黑客告白：网银大盗之无间道

    佛曰：受身无间者永远不死，寿长乃无间地狱中之大劫。无间有三：时无间，空无间，受者无间，犯五逆者，永坠此狱，尽受终极之无间。

    《地藏菩萨本原经》上：如是等辈，当坠于无间地狱。千万意劫，以此连绵，求出无期！

    《涅磐经》第十九卷：八大地狱之最，称为无间地狱。为无间断遭受大苦之意！

    道，众生轮回之途，有四：加行、无间、解脱、胜进。

    方断惑而不为惑间隔之无漏智也，谓之无碍道。已断惑已正证理之智曰解脱道，即无间道。乃前念之因道，解脱道乃后念之果道也。《俱舍论》二十五曰： “ 无间道者，谓此能断所应断障。 ”

    无间道，指开始断除所应断除的烦恼，并由此进入解脱道。

    道，是一种不以人的意志为转移的规律，如同一个必然发生的程序，想让它停下只有通过启动另一种程序。 —— 编者按

    一 . 我不是黑客

    Time :  Aug 14,2006 at 11:35 a.m.  Site ： Shanghai some cafe.

    在某 BBS 上，偶读一篇很不错关于如何认识和防范木马病毒类的帖子，仰慕之至，几经周折总算联络到作者 ——Mr.Dr （昵称），并说服他接受我的采访。

    细咂一口苦涩，抬头时他已伫立眼前。面露倦意，胡茬衬托着一双昏暗的眸。

    “Mr.Dr 很荣幸认识你，你的昵称很绅士。 ”

    “ 叫我拽先生吧。 ”

    “ 你刚起床？还没有吃早点？ ” 典型的 “ 耐床脸 ” ，我不屑一顾的招呼服务生。 “ 姑娘，请给我们弄点吃的。 ”

    “ 我不算 Hacker ，充其量是个肉鸡，连菜鸟都不是。 ” 他边吃边说。

    “ 倒是和国内某黑客组织合作，在去年成功入侵日本靖国神社、日本政府机构的网站伺服器。平时也就利用一些扫 IP 、 Port 扫描软件，找存在 Bug 的终端机，测试一些网络程序、数据库 Bug ，不过这都是如烟往事了 ……”

    “ 等等，你说国内某组织？ ”

    “ 是啊，我不能透露更详细的信息，我只能告诉你，这个组织是全国各高等院校的学生发起、维系的，他们几乎一致在对日攻击，不过我们并非最先主动攻击的，我们是复仇。 ”

    “ 那你呢？你是做什么的？介绍一下自己吧。 ”

    “ 我是湖北襄樊人， 2003 年大学毕业后，就来大上海闯世界了。呵呵！ ”

    “ 哪所大学？主修什么？ ”

    “ 有些问题，我尽量翔实回答。但是如果你的问题 Ping 出后，我 5 秒钟内没有回音，就别问了。 OK ？ ”

    我目瞪口呆。

    吃罢了，说意正浓。

    二 . 案例分析
    “ 你对 Trojan Horse virus 了解吗，最近有几则报道很吓人，说 ‘ 网银大盗 '     、 ‘ 快乐耳朵 ' 之类的木马病毒，盗取敏感信息，造成在线银行用户蒙受损失。我也是在线银行用户，所以想请教你。 ”

    Mr.Dr 说： “ 非典型案件，一个 16 岁中专生向某程序设计师购买了杀毒软件无法定义的木马病毒，然后找到某黑客网站站长帮他升级、测试木马病毒，后来他从控制着一些网站服务器的黑客手中购买了后门 ftp 登陆权限。通过篡改网页链接，让点击者在点击的一瞬间染上木马病毒，然后记录 ASCII 码，网页脚本再将这些信息从服务端发送到控制端。这样就可以用盗取的银行账户和密码进行转帐了。 ”

    “ 这起案件对一些劣质杀毒软件来说是个讽刺，因为它们根本不能发现病毒，受害用户完全可以起诉杀毒软件厂商。还有就是，这名主犯轻而易举就能获得程序，买到他想要的东西，说明我们在法律和管理上存在漏洞。我早就向有关部门反映，要制定一个网上交易准入标准，不是谁都可以办网站搞在线交易，并且加强互联网内容、软件和程序的审查。像什么黑客联盟、黑客基地这样的网站，公然以培训黑客为主营业务而牟取暴利，让很多青少年误入歧途，实属非法，要坚决查封一切从事所谓黑客教学的网站，避免居心叵测者有组织犯罪。刚才说的这例案件就是多人配合、跨时空的高智商犯罪。 ”

