2013年5月9日 星期四

地下BITCOIN:駭客撈錢靠合作、分工、成本概念


地下BITCOIN:駭客撈錢靠合作、分工、成本概念

隨著交易價格水漲船高,各大 Bitcoin 交易平台也相繼受到駭客的 DDoS(分散式阻斷)攻擊,導致價格跌蕩。在南北韓局勢緊崩之際,南韓也傳出受到北韓網軍攻擊,經濟損失難以估計。

駭客在狙擊實體經濟上一樣活躍。最近美聯社 Twitter 帳號被駭客盜用,發出歐巴馬被炸彈客攻擊受傷的假消息,造成股市瞬間暴跌。當日常生活越來越依賴網路,網路攻擊就從無傷大雅的玩笑,轉變為一種實體戰爭,更成為有意者獲取暴利的手段。

駭客從為了好玩到為了獲利,從單打獨鬥到團隊合作,讓筆者帶讀者一窺這些不為人知的地下經濟活動。

駭客集團的獲利循環

1 Bitcoin 最高曾可兌 266 美金。若以知名的 Pizza 指標來看,當年不到500元賣出去的兩塊 Pizza,如今已值7千9百8十萬元台幣。駭客集團眼見利益龐大,當然不會放過發財的好機會。
註:每個人對駭客有不一樣的見解,有褒有貶。筆者的重點不是名詞,而是行為,由讀者自行解讀。

不久之後,各大 Bitcoin 交易平台都同時發生了嚴重的交易延遲,造成了許多人害怕無法脫手 Bitcoin,瘋狂拋售,價格一落千丈。這一切正是駭客集團所致


Bitcoin 價格跌宕。圖片來源:Mtgox

駭客集團在價格最高點賣出手中所持有的所有 Bitcoin,接著對主要交易平台發動攻擊,讓投機客大量賣出進而讓價格暴跌。此時駭客集團再大量收購被拋售的便宜 Bitcoin、停止攻擊,讓交易回穩,等待價格回升時再大量賣出。如此重覆循環來獲取暴利,如下圖:



駭客攻擊也要成本

但此類的價格操控並非穩賺不賠,因為 DDoS 攻擊並不是免費的。
常見的 DDoS 是透過殭屍網路 (Botnet),也就是用惡意程式感染大量一般大眾的電腦,利用這些電腦攻擊。一般殭屍網路出租是以小時計價。規模越大收費越貴。因此殭屍網路的收費就是發動攻擊的成本。

其他操控 Bitcoin 的手法還有「短時間送出大量小額交易」等。然而這些手法仍然需要持續花費(手續費)。總之,攻擊需要燒錢,肯定無法持久。

除此之外,狼來了喊太多次,大家終究會習慣,開始認清平台癱瘓只是放羊小孩的把戲。當投機客懂得靜觀其變而非瘋狂拋售,攻擊者很難從中賺到錢。

另外,其它駭客集團的加入會使得狀況難以掌控,因此價格操控還是有相當的風險。駭客手法還在不斷演進中。

好萊塢的駭客太帥了

駭客操控 Bitcoin 只是駭客經濟的冰山一角,實際經濟規模遠比你我想像的還要龐大。
好萊塢電影與漫畫常描寫駭客一個人在極短時間內,控制各種重要的設施來摧毀世界。但那種劇情早就落伍了。現實中,這些人是有組織地以獲利為目的進行著地下活動。
會有這樣的落差,是因為這二十年來,駭客的本質有了很大的改變。

從為了好玩到為了獲利

一開始,有一些精通電腦技術的人,為了好玩和證明自己能力競相在網路上大展身手,以攻破困難的目標為樂。當年資訊安全的概念尚不普及,許多設計也只防君子不防小人。
當時在電腦、網路上交易的資金也相對有限,因此利益不大。那時為了獲利而攻擊的人並不多見。

隨著網際網路人口與投入資金的暴增,漸漸地有更多人發現他們的能力可以賺錢。網路產業的成長同時也帶動了地下經濟的成長,更多的地下商機吸引了更多有天賦的年輕人。由於網路上暱名和無國界的特色,懂得隱藏自己的人被逮到的機率微乎其微,自然有更多人加入駭客的行列。

從單打獨鬥到團隊合作

原本獨來獨往的駭客們,在獲利的大旗下開始合作。網路技術的發展也一日千里,不再是一個人可以完全掌握,自然也出現專業分工。
舉例來說,假如你發現一個軟體中的漏洞,利用這個漏洞你可以控制成千上萬的電腦,你會怎麼做?

