自从去年一个黑客闯入了公司系统并盗走了公司客户的个人信息之后,提供在线礼券服务的Ecount公司的噩梦就开始了。
九个月之后,罪犯仍然逍遥法外。他不停的反复用电子邮件的方式对公司的管理人员进行嘲弄,面对调查人员的追踪,他总是能够灵活巧妙的清除自己的电子指纹,每次逃脱都不留痕迹。
在谈到这名黑客的时候,Ecount 公司的首席执行官Matt Gillin说:"我们已经对他厌烦到了极点。"这名黑客表示,Ecount 公司只有出一定的钱才能够要回这些信息。
尽管执法部门在偶尔取得反黑客进展时会马上进行宣传,但是它们很少能够对黑客进行真正有效的追踪以阻止它们的行为。很少有黑客会被抓获,真正受到法律制裁的就更少。
多少年来,失败的沮丧让调查人员、公司和受害客户提出了一个问题:为什么黑客能够如此轻易的逃脱?安全分析家和调查人员认为,这个问题的答案在于国际互联网络给了犯罪黑客一个很好的温床,让他们能够形成一个组织,有很好的资金来源,并且和大多数执法人员相比拥有高超的多的网络技术。
Computer Security Institute是一家对电子犯罪进行追踪的私人研究公司,它的社论主管Richard Power说:"这是世界级的较量", Al-Qaida和其他的恐怖主义分子正在使用信用卡进行金融诈骗。
Gartner的金融分析家Avivah Litan,说:"这种诈骗每年给电子零售商带来了7亿美元的损失。"一些大的网络零售商拥有能够对交易进行追踪的软件,他们拒绝向那些看上去可疑的客户进行销售。Avivah Litan,预计影响了网络商店5%到8%的销售。
Gartner的一项调查显示,大约有5.2%的在线购物者曾经成为了信用卡诈骗的受害者,而有1.9%的在线购物者受到了盗窃行为的侵害。
Litan说:"受害者的数量如此之大,让人们感到越来越恐慌。"技术娴熟的黑客给国际互联网络带来了沉重的负担,在发动攻击之前,他们会在多个服务器之间进行穿梭,让调查人员没有办法。在得到信用卡号或其他的好处之后,黑客会立即离开目标网站,迅速删除他们曾经进入的服务器的日志文档,消除任何他们曾经到来过的信息。
为了抓黑客而建立了CardCops.com网站的独立调查员Dan Clements说:"这同消灭犯罪现场的痕迹没有什么区别。"他说,只有大约10%的活跃黑客能够聪明到经常能够做到这一点的地步,但是在大多数情况下他们总是成功的。
伴随着"国际互联网络时代"而成长起来的数字化一代的黑客以速度作为主要的武器。对于所有的犯罪调查人员来说,追踪在线嫌疑人意味着消耗时间的记录搜索,通常这需要传票,这给黑客提供了十分有利的条件。
FBI工作人员通常能够迅速的从法庭拿到传票,但是他们通常丢失了宝贵的时间。他们要花费很多天的时间对服务器的记录进行搜索。
与此同时,有价值的证据通常被丢失了,随之而来的就是黑客的长期逍遥法外。
联邦政府正在采取步骤改善这种状况,以求更好的在网上同黑客的犯罪活动进行斗争。FBI主管Robert S. Mueller在12月份建立了新的网络犯罪部门,布什政府增加了50名新的联邦检控官来从事全国范围内的此项工作。
尽管如此,仍然很少有人认为这些措施能够根除已经如此深入的问题。例如,FBI证实,最近由CNET News.com评论过的六起网络黑客案中的犯罪黑客目前还没有一人被抓获。
Playboy.com:去年11月,一名黑客成功越过了这家成人娱乐公司的安全系统,并且获得了这家网站电子商务商店数目不详的客户个人信息。黑客告诉这些客户他已经拥有了他们的信息,并且为了证明这一点,他向这些客户显示了他们的信用卡号码。
Ecount:去年夏天,一名黑客成功的突破了这家网络礼券服务公司的安全系统,并且向公司的客户发送了包含有他们家庭地址的电子邮件。随后,这名黑客向该公司提出,如果公司不答应给他四万五千美元的话,他就会把三十五万客户的个人信息泄露出去。
Egghead.com:2000年12月,一名黑客进入了这家电子零售商的系统。在经过了三个月的调查之后,公司表示入侵者没有得到该公司3700万用户的个人信息,但是很多银行表示,与此同时,该公司为了给用户发行新的信用卡已经花费了数百万美元。