    “ 那么，时下我们要怎样防范网上银行安全风险？ ” 我越听越精神。

    Mr.Dr ： “ 网上银行安全风险主要受 Hacker 的威胁， Hacker 至少有两层意思： 1.  编程高手； 2. 文丐，擅自存取者。 Microsoft 在美国向全世界黑客发出邀请，每年要开两次黑客大会 ——Blue Hat （蓝帽）  & Black Hat （黑帽），对信息安全和操作系统进行 Test 。获得邀请的条件是：你不曾入侵过任何服务器或盗窃。

    成为一名优秀的黑客是不容易的，你必须熟知各种 Programming language ，掌握最新资讯，并且你还要有过人的智慧。所以黑客是难得的人才，微软能够如此器重黑客，开放地面对，我们为什么就不能？我们也可以公开让黑客来检验我们的产品或服务。重奖 Debug 者，从而提升安全基数，普泽大众。

    作为个人来讲，要安装正版授权软件，特别是操作系统和安全杀毒软件一定要用正版。不要下载任何未经审查来历不明的 ActiveX 插件、盗版软件、程序，甚至图片；不要打开图标模糊不清的文件；不要浏览、购买色情网站内容；不要在未采用服务器证书认证的 128 位安全套接字层（ SSL ）加密网页上留下敏感信息，加密认证网页以 https 开头。 ”

    “ 据说 ‘U 盾 ' 可以避开木马危害，是真的吗？ ”

    “ 工商银行 ‘U 盾 ' 工作原理是：将通过基于国际 PKI 标准的网上身份认证系统认证的证书存储于经过 Microsoft 数字签名的 USB 移动物理存储单元上，由于证书经过认证并加密并且存储在 U 盘，不在电脑中留下痕迹，同时存储介质也经过数字签名加密。所以，可以有效防止用户信息、 U 盘被篡改、遗失、劫持。 ‘U 盾 ' 是目前最有效的安全防御方案。 ”

    三 . 挣扎
    Mr.Dr ： “ 互联网是以秒做时间单位的，几乎每秒都有看不见的战争发生，正义与邪恶的斗争。 ” 他语重心长的凝视着窗外。

    “ 世界多美好啊，何必为了占有他人钱财而不惜付出失去自由、享受生活的惨痛代价呢？要知道，你拿走的可能是别人用来救命的钱，可能是一家人所有的家当。我想，这些犯罪者承受着如何摆脱法的威慑和良心罪责感的双重桎梏，陷入灵魂的囹圄。佛教所说的无间地狱莫过于此了 —— 活受罪。 ”

    “ 是啊，多行不义，必自毙。莫伸手，伸手必被捉。你这样说，好像发自内心的反省哦？ ” 我试探的盯着他。

    “7 月一份《楚天都市报》刊登了武汉某银行职员为了赌博、包情妇挥霍，而进入系统服务器修改储蓄金转入自己账户后案发被捕的报道。

    其实，这个案子的嫌疑犯不止他一个，还包括我，只是我非常庆幸 —— 他将我半途而弃。本来我们打算制造黑客入侵盗窃储蓄金的假象的，由我执行从公网进入他早已开好的服务器端口后门，然后将账户转走，接着是清除一切可能被跟踪的痕迹。结果我做了一半的时候，他甩开了我，我也因此避开牢狱之灾。此事让我惊醒，我决不会再做蠢事了。 ”

    “ 你不怕我把你抖出去？ ”

    “ 我拿起刀，你就能说我杀人？警察找过我，他们没有证据，没有立案的条件，就把我放了。 ”

    我向他递上我的 Notebook PC ， “ 你挺厉害嘛，给我演示一下你是怎样入侵的。 ”

    “ 你的电脑里没有我需要的东西，在适当的时候，我会带你或者媒体到我的工作室，向所有人演示。 ”

    “ 与君一席话，胜读十年书。虽然没有看到你的演示，不过还是非常感谢你接受我的采访。 ”