一周海外安全事件回顾(10.06-10.19):互联网之王(Godof Internet)

如果我们分明有能力阻止一个企业放弃(对金钱的)贪婪之心但什么也不做,那么这本身就是一种犯罪。

互联网之王

“如果我们分明有能力阻止一个企业放弃(对金钱的)贪婪之心但什么也不做,那么这本身就是一种犯罪。(if we had the capability to stop corporate greed and we did nothing,that in itself is a crime)”。

上面这番话是上周某外媒采访一个名为“ DerpTrolling ”的黑客组织采访时,被采访对象Incognito(笔者注:网名)对记者说的话。据采访者称,采访的过程通过一个加密Chrome插件在一个在线聊天室中完成。Incognito没有透露任何身份信息,包括国籍、所在城市、年龄、姓名等。记者通过聊天室的时区显示看出,这位Incognito是在地球的另一侧。

Incognito对自己的评价是互联网的老鸟。他认为作为一个黑客,自身安全至关重要。“很多人不知道我们曾经参加过对VISA和Paypal公司的攻击,我们隐藏的很好。我见证了Lulzsec的起落。作为一名‘老游击队员’,我知道如何隐藏自己。”

关于DerpTrolling

“DerpTrolling”的名气远没有Anonymous、Luzsec等组织的响亮,但是他们做的事情却不一般。DerpTrolling以网络游戏系统为主要攻击目标。笔者在之前的“一周海外安全事件回顾(2014.01.06 – 2014.01.11)”中,对DerpTrolling的攻击事件已经有过阐述,这里不再赘述。( http://www.freebuf.com/news/special/23307.html

对于上述事件,DerpTrolling的出发点完全可以用一句话来概述,至少Incognito自己是这么说的,“ 小孩子不知道什么是好的。我们是互联网之王,需要我们来告诉他们什么是好的。 ”(Children do not know what is best for them. We are basically theGods of the Internet, we know what is best for them.)

Incognito称,DerpTrolling组织发起网络攻击的出发点是向善的:提醒企业和个人对安全的重视。这句话听起来更像是“监管机构”的工作职责,而且这个“监管机构”要通过勤劳的双手对企业和个人的安全状况进行监察,同时不忘脚踩在道德的船上。

这就有意思了。DerpTrolling是如何解释他们的“监管”行为的呢?其实不复杂,一方面对于追求金钱利益而忽视企业责任的公司通过网络攻击的方式敲打,另一方面发现企业和个人的安全问题,然后提醒他们以打补丁、更改密码等方式提高自身的安全防护能力。

“像Riot或Blizzard(暴雪)这样的大游戏公司就关心自己的腰包。我们发起网络攻击逼迫这些公司升级服务器软件、打补丁,让他们明白安全才是最重要的”,Incognito说。而被DerpTrolling“逼迫”认识到安全重要性的游戏/公司包括英雄联盟(League of Legends),坦克世界(World of Tanks),星战前夜(EVE Online),DoTA 2,暴雪,RuneScape,Xbox在线和任天堂网络商店等。

DerpTrolling不同于LizardSquad、UGNazi和ISISGang

在谈到DerpTrolling和其他黑客组织的区别时,Incognito再次站在道德的高度与当下备受关注的LizardSquad,UGNazi和ISISGang划清了界限。“LizardSquad就是一群‘极端主义’者,之前他们曾经提议我们两个团体合并,但是被我们拒绝了”,DerpTrolling表达了不屑与LizardSquad为伍的态度。关于LizardSquad,请见笔者在“一周海外安全事件回顾(8.24-8.30)“中( http://www.freebuf.com/news/special/42231.html)和“一周海外安全事件回顾(9.15-9.21): 说好的分手呢?”(http://www.freebuf.com/news/44839.html )的阐述。而DerpTrolling表示更不会和UGNazi及ISISGang同流合污( 笔者注:UGNazi是一个极端黑客组织,热衷于DDoS攻击和用户信息窃取。ISISGang则是一个支持ISIS的黑客组织,和中东恐怖主义有千丝万缕的关系 )。

我们手上有来自2000个游戏的80万用户账号、密码。但是我们不做公开泄露密码的事情,因为这不是我们(发起攻击)的目的“,Incognito说。与泄露这些密码相反,DerpTrolling“通过匿名邮件联系上述游戏用户,告诉他们账号已经丢了。如果他们不信,我们就提供证据给他们看”。

看到这里,大家会不会有种分裂的感觉。反正我有。这就好像你在公车上被一个人拍了一下肩膀,然后递给你一个钱包——当然是你自己的钱包。他说,钱包是我拿的;不过,我不是为了里面的钱。而是想提醒你,你的背包忘记拉拉链了。

狂泻!什么时候是个头儿?

案例

继去年12月Target和今年9月HomeDepot大量用户信息被窃之后,10月初美国最大的银行摩根大通(JPMorgan Chase)再次被爆由于黑客的入侵,7600万家庭和7百万小型企业的信息失窃的骇人新闻。 据说,此次泄露的信息涉及姓名、住址、电话号码、电子邮件地址以及大通内部系统中的相关信息(但不包括账号、密码和社会安全号码等)。

随后在上周13号,摩根大通CEOJamie Dimon 说大通打算在未来5年内将安全预算翻一倍,而原预算是每年2.5亿美金。“这关系到防护墙部署,内部安全防护,供应商安全以及所有与之相关的事情”,Jamie说。

笔者认为,每年5亿美金的安全开支真是一个不小的数字了。这对于很多安全公司来说绝对是个好消息。当然,这5亿美金花出去了是不是就不会出安全问题了?就不会再被人家爆一次“菊花”了?

谁也不敢保证。因为,至少一点可以肯定——安全不是花钱就可以买来的。

(完)