?

首先,美国更重视针对计算机犯罪的执法队伍的培养,美国的执法人员薪水待遇和社会地位都较高,制度也灵活,因此比较容易招募到水平较高的技术人员,或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的RSA信息安全峰会上,美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。

与之相对应的是,国内目前执法力量对比黑色产业资源明显不足,公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大,受害者的自我保护意识严重不足(例如完全不知道要保护现场,常常出了问题就直接格式化重装了),这些都是造成计算机犯罪破案率偏低的原因。

此外很重要的一点,美国司法机构强调“毒树之果”原则,如果司法程序有瑕疵,即使抓到罪犯,起诉也会失败,而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎,对技术依赖更高,反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。

而美国计算机犯罪相关的黑色产业链也远没有中国发达,从待处理案件的数量上,美国要远低于中国,但是高智商反社会人格犯罪比例却更高,因此挑战也很大。

补充两点:

1.美国的黑色/灰色产业链远没有中国发达,这点大家去看看中美网银/在线购物的安全防御水平就知道了。原因很多,主要是美国的社会保障比较好、普通人安全感强,所以为了赚钱去做黑产的很少,倒是为了兴趣搞破解黑客的多;此外,美国的信用体系也比较完备,破坏法律的成本很高。

2.为什么锁定高手就能缩小清单,是因为在国内,具备最顶尖能力的黑客(无论白帽黑帽)大多都是在国家清单上的,即使暂时不在,也会和业内其他的高手有交往或合作,毕竟一次复杂的攻击需要的技能和支持太多,远不是一个独行侠靠一己之力能掌握的,大家看侦探小说,有的案子发生后侦探只需要去当地的帮会询问,往往就能得到明确的线索,信息安全界也是如此,总是有千丝万缕的联系。

3.国外来源的攻击并非没有办法追查,通过逆向攻击溯源是一种方法,通过类似CERT的机构要求国外配合协查也是一种办法。

请先 登录 后评论
最新答案 最近更新 浏览排行