图文:公安部发布中国网络犯罪现状
【网易科技】讯,2005年11月17日,AVAR2005第八届国际反病毒大会在天津召开。美、俄、法、日等国家60多位专家学者参加学术交流。网易科技频道在现场做了直播报道。
图为公安部公共信息网络安全监察局副处长许剑卓做主题为中国网络犯罪现状的主题演讲。
许剑卓:
我现在向大家介绍一下中国的网络犯罪现状。当每个人谈论网络犯罪的时候,他们总是谈论互联网的发展、互联网的环境,因为互联网增加了很多网络犯罪。在此,我不愿意花太多时间介绍大家的互联网发展情况。大家看一下这个幻灯片,从这张幻灯片上可以看到一些农民在2003年通过互联网找牛,如果谁找到他的牛,希望通过互联网来通知他。我的意思是说,如果每一个中国农民都可以用互联网来相互联系的话,意味着在中国有10亿人进行互联连接了。
对于互联网的环境,我们可以看到网络犯罪不断上升,每个人谈到互联网络犯罪的时候都会看到它的增长比例。从中国情况可以看到,最近几年,网络犯罪急剧增加,其中重要原因就是越来越多的人使用互联网。我们谈论网络犯罪的时候,很多人想得是年轻人才会网络犯罪。从这张幻灯片上可以看到网络犯罪人的年龄情况,大多数发生网络犯罪的人年龄是26岁以上的人,这说明不仅年轻人有网络犯罪,年龄大的人也有网络犯罪。主要原因:第一,现在越来越多的人使用互联网,包括年龄大的人也使用互联网。第二,几年以前网络犯罪的人过了几年,岁数长大了。当我们谈论网络犯罪,总是说计算机技术犯罪,比如系统侵入或者是编制病毒,有关计算机设备的犯罪。最近几年,20%的网络犯罪得到了调查和侦破。虽然数字不是很大,但是我们发现有很多使用传统的犯罪方式进行犯罪。
这是传统的网络犯罪模式,从这张幻灯片上可以看到,在中国主要犯罪方式:25%是网络诈骗。第二种犯罪是传播黄色内容,包括裸体表演等等。第三种是很多犯罪分子是通过互联网来找到受害者,大多数情况都是如此。去年我们调查了1000个暗杀案,因为很多罪犯是通过互联网来找到他们的受害者。还有就是网络陷井,钓鱼。我们现在看到有15%的网络陷井钓鱼式的犯罪。
所有人对黑客都比较感兴趣,所以我介绍一下黑客。第一,他们如何通过黑客技术来进行犯罪的。根据我们调查显示,他们最常用的技术就是通过软件的弱点和IE等等来攻击计算机,这种黑客犯罪占60%。除此以外,常常发现植入木马病毒来侵害网络,仿冒网站占的比例也越来越重。然而在中国,当受到攻击以后,很多都是自己解决,不向组织汇报,也不向网络警察汇报攻击情况。我们看到最近几年受到入侵攻击的方式越来越多,这是由于入侵的技术提高了。
下面给大家讲一些例子。比如去年QQ,他们要努力进行“僵尸”的控制,通过QQ的方式传播病毒,一般都是通过QQ给朋友发一个信件,然后让朋友访问某一个网站。所以当他的朋友想打开这个网站的时候,木马病毒就在计算机上种植住了,这样通过朋友传朋友。也就是说他想用QQ上的病毒,并且想利用因特网浏览器的漏洞入侵到更多的电脑当中。第二,黑客是如何进入到受害者主机的。有70%的黑客罪犯是通过恶意代码的下载来实现攻击。在中国的因特网上可以看到有一些人在销售推出一些恶意代码,大部分黑客都是通过从别人那里购买恶意代码来实施攻击的。在我们的调查案件当中,只有10%的案件是犯罪者用自己的技术发起攻击的,比如说很多人可以在网吧里安装恶意代码,那些本身技术背景不是很强的人,他们可以通过破坏网络来获利,那些有技术背景的罪犯可以通过销售他们的犯罪技术来获利。举个具体的案例。我们看看没有技术背景的黑客是怎么犯罪的。在今年8月份的时候有一个恶意代码得到了广泛的发布,造成300个银行的帐户被盗。主要是在主页上植入了一个恶意代码,当用户点击这个主页时,恶意代码就会安装到客户的主机上,而且入侵到很多的网上银行帐户当中。通过这个网上犯罪的案例,我们认为黑客是不是有很强的技术背景。但我们对这个案件进行深入调查时,我们发现犯罪嫌疑人没有任何技术背景,他不过是从别的黑客手里买来了这个技术,就使很多人受害了。
