业界规则 > 规则 >
技术勒索已形成完整产业链
2017-07-04 22:03 作者:法治周末记者 马树娟 来源:法治周末

111.jpg

被勒索病毒劫持的电脑桌面。  资料图

 

法治周末记者 马树娟

Wannacry勒索病毒的余威还未完全消退,一种名为Petya变种病毒又卷土袭来。

据报道,新一轮网络袭击于627日首先从乌克兰政府部门的网络系统开始,随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后,不得不选择关闭了整个网络系统。据了解,此次病毒破坏力,可与5月爆发的席卷全球的WannaCry勒索病毒的攻击性相提并论。

微软公司经过初步分析确认,Petya勒索病毒使用多种网络攻击技术复合手段进行传播,其中包括利用一项已知的、并且微软已为Windows XPWindows 10等所有平台发布安全补丁更新解决(MS17-010)的漏洞进行攻击。628日,多地网信办已经发布了防范和遏制新型病毒攻击的指南。

在勒索病毒快速传播的当下,如何有效地运用技术、法律、政策措施予以反制,如何通过政企合作、国际合作的方式进行规制,成为业界和社会关注的焦点。近日,中国人民公安大学举行了一场名为“反技术勒索”的沙龙,就上述问题进行了研讨。

 

恶意勒索软件是网络“黑死病”

 

微软中国首席安全官、政府与公共事业部首席架构师邵江宁介绍,勒索软件作为已存在多年恶意代码类型,其实并非完全新型的网络安全威胁。对抗新型恶意勒索软件攻击,必须超越传统的反病毒、入侵检测、防火墙查杀规则三大传统、单一防护手段。近期恶意勒索软件进化的越来越快、越来越复杂,给政府、企业、用户带来了非常大的挑战。

邵江宁表示,在个人计算和移动互联网时代,由于操作系统软硬件厂商和第三方安全厂商的长期持续努力,为个人计算终端发展了较全面的防护能力。进入到万物互联时代,一些像POS机等计算能力受限的、低端的设备接入到互联网中,设备安全防护能力较弱,导致黑客就可寻求更脆弱的网络攻击链条,“黑”掉不具备基础保护能力的低端系统,进而顺着网络链条,窃取身份,再窃取数据、实施犯罪。

邵江宁表示,恶意勒索软件是互联网“黑死病”。近期WannaCry勒索蠕虫攻击可以说是恶意网络组织发动的“准”网络战,大量受影响的网络和计算设备属于民用关键基础设施,遍布各个行业,危害性极大。

中国人民公安大学侦查与反恐怖学院教授刘为军、中国人民公安大学网络空间安全与法治协同创新中心研究员芦天亮曾就技术勒索做过专门研究,并著有《论技术勒索的综合治理》一文,他们发现,目前技术勒索已经产业化,形成了完整的产业链条;勒索软件制造者开发能够自定义的勒索软件工具包,并销售给勒索软件攻击者或者为后者提供培训;勒索软件攻击者同时也可以向其他黑客、非法网络服务提供商购买DNS解析服务、网络服务器空间等实施攻击所需的网络基础设施;勒索标的是比特币等虚拟财产的,当攻击者获利后,会将电子货币等虚拟财产由专门人员负责进行套现;最后,攻击者会将收益与产业链上的其他犯罪分子进行分成。

由于通过技术勒索,可以获得不菲的回报,攻击者使用勒索软件的频次也在不断提升。360企业安全集团安全服务专家赵晋龙表示,目前,一些网络武器出现了民用化的趋势,利用泄漏出来的漏洞攻击工具,勒索软件蠕虫化变得十分简单,发动攻击的人完全不需要了解技术原理,就可以轻松发起攻击;据调查统计,50%单位在一年内未对系统进行安全评估,这种安全工作的缺失导致了勒索蠕虫的爆发。

 

规制技术勒索已有法可依

 

中国人民大学网络安全与犯罪研究中心秘书长谢君泽表示,关于技术漏洞,我国已经实施的网络安全法规定了发现报告制度、应急报告制度,以及发布法定制度,互联网企业应该严格遵守,否则将要承担相应的法律责任。

此外,谢君泽介绍,像Wannacry这样的技术勒索可能会涉及故意制作、传播病毒等破坏性程序犯罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪、敲诈勒索罪、以危险方法危害公共安全罪、故意毁坏财物罪、寻衅滋事罪、侵犯通信自由罪等多个罪名。

不过,与网络安全产业界监测到大量技术勒索实例不相适应的是,实际进入执法机关办案流程的案件数量几乎可以忽略不计。

刘为军和芦天亮曾在中国裁判文书网上输入“技术勒索”“勒索软件”“病毒+敲诈勒索”“敲诈勒索+软件”等关键词再加“刑事案由”进行检索,发现仅有两起相关案件。刘为军表示,这其中虽然有被害人不报案因素,但这种现状至少反映了执法机关在主动监测、精准研判网络不法行为等方面存在较大欠缺。

他们认为,从现有刑事和行政立法来看,目前所发现的技术勒索行为类型,几乎都可以找到对应的法律规定加以规制,即便有些规范不太明确,亦有可能通过合理的解释找到合适的法律依据,“换言之,针对技术勒索行为的刑事立法和行政立法法网严密,行刑衔接亦较为紧密。当前最大的问题不在于‘有法可依’环节,而在于‘有法必依’‘执法必严’‘违法必究’环节”。

 

应建国家级纵深防御体系

 

尽管我国已经存在较为完备的规制技术勒索的法律体系,但徒法不足以自行,学界和业界普遍认为,应从技术、执法、管理和宣传教育多个维度入手。

针对Wannacry勒索事件产生的负面影响,工信部CNCERT安全处张帅认为,从用户角度构建网络安全防护体系仍十分不足。张帅建议,我国的网络安全建设,需在更高层面上强化全网态势感知能力,构建国家级纵深防御体系,全面提升我国网络安全应急响应能力,联合网络安全领域和各行业深入开展风险预警和协同处置行动,在早期、从源头上消除攻击隐患和攻击威胁;同时,应加强威胁情报信息的监测预警与共享分析,对高危漏洞做到更快监测、更快防范,预防利用高危漏洞演变成大规模攻击事件。

邵江宁也认为,应对像WannaCry这样由资源充足、处于顶级的网络恐怖主义组织发动的网络攻击,应当有国家级力量统筹协调企业和用户,建立成熟响应机制,予以及时有效处置。

考虑到实践中,一些安全厂商、易受害群体和终端用户有着更为强烈的反技术勒索意愿,刘为军建议,政府应当有意识地运用市场调节工具,通过政策引导和一定的倾斜性资源投入,做强做大网络安全产业,从而取得比单纯政府主导、其他主体被动参与模式更好的反技术勒索效果。


责任编辑:
    当前1/1页   

  • 中央媒体 合作媒体 地方媒体 政法网群
    中国长安网 最高人民法院 最高人民检察院 公安部 司法部 法制网 新华网 人民网 中国网 光明网 中青网
    联系我们 诚聘英才 广告征订 本站公告 法律声明
    中 国
    互联网协会
    中国文明网
    传播文明
    工业和信息
    化部备案
    不良信息
    举报中心
    北京网络
    行业协会
    网络110
    报警服务
    无限互联网
    业自律同盟
    北京文化市
    场举报热线

    版权所有 Copyrights © 2014-2016 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

    技术支持:川程在线   建议使用IE6以上1024*768分辨率浏览