2017.1.26来源:黑吧安全网
2015年2月某天,Manish Kumar坐着政府派来的SUV进了毛里塔尼亚总统府,而且是从专门留给私人商务的侧门。司机绕开了主楼,把车开进了不太起眼的副楼,屋顶上还架着巨大的卫星天线。总统顾问Ahmed Bah dit Hmeida接见了Kumar。
半个月后,负责监视总统敌人的Bah向英属维京群岛的银行账户转账了50万美金作为给Kumar的公司Wolf Intelligence开发出的高端科技产品的首付。整个合同价值250万美金,再外加上每年的服务协议。这是Kumar作为全球赛博武器商人做过最大的一笔买卖。
印度人Kumar原本只是个实力不凡的码农,主要工作就是为电子间谍提供缺陷跟踪等服务;Wolf Intelligence本来也只是一家鲜有人知的初创公司。但Kumar的野心非常大,而且抓准了实际。在爱德华斯诺登揭露美国国家安全局(NSA)对全球的间谍活动深入到何等地步后,全球大多数国家都想创造本国NSA。
美国最先进的网络武器(也就是政府用来监控或是摧毁电脑的)会包给Raytheon和Northrop Grumman等合约商,交给博士们制作。但这些产品的流通市场仅限于美国和能付得起的寥寥无几的盟友国。其余就是一些小公司和性情孤僻的专家们,卖家和买家双方在交易时都不知道对方是不是骗子或者小偷。
毛里塔尼亚,这个人口约400万的非洲国家自从1960年独立以来已经发生过10次政变。毛里塔尼亚也是全世界为数不多的几个依然保留奴隶制度的国家之一。这里也是伊斯兰原教旨主义的热门地点之一,因此毛里塔尼亚政府无论是在反恐战争还是消费间谍科技产品方面都成为了美国盟友。购买间谍科技产品虽说明面上是为了监控恐怖主义嫌犯,但事实上也能被用来对付记者、活动家和政敌。
毛里塔尼亚从Wolf Intelligence 购买的软件能用来攻击连了大型网络的多台设备。这意味着它也能用来攻击大型移动电话供应商,尤其是像毛里塔尼亚这样座机只有51000台、却连牧羊人都在用手机的国家,攻击起来更是方便。Wolf Intelligence 保证他们的产品能进行静默SMS攻击,受害者无需打开任何链接,只要接到短信就会遭到攻击。
不过作为商人,Kumar有时候会说大话。去总统府的那天,他心里清楚公司还无法提供所宣传的产品。Wolf需要一段特定的编码用来绕开Android 和Apple智能手机上的安全措施,而Kumar知道在以色列有黑客已经发明出了这套程序。然而买这个程序需要100万美金,如果他不能说服毛里塔尼亚政府给他打下一笔钱,他就购买不起。
Bah心里也有自己的算盘。在手下给Kumar倒茶的时候,这位总统顾问给Kumar设定了截止日期:如果在Kumar返回印度前Wolf的系统没有达到公司保证的效果,Kumar和他的手下就别想离开毛里塔尼亚。Kumar不确定Bah是否认真,还开玩笑表示那他在监狱里会需要素食菜单。然而Bah没有笑。
“一个错误就能让你失去一切,包括你的钱和命。”30岁的Kumar身高1米82,一头黑发,论颜值大概也是能当宝莱坞明星的。虽说年纪小,但由于市场需求和骗局够多,Kumar在网络武器界已经是老手了。
和Bah谈判后1年半,2016年8月,Kumar在印度北部探亲时遇到了一名记者。干这一行的通常会对自己的工作三缄其口,但Kumar却在为时3天的采访中滔滔不绝,甚至从父母对他职业选择的失望谈到他与手下黑客的纠纷。他还详细地透露了与毛里塔尼亚政府的交易,此事后来引发了国际事件。
新德里Ghaffar集市,Kumar就是在这里学会了经商。