reditcards.com:同样也是在2000年12月,一名黑客进入了该公司接受在线货款的系统,得到了5万5千名客户的信用卡号码。黑客企图以此对公司进行勒索,在遭到了公司管理人员的拒绝之后在网上公布了这些号码。
Western Union:2000年9月,打开了这家金融服务公司网站的一个缺口,得到了超过1万5千个信用卡号码。人为原因造成的程序维护期间"运行管理文档"的打开给黑客制造了偷袭得手的机会。
CD Universe:2000年1月,这家在线音乐公司35万名客户的信用卡号被黑客窃取,这是此类黑客事件中规模最大的。这个名为"Maxus,"的黑客以这些信用卡号码对公司进行10万美元的勒索。在遭到了公司的拒绝之后,黑客通过网络公布了这些号码。
尽管没有对这些具体的案件进行评论,执法部门的官员表示黑客很少能够被捉拿归案在一定程度上要归咎于很多的在线供应商,因为他们没有提供足够的资源阻止黑客的入侵或为案件调查工作提供便利。
FBI洛山机总部的女发言人Laura Bosley说:"如果你们想从这里得到一些消息的话,那就是各家公司要不断对自己的防病毒和防火墙软件进行更新和维修。"
斯坦福法学校网络和社会中心的主管Jennifer Granick说,各家公司在更多关注迅速获得利润的同时往往忽略了安全问题。
她说,电子商务公司"在dot-com的热潮中纷纷开展自己的在线业务,他们只看到了自己能够得到的金钱收益,而没有考虑安全的问题"。它们太忙了,无暇顾及网络安全。 即使为防止黑客攻击而加强了对网站的管理,很多公司仍然没有意识到当黑客出现的时候保存证据的重要性,这几乎扼杀了抓住黑客的任何希望。这是Pinkerton Consulting & Investigations的调查人员Bruce Smith透露的,他曾经是FBI的工作人员,为侦破计算机犯罪已经工作了六个年头。
Smith说,通常工作人员会浏览遭到黑客侵袭的公司的网络日志,寻找黑客留下的踪迹。有时候,网络商店的管理者会不经意间毁坏了这些日志,用其他的记录覆盖了黑客的踪迹。更通常的情况是,在线销售商根本就没有启动日志功能,因为这一功能的启动可能会影响网站的运行速度。
她说:"当我们开始浏览日志的时候,我们会合上双手进行祈祷。有时候我们会是幸运的,但有时候就不是了。" 除此之外,很多公司在遭到了黑客的侵袭之后往往没有及时与执法部门进行联系,这就浪费了很多宝贵的时间。案件被拖延的原因往往不在执法部门,而在商家自身。
Smith说:"由于害怕和恐惧,这些公司不愿意承认遭到了黑客的攻击。你可以想象后果。有的公司在网站遭到黑客侵袭的同时还在向自己的客户声称信息的安全。"
安全专家指责Egghead花费了数周的时间来调查自己公司客户的个人信息的安全是否受到了威胁。安全专家说,一家拥有良好日志功能的公司应该能够在几天之内就确定受到侵袭的程度,这样就可以为银行节省发行新信用卡的资金,通常发行一张新信用卡需要花费5到25美元。
Egghead的前任首席执行官Jeff Sheahan说,我真的希望在遭到黑客的侵袭之前我们曾经做过一些事情。我认为我们的系统存在着缺陷。我曾经自问我们为什么会疏忽了这一点。各家公司把注意力集中到了其他的事情上,没有注意到自己是在冒很大的风险。
对于Egghead来说,调查是昂贵的,但是黑客的侵袭给它们带来的损失更为惨重,因为它们丧失了客户的信任。Sheahan 说:"对于从事电子商务的人来说,信任是非常重要的。我认为这一点没有任何值得怀疑的地方。"
其他的在线供应商应该从Egghead的身上吸取教训,因为现在的黑客越来越多。为了对此进行测量,CardCops的Clements在网上公布了一些假的信用卡号码,然后在网上向黑客发布了消息,这一切看上去就和公司不小心泄露了信用卡号码一样。
在不到半个小时的时间里,网站接待了来自31个国家的74名来访者。在今天的时间内,这一数字就上升到了1600人。没有人能够确定有多少人有网络犯罪的意图,但是Clements相信这是大多数人的用意。
他说:"这是一场在线网络战争,而执法部门是这场战争的输家。"
