ITnews 版 (精华区)

发信人: petrel (紫燕＊自在飞花轻似梦*燕燕于飞), 信区: ITnews
标  题: TruSecure智擒网络黑客 
发信站: 哈工大紫丁香 (Sat Nov  9 21:32:44 2002) , 转信

TruSecure智擒网络黑客 
(2002.11.07)   来自：华尔街日报    
 
 
 
  
  
      
   来看看一位首席执行长(CEO)的梦魇吧。

某著名黑客组织的一名成员威胁要破坏这位CEO所在公司定于10天后进行的网上收益发布会
。这是个严重事件，但鉴于目前该公司尚未遭受任何实际损害，警方也无能为力。

不过，该公司可以求助于弗吉尼亚州的TruSecure Corp.，这是一家私有公司，现在已经在
保护受威胁公司的电脑系统了。

TruSecure并不仅仅是加强了受威胁公司的网络保安，而且在不到36小时之内就查出了黑客
的身份，原来他是受威胁公司的一名雇员。关键并不在于传统的“电脑犯罪法医学”，而
是依靠对TruSecure有关黑客世界的透彻了解进行挖掘的技术，以及对公共互联网的大力搜
索。

长期以来，TruSecure一直在帮助企业客户应对网络攻击的威胁或业已发生的网络攻击。但
鉴于网络犯罪日益猖獗，企业客户对于全面调查的需求日渐高涨，所以TruSecure在今年4
月将“应对攻击”正式列入了公司的服务内容。

“在我们于过去13个月中所调查的55宗案子里，我们有23次查明了罪犯身份，”TruSecur
e的首席技术长彼得．S．第皮特(Peter S. Tippett)说道。“我们必须壮大我们的业务，
因为网络保安工作是十分必要的，而且我们正好擅长此道。”

TruSecure的研究员负责收集黑客地下组织的有关信息，而该公司有4个不同的数据库来管
理这些信息。TruSecure的其他一些数据库则管理著关于电脑病毒以及特洛伊木马(Trojan
-horse)病毒代码的全球最为完整的资料、黑客工具以及用以攻破加密程式的各种攻击。第
皮特说，TruSecure之所以能够查出黑客身份，大约80%都是靠利用这个庞大的信息库。

大多数提供“应对攻击”服务的公司都专注于“电脑犯罪法医学”，其中领头的是大型谘
询公司，如安永会计师事务所(Ernst & Young LLP)和普华永道(PricewaterhouseCoopers
 LLP)。“电脑犯罪法医学”也就是在网络和硬盘驱动器中仔细搜索证据，比如被更改的文
件或被删除的电子邮件。收集有关敌人的情报的做法不那么普遍，尽管一些调查员可以利
用负责监控黑客世界的同事的专门知识。

美国联邦调查局(Federal Bureau of Investigation)的电脑罪案组(Computer Crimes Sq
uad)主管、特工大卫．福特(David Ford)说，电脑法医学可以让调查员找到罪犯所用过的
那台电脑，但一般无法查出到底是谁用了这台电脑。要查明这一点，情报和传统的调查技
术是必不可少的。

TruSecure开发数据库的初衷并不是为了打击网络犯罪。

第皮特说，“我们（保存数据的）主要目的本来是预测网络攻击的发展动向，”以便支持
TruSecure的核心业务，即保护客户免受网络攻击的威胁。但结果发现：积累起来的大量信
息“在调查反馈方面也很有用”。

在调查网络罪案时，TruSecure的调查员经常要调用该公司的数据库。有两个数据库的功能
特别强大，一个叫“Overkill”，一个叫“The Brain”。

Overkill是一个极为庞大的数据库。每天，Overkill要浏览整个Usenet和数以千计的网站
及电子邮件清单。Usenet是一个全球性系统，含有115,000个论坛，这些论坛称作“新闻组
”。Overkill搜寻的是泄漏可疑迹象的文字模式、恶意代码等等，并自动保存任何可疑的
情况。

TruSecure的调查员在工作的时候始终牢记这一点：在互联网上做坏事的人也会在网上做一
些非恶意的事情。虽说他们在干坏事的时候会隐匿身份，但他们在做其他事情的时候未必
会隐藏身份，比方在网上购物时。

以“安娜．库尔尼科娃病毒”(Anna Kournakova)的制造者扬．德威特(Jan de Wit)为例。
“他经常在网上出现，非常明显，而且直接就指向他的真实身份，”TruSecure的风险评估
主管兼高级技术调查员保罗．罗伯逊(Paul Robertson)说道。