好人:無償告知該軟體廠商
回饋:收錢告知該軟體廠商
駭客:利用該漏洞來牟利
商人:賣給第三者牟利

其中,轉賣給第三者是最方便、獲利高、風險又低的方式。
正因為如此,軟體漏洞的知識交易市場已經相當龐大。買賣的並不只有駭客,還包括政府情資單位、網路業者、軟體商等。

讀者或許有聽過 Google 提供高額獎金,懸賞發現漏洞並獨家回報的人。Google 此舉並不是做慈善事業,而是與地下市場的其他買家們競價。與其讓軟體漏洞被惡意攻擊者買走,不如軟體廠商自己買走。

公開市場的出現代表相當的專業分工。除了軟體漏洞被做為商品販賣,還有很多像是被盜的遊戲帳號、Facebook 帳號、Twitter 帳號、信用卡號碼和個人資料等等,各種市場不勝繁舉。讀者遇到朋友的臉書帳號被用來詐騙,很可能就是從地下市場中被詐騙集團買走的。

恐嚇與勒索  – 你買不買單?

駭客們也恐嚇與勒索。最近一家線上 Bitcoin 商店收到了「DDoS incoming unless you pay $5,000」的恐嚇信,意思是「除非你付$5,000 美金,否則準備接受攻擊。」信末還附上一張圖片。比較另一家受害者的損失與勒索金的比例。

沒想到,這家 Bitcoin 商店不但不付錢,反而懸賞$5,000 美金抓這位攻擊者。換做是你會付錢嗎?我不會。甚至我直接忽略這樣的信件。

因為 DDoS 攻擊必須持續燒錢。如果駭客執意發動攻擊,例如攻擊 24 小時,規模為每小時 100 美金,那麼駭客的成本就是 2,400 美金。我方就算遭受到一時的損失,對方也終究會停止燒錢攻擊。整體來說雙輸,兩個傻子互毆一拳,誰也沒得到好處。

如果對方真的要展示攻擊的決心,應該在攻擊的同時勒索。既然沒有,就沒什麼好擔心的,除非對方是為了商業競爭。那往好處想,有人願意花錢攻擊你表示你的網站成功了。

當然,攻擊者也不是愛燒錢的笨蛋,他打的是另外的算盤:只要大量寄恐嚇信,總有一兩個不懂的受害者願意付錢。這樣攻擊者就賺到了,畢竟寄信成本幾乎是零,獲利仍然不斐。

預知市場不如操控市場

操控 Bitcoin 市場可以嘗到甜頭,那如果操控現實市場呢?
4 月 24 日,美聯社的 Twitter 帳號被駭客盜取,發出了歐巴馬因炸彈攻擊而受傷的假消息。消息一出,特別是在波士頓暴炸案的影響當下,造成道瓊工業指數下跌 1 個百分點。如下圖所示。

駭客成功地利用假消息,在現實市場中砍出一道深深的缺口。攻擊者如果精準地抓到市場反應,獲利之驚人可想而知。

不過這麼做相當危險,因為有價證卷交易大多有資料可查,暱名性遠不如 Bitcoin 交易。過度精準地在這樣的事件中賺取暴利,可能反而會引發相關單位的關注。

這只是個開端,是時候該俱備網路戰爭的新思維

世界上任何安全措施都有可能被攻破,問題在花多少成本。因此到底該做到多安全?其實這些都是成本與風險的考量。要考量的條件有:
1.攻擊可能造成的損害
2.防禦攻擊的成本
3.攻擊者能得到的好處
4.成攻攻擊需要的成本

假設你經營了一個社群網站,針對個資外洩的攻擊,做出了這樣的評估:
1.被攻擊損害:500 萬
2.防禦成本:100 萬
3.攻破獲利:3 萬
4.攻破成本:10 萬

此時投入100 萬元防禦是合理的。因為攻擊你的網站要花10 萬元,但賣掉你網站上的個人資料只能賺三萬元。大多數攻擊者都會打消念頭。
我們再來看另一個狀況:
1.被攻擊損害:10 萬
2.防禦成本:50 萬
3.攻破獲利:3 萬
4.攻擊成本:0

在這個狀況中,投資防禦不划算,因為 50 萬元的防禦只保護了 10 萬元的風險。
此時選擇簡陋的的安全設計,例如用缺乏資安概念的程式設計師設計網站,使網站對最基本的 SQL 隱碼插入攻擊(SQL injection)都疏於防範,自然會產生資安問題。

上述例子只是解釋攻防之間的成本與花費,實務上這些成本很難量化。被攻破的損失不只是賠償,還損失了使用者的信心、商譽等,都很難估算。同樣的,也很難計算投入的防禦成本是否真的能反應在防禦能力上。

許多人低估了被攻破的損失,或是過於節省防禦成本、沒有資安觀念,導致資安事件頻傳。網站我的密碼沒加密中,列出了許多使用者密碼沒加密的台灣網站,不乏知名公司與政府網站。從此就能看出這問題的嚴重性。

資訊安全最重要的關鍵,還是在人。有正確的資訊安全觀念,找到對的人,投入適當的預算,細心的實行深度防禦的策略,你可以不必成為駭客眼中的肥羊。

隨著網路規模持續成長,滲透至生活上每個角落,網路攻擊者能獲得的利益就更多。這些事件只是個開端,網路攻擊在將來會更加頻繁,地下的駭客經濟體只會成長不會減少,該是俱備網路戰爭的新思維的時候了。

轉載自《有物報告

沒有留言:

張貼留言