为什么有些人要做黑客行为呢?第一,出于自私的目的,比如说盗窃银行帐户。去年有3个大学生想在网上进行帐户盗窃。在一个月的时间里,他们就获得了50万元的非法收入。第二,黑客通过偷窃文件和网上电话获利。很多人都通过VUIP路由器的漏洞实施了攻击。所以说,5年前,中国大部分黑客做攻击只是出于乐趣,今天很多人进行黑客攻击的目的是为了非法获益。很多黑客是通过ADSL上网发动攻击的,近年无线上网的人也很多,去年翻了一番。因为很多人使用无线链接,所以无线也成为黑客上网的方式。也就是说固定接线上网的犯罪和无线上网犯罪的数量同时在上升,还有很多罪犯通过手机进行网络犯罪。他们攻击的目标是什么呢?从这张幻灯片上可以看到,PC现在已经成为中国黑客主要的攻击目标。
下面谈谈黑客的偏好。我们现在已经注意到了,刚刚获得黑客技术的人就会实施犯罪,当然他们造成的破坏比较小,获得的非法受益比较少。但有些人在网上购买恶意代码,他们一旦进行犯罪,对因特网会造成严重的破坏。当然,他们的获利也不是很高。经验丰富的黑客,对网络破坏比较小,但真正获利比较高。我认为,有一些卖恶意代码的人,他们不知道销售这样的技术会为网络犯罪创造什么样的便利或者对网络带来什么样的破坏。我们发现那些购买恶意代码进行黑客攻击的人是破坏中国网络的最大来源。我们对罪犯进行审问的时候,他们认为他们只不过在玩游戏,他们不是在进行犯罪。而且他们还认为很多人在网上就是这么做的,我为什么不能这么做。从中我们学到了什么呢?
电脑犯罪和传统犯罪已经彼此交融了。比如在网络访问当中,漏洞得到充分的利用。比如说DDOS或者“僵尸”病毒,会在这些漏洞当中产生。也就是说,现在一些罪犯使用了一些入侵技术实施传统犯罪。现在防护技术还不能成功的防护下列这些犯罪,比如说分布式的恶意软件以及其他一些类型的攻击,对这些攻击而言,现在的防护技术还不充分。从这些数据当中得到第三个启示,他们主要目标是通过偷窃身份、网上银行帐户、网上证券帐户、网上游戏帐户来赚钱,他们大部分人实际上没有意识到,他们这些活动对于因特网安全造成巨大的破坏,他们只是想从技术高手手里买一个恶意代码来获利,没有意识到对网络的破坏。
我们现在避嫌,利用漏洞的软件和恶意软件,对网络的安全威胁非常大。所以网络警察应该格外的强调这种恶意代码带来的影响。
下面谈谈整个防病毒工业如何帮助网络警察来执法。首先,在防病毒公布这些病毒信息之后才能调查,一旦这种信息由防病毒公司发布以后,犯罪嫌疑人就知道了,就不会上网了,我们就抓不住这些犯罪嫌疑人了。如果防病毒公司把这种病毒的情况先报警的话,那是最好的,这样就可以防止犯罪嫌疑人逃脱。
第二,我们要把病毒的路径保护好。比如在2003年调查“僵尸”病毒时,罪犯是创造了一个带有恶意代码的蠕虫影响了很多电脑。我们要调查这些病毒代码来源的时候,调查我们要找到被恶意代码传染的第一台电脑,在我们开始调查的时候,在很多受害者的主机上的恶意代码已经被防病毒软件给杀死了,防病毒软件在很多主机上把整个痕迹都消除掉了,这样我们就很难去追踪,这样就失去线索了,就不能按部就班的找到病毒来源。比如时间标记,这样就能帮助警方来调查病毒的原代码是哪儿来的。
第三,对于防病毒公司来说,我们要把不同的病毒作一个比例,看病毒在产生的过程当中是否有一个顺序。我们知道罪犯不是一夜之间就产生的,一个罪犯往往会创造多种病毒,所以我们在调查病毒来源的时候,我们对病毒进行一个比较,这样就可以找到一个顺序性的关系。在这方面,我们不是行家,防病毒在这方面是很在行的,所以在向我们报警的时候请不要仅仅告诉我们现在在网络上爆发这个病毒了,也请同时告诉我们,还有其他的一些病毒有可能是同样一个罪犯创造的。所以要把一些基本的犯罪学的能力融合到防病毒软件当中,可以生成一个自动运行程序,可以看看时间标记。当你的用户给你打电话说我的主机可能被恶意代码感染了,你可以让他把这些信息一起发给你,我们就可以做一个远程的调查。
另外,要把防病毒的技术集成到很常用的P2P、IM、Eanil和WEBserver上。这样一旦有了病毒讯息以后,整个P2P的防护就可以作出反映,这样我们就可以及时阻止病毒。如果仅仅把防病毒软件放在主机上来运行,就很难及时阻止P2P和IM上的病毒。