Overkill数据库对德威特用户名的搜索，发现了一些Usenet讯息，虽然这些讯息已经用一
个匿名程式抹去了所有证明身份的线索，但还是提供了一些重要线索：罪犯的母语可能是
北欧某国的语言；罪犯的电脑是按非欧洲时区设置时间的；罪犯有一种独特的下线风格。


根据这些线索所展开的新搜寻，将调查员引向了荷兰某网站上的一些讯息，原来德威特正
试图在该网站上拍卖他的高档唱盘。有关讯息是不匿名的，因而调查员很快查出了他的姓
名、住址和电话号码。最后的结局是：德威特主动自首了，但即便他不去自首，也躲不了
多久──TruSecure已经将他的身份通报给了联邦调查局。

The Brain数据库是一个规模较小、但更为精巧的工具。TruSecure安插在黑客世界中的卧
底搜集了3,500多名黑客和800多个黑客组织的情报，The Brain数据库就利用这些情报、通
过图表来形像地描述各黑客团体之间不断变化的结盟关系。

The Brain数据库的设计者是位于加利福尼亚州圣莫尼卡的私人公司TheBrain Technologi
es Corp.。它能根据人们看待信息的方式（即根据一条信息如何联系到另一条信息，而不
是根据文件夹或文件这种分级结构）来整理一组组复杂的数据。该公司首席技术长哈兰．
休(Harlan Hugh)说，美国国防部(Defense Department)和许多情报机构也使用这个软件，
尽管他不愿透露它们将该软件用在何处。

在TruSecure版本的The Brain数据库中，有些字行会发亮显示，以便提示你一些信息，比
如某黑客组织的一名成员与其他6个组织也有联系。它还能列出，此人（通常只能根据用户
名确认）实施了哪些攻击。如果他曾经参加过某个黑客会议，TruSecure也许正好有一张他
正举起一杯饮料的照片。

其他两个属于TruSecure专有技术的数据库分别叫“Shovel”和“Trough”。这两个数据库
拥有黑客发动攻击的具体情况，TruSecure的调查员可以根据这些信息来分析该黑客编写代
码的风格和能力。

私人调查往往代价昂贵，因为私有企业要雇用许多高技能人员，从调查员、技术员到法律
专家等不一而足。

TruSecure对那些愿意预先付款的客户提供折扣。第皮特说，客户支付大约4.5万美元就能
获得持续一年的“第一阶段”调查。对于要求得到紧急帮助的公司，同样的基本调查收费
约6万美元。为预先付款的客户进行调查更加容易，因为一般说来，TruSecure早已熟悉该
客户的网络，早已为客户安装了保留法庭证据的软件，并已为该客户制定了“应对攻击”
方案。TruSecure还将调整Overkill，开始在网络上观察可疑活动。

在第一阶段调查中，TruSecure将调集专家、研究人员和所需要的所有技术人员，花最多一
周的时间来研究有关问题。罗伯逊说：“我们帮客户作出判断并得出结论。如果他们需要
转入刑事起诉，或者事件的严重程度比预计的要大，他们就可以聘请TruSecure或其他公司
开展‘第二阶段调查’。”持续一年的第二阶段调查需要再收费10万美元。

尽管费用昂贵，但是各公司通常会先求助于私人公司的专家，然后才会与执法部门联系。
有时候，这样做的原因是，他们需要搜集到足够的证据才能使任务过于繁重的执法部门对
此产生兴趣。但通常，这样做的目的是为了通过控制调查进程和由此带来的诉讼，以保护
公司的商业利益。

对于调查服务的需求在不断上升。研究机构国际数据公司(IDC)预计，2002年全球“应对攻
击”和“电脑法医学”服务的总收入为1.66亿美元，到2006年将上升到4.55亿美元左右。


原因在于日益猖獗且造成惨重损失的电脑犯罪。在回答2002年电脑犯罪和安全调查的503家
机构中，有90%发现网络受到侵犯。该调查由美国电脑安全协会(Computer Security Inst
itute)进行，这是一个由信息安全专家和联邦调查局组成的协会。接受该调查的公司的平
均损失为660万美元，而5年前为95.47万美元。它们遭受的最惨重损失是信息被窃和金融欺
诈，这些活动通常是了解公司情况的内贼或专业黑客所为。

国际数据公司的保安服务分析师艾伦．凯瑞(Allan Carey)说：“企业不愿意谈论遭受网络
攻击的事，报案的公司可能只是受害公司中的一小部分。网络攻击的问题并不在于是否会
发生，而在于何时发生。” 
 




--

※ 来源:．哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 202.118.239.94]