黑客告白：網銀大盜之無間道

    佛曰：受身無間者永遠不死，壽長乃無間地獄中之大劫。無間有三：時無間，空無間，受者無間，犯五逆者，永墜此獄，盡受終極之無間。

    《地藏菩薩本原經》上：如是等輩，當墜於無間地獄。千萬意劫，以此連綿，求出無期！

    《涅磐經》第十九卷：八大地獄之最，稱爲無間地獄。爲無間斷遭受大苦之意！

    道，衆生輪迴之途，有四：加行、無間、解脫、勝進。

    方斷惑而不爲惑間隔之無漏智也，謂之無礙道。已斷惑已正證理之智曰解脫道，即無間道。乃前念之因道，解脫道乃後念之果道也。《俱舍論》二十五曰： “ 無間道者，謂此能斷所應斷障。 ”

    無間道，指開始斷除所應斷除的煩惱，並由此進入解脫道。

    道，是一種不以人的意志爲轉移的規律，如同一個必然發生的程序，想讓它停下只有通過啓動另一種程序。 —— 編者按

    一 . 我不是黑客

    Time :  Aug 14,2006 at 11:35 a.m.  Site ： Shanghai some cafe.

    在某 BBS 上，偶讀一篇很不錯關於如何認識和防範木馬病毒類的帖子，仰慕之至，幾經周折總算聯絡到作者 ——Mr.Dr （暱稱），並說服他接受我的採訪。

    細咂一口苦澀，擡頭時他已佇立眼前。面露倦意，胡茬襯托着一雙昏暗的眸。

    “Mr.Dr 很榮幸認識你，你的暱稱很紳士。 ”

    “ 叫我拽先生吧。 ”

    “ 你剛起牀？還沒有吃早點？ ” 典型的 “ 耐牀臉 ” ，我不屑一顧的招呼服務生。 “ 姑娘，請給我們弄點吃的。 ”

    “ 我不算 Hacker ，充其量是個肉雞，連菜鳥都不是。 ” 他邊吃邊說。

    “ 倒是和國內某黑客組織合作，在去年成功入侵日本靖國神社、日本政府機構的網站伺服器。平時也就利用一些掃 IP 、 Port 掃描軟件，找存在 Bug 的終端機，測試一些網絡程序、數據庫 Bug ，不過這都是如煙往事了 ……”

    “ 等等，你說國內某組織？ ”

    “ 是啊，我不能透露更詳細的信息，我只能告訴你，這個組織是全國各高等院校的學生髮起、維繫的，他們幾乎一致在對日攻擊，不過我們並非最先主動攻擊的，我們是復仇。 ”

    “ 那你呢？你是做什麼的？介紹一下自己吧。 ”

    “ 我是湖北襄樊人， 2003 年大學畢業後，就來大上海闖世界了。呵呵！ ”

    “ 哪所大學？主修什麼？ ”

    “ 有些問題，我儘量翔實回答。但是如果你的問題 Ping 出後，我 5 秒鐘內沒有迴音，就別問了。 OK ？ ”

    我目瞪口呆。

    吃罷了，說意正濃。

    二 . 案例分析
    “ 你對 Trojan Horse virus 瞭解嗎，最近有幾則報道很嚇人，說 ‘ 網銀大盜 '     、 ‘ 快樂耳朵 ' 之類的木馬病毒，盜取敏感信息，造成在線銀行用戶蒙受損失。我也是在線銀行用戶，所以想請教你。 ”

    Mr.Dr 說： “ 非典型案件，一個 16 歲中專生向某程序設計師購買了殺毒軟件無法定義的木馬病毒，然後找到某黑客網站站長幫他升級、測試木馬病毒，後來他從控制着一些網站服務器的黑客手中購買了後門 ftp 登陸權限。通過篡改網頁鏈接，讓點擊者在點擊的一瞬間染上木馬病毒，然後記錄 ASCII 碼，網頁腳本再將這些信息從服務端發送到控制端。這樣就可以用盜取的銀行賬戶和密碼進行轉帳了。 ”

    “ 這起案件對一些劣質殺毒軟件來說是個諷刺，因爲它們根本不能發現病毒，受害用戶完全可以起訴殺毒軟件廠商。還有就是，這名主犯輕而易舉就能獲得程序，買到他想要的東西，說明我們在法律和管理上存在漏洞。我早就向有關部門反映，要制定一個網上交易准入標準，不是誰都可以辦網站搞在線交易，並且加強互聯網內容、軟件和程序的審查。像什麼黑客聯盟、黑客基地這樣的網站，公然以培訓黑客爲主營業務而牟取暴利，讓很多青少年誤入歧途，實屬非法，要堅決查封一切從事所謂黑客教學的網站，避免居心叵測者有組織犯罪。剛纔說的這例案件就是多人配合、跨時空的高智商犯罪。 ”