一天下午,Kumar来到了新德里中心Ghaffar集市的主街道。这地方就是个手机市场, 在茂密的树荫下聚集了卖电源、数据线和电话线的小店。正在打着电脑键盘的年轻人问路人要不要iPhone越狱,21岁的年轻黑客在以1000卢比(14美金)的价格出售同样的服务,周围站满了客户。附近还有商家提供各种奇怪的服务,例如查看出轨爱人的邮件,或是把老板的智能手机相机变成监视设备。Kumar的经商之路就是从Ghaffar开始的。在和他朋友聊了一会儿之后,他表示团队能活着离开毛里塔尼亚实在是万幸。“一个错误就能让我失去所有,钱、性命,一切。”
Kumar的黑客技术是在大学里学会的。他的父母希望他能从医,Kumar为了应付家人决定白天学习、晚上看Youtube视频自学编程。20岁那年,他问家里拿了4万美金创办网页设计公司,但不久之后公司就破产了。于是Kumar开始寻求别的出路。“我不想日复一日浑浑噩噩地度过一生。”他说道。
在创业失败的一年之后,Kumar写了本书:《The secret of Hacking (黑客的秘密)》,正是这本书让他小有名气。不过其实书写的没那么好,虽说它号称是“专门针对毫无基础的初学者”,不过Amazon网站上有人吐槽“等你看完之后你就能成为浪费了一个小时生命的毫无基础的初学者”。他开始为IT外包公司讲课,教学生如何寻找网络中的安全漏洞。很快,他带着最有天赋的一批学生开始探索 “灰色地带” 。他们开始找零日漏洞,然后卖给罗马尼亚、俄罗斯和乌克兰的买家们。(零日漏洞指热门软件中还没有补丁的安全漏洞,黑客可以利用它掌控他人的电脑和手机。)
很快,Kumar意识到,如果他想在网络武器行业进一步发展,他就必须离开印度。当时Snowden时代还未到来,黑客入侵技术市场还没那么发达,但小规模的多国运营商已经开始活动。比起大型防御技术公司(例如抗病毒软件制作商),这些小公司往往更敏捷、更饥渴,也更不受道德伦理的限制。黑客会在泰国、西班牙和荷兰等地方建立据点,匿名中介会用产品的规格表和概念验证短片把黑客开发出来的产品拍卖给客户。
政府、公司和个人都拼命想保护自己的网络安全,防止灾难发生。根据Gartner调查,去年一年中,IT市场上网络安全相关交易总价值超过900亿美金。要找出安全漏洞需要强大的电脑或是不凡的技术实力。至于这有多难,看看价格就知道。据知情人士透露,热门软件发布网站WordPress的漏洞价格范围是1万至3万美金,最近成交的Firefox浏览器的零日漏洞售价约50万美金。至于像最新版本iOS或是Android系统 这样的热门消费电子科技,安全漏洞的售价可高达100万美金。这些漏洞危险性极高,它们可以把你的设备转化成位置跟踪或是语音录音设备,读取你的邮件和短信消息。这种技术可以用来针对圣战分子、记者或是政敌――随便你怎么定义,反正可以用于任何人。
2017年刚刚开始不到1个月,猖獗的DDoS攻击已经攻陷了银行的体系。而且据悉,这起DDoS攻击已经已经攻陷了该银行长达两个星期,在这次攻击最厉害的时候,用户甚至无法完成在线支付和银行余额查询等服务。
2017最大DDoS攻击 银行用户无法支付查询
此次大规模的DDoS攻击由一个国际黑客组织发起,针对的并非一家企业,但是受此影响最重的是英国四大私有银行之一的劳埃德银行。而此前,该银行承认宕机两天,但是这次的攻击早已经持续了长达两个星期。但是幸运的在于,DDoS攻击并没有引发财务损失。
一个国际黑客组织对此次网络攻击所造成的影响表示了歉意,他们称,在被攻击期间绝大多数的客户可以进行正常的服务,只有少量的客户会产生相关问题。在大多数情况下,客户可以登录并且访问自己的账号,但是该银行无法确定这种间歇性问题的原因。
DDoS攻击是全球最难解决的网络攻击手段,该攻击至今没有十分有效解决方法,只能寄希望于攻击者停止攻击。但是这种攻击手段成本也很高,对于攻击者和被攻击者来讲都是一种十分耗钱的事情。