    “ 那麼，時下我們要怎樣防範網上銀行安全風險？ ” 我越聽越精神。

    Mr.Dr ： “ 網上銀行安全風險主要受 Hacker 的威脅， Hacker 至少有兩層意思： 1.  編程高手； 2. 文丐，擅自存取者。 Microsoft 在美國向全世界黑客發出邀請，每年要開兩次黑客大會 ——Blue Hat （藍帽）  & Black Hat （黑帽），對信息安全和操作系統進行 Test 。獲得邀請的條件是：你不曾入侵過任何服務器或盜竊。

    成爲一名優秀的黑客是不容易的，你必須熟知各種 Programming language ，掌握最新資訊，並且你還要有過人的智慧。所以黑客是難得的人才，微軟能夠如此器重黑客，開放地面對，我們爲什麼就不能？我們也可以公開讓黑客來檢驗我們的產品或服務。重獎 Debug 者，從而提升安全基數，普澤大衆。

    作爲個人來講，要安裝正版授權軟件，特別是操作系統和安全殺毒軟件一定要用正版。不要下載任何未經審查來歷不明的 ActiveX 插件、盜版軟件、程序，甚至圖片；不要打開圖標模糊不清的文件；不要瀏覽、購買色情網站內容；不要在未採用服務器證書認證的 128 位安全套接字層（ SSL ）加密網頁上留下敏感信息，加密認證網頁以 https 開頭。 ”

    “ 據說 ‘U 盾 ' 可以避開木馬危害，是真的嗎？ ”

    “ 工商銀行 ‘U 盾 ' 工作原理是：將通過基於國際 PKI 標準的網上身份認證系統認證的證書存儲於經過 Microsoft 數字簽名的 USB 移動物理存儲單元上，由於證書經過認證並加密並且存儲在 U 盤，不在電腦中留下痕跡，同時存儲介質也經過數字簽名加密。所以，可以有效防止用戶信息、 U 盤被篡改、遺失、劫持。 ‘U 盾 ' 是目前最有效的安全防禦方案。 ”

    三 . 掙扎
    Mr.Dr ： “ 互聯網是以秒做時間單位的，幾乎每秒都有看不見的戰爭發生，正義與邪惡的鬥爭。 ” 他語重心長的凝視着窗外。

    “ 世界多美好啊，何必爲了佔有他人錢財而不惜付出失去自由、享受生活的慘痛代價呢？要知道，你拿走的可能是別人用來救命的錢，可能是一家人所有的家當。我想，這些犯罪者承受着如何擺脫法的威懾和良心罪責感的雙重桎梏，陷入靈魂的囹圄。佛教所說的無間地獄莫過於此了 —— 活受罪。 ”

    “ 是啊，多行不義，必自斃。莫伸手，伸手必被捉。你這樣說，好像發自內心的反省哦？ ” 我試探的盯着他。

    “7 月一份《楚天都市報》刊登了武漢某銀行職員爲了賭博、包情婦揮霍，而進入系統服務器修改儲蓄金轉入自己賬戶後案發被捕的報道。

    其實，這個案子的嫌疑犯不止他一個，還包括我，只是我非常慶幸 —— 他將我半途而棄。本來我們打算製造黑客入侵盜竊儲蓄金的假象的，由我執行從公網進入他早已開好的服務器端口後門，然後將賬戶轉走，接着是清除一切可能被跟蹤的痕跡。結果我做了一半的時候，他甩開了我，我也因此避開牢獄之災。此事讓我驚醒，我決不會再做蠢事了。 ”

    “ 你不怕我把你抖出去？ ”

    “ 我拿起刀，你就能說我殺人？警察找過我，他們沒有證據，沒有立案的條件，就把我放了。 ”

    我向他遞上我的 Notebook PC ， “ 你挺厲害嘛，給我演示一下你是怎樣入侵的。 ”

    “ 你的電腦裏沒有我需要的東西，在適當的時候，我會帶你或者媒體到我的工作室，向所有人演示。 ”

    “ 與君一席話，勝讀十年書。雖然沒有看到你的演示，不過還是非常感謝你接受我的採訪。 ”