探秘俄罗斯黑客在国际黑客中的地位

有一名网友在知乎提问:

新闻中所说的「俄罗斯被称为是“世界上第一个有黑客文化的国家”。俄罗斯黑客在国际上拥有相当高的“声誉”,他们技术高、“口碑好”,几乎已经成为专业人士的共识。因此俄罗斯黑客也是许多国家情报机构的“抢手货”。(外媒曝俄黑客窃取12亿用户信息 超5亿电子邮箱)」是真的吗?是否过誉了?
如果是真实的话为什么俄罗斯的科技互联网并没有看到相应程度的繁荣?

回答:

tombkeeper:先说个事儿:每年的第0x100天,是程序员节,俄罗斯是世界上唯一将该节日批准为官方节日的国家。

我认为全世界黑客的主要力量可分四大派:美国、西欧+北欧、东欧、中国。另有以色列等,技术虽高,奈何人数少,难成一派。

以俄罗斯为代表的东欧诸国力量是相当强的,而且搞的东西偏实用。我觉得一是他们的基础教育好,二是天冷,给宅在家创造了客观条件……

与其实力相比,俄罗斯黑客曝光相对较少,我觉得可能和国家经济水平有关,很多人拿这个改善生活去了,不求名、唯求利。不像西欧、北欧那些福利国家的黑客,很多就是为了好玩。

——————————————————————————————————————————————————

EvilMoon:因为毕竟语言障碍,所以没有接触过老毛子的黑客。

但是众所周知,老毛子在黑色产业中做到了极致,那既然是在黑色产业中做到极致,那我就着重分析下老毛子的黑色产业。

As known to all,安全在企业中永远是花钱的部门。安全在什么行业能直接产生利益?无疑就是黑色产业,与传统行业或是说非互联网行业相结合,另一种意义的「跨界」。

先讲一个安全现状。引用 @cnhawk 的一个图



故此,很多黑客在身怀绝技的情况下,自然想能够盈利。

但是在中国,很多黑客真的是生活所迫,东一榔头西一棒子,做一些事情,最后很多情况下是,案值很大,但黑客盈利非常少。造成这种现象的原因,一个是中国做黑产的急于快速变现(其实毛子也是,但是略有不同)。二是中国做黑产的黑客们大多数文化水平不高,思考的深度也不够,无法提炼出方法论。(插一句:以前追踪过一个做银行卡钓鱼的“黑客”,最后发现他是一个真·杀马特。)

毕竟要分析毛子的黑色产业水平,所以国内这些逗逼事情就一笔带过吧。

从几个事件来分析下毛子的黑产水平吧。

  • 事件一

俄罗斯黑客窃取全球12亿用户用户名密码信息

如果单从窃取的数量来说,十几亿的数据不算多,也没有太大亮点。因为道哥的中国黑客传说里已经说了一些数据了,在天朝有些黑客有收藏的癖好收藏数据库数据量都不少。大家想想曝光的都数亿了,没有曝光的有多少? :)

Solidot | 俄罗斯黑客组织被指窃取了12亿用户名密码

俄罗斯黑客借助SQL注入攻击从42万个网站窃取了12亿用户名和密码。Hold Security创始人兼首席信息安全官Alex Holden称,黑客不仅攻击美国公司,他们攻击所有能入侵的网站,从财富500强站到各种小网站。


俄罗斯黑客是通过注入42万网站获得的12亿数据,但是懂一些安全的同学会问了,12亿的数据通过注入要搞到猴年马月?这就涉及到两个东西一个是自动化,另一个则是「僵尸网络」

42万个网站,从数量上,我们直接可以推断,黑客肯定写了程序自动化扫描有漏洞的网站,并且一旦发现有漏洞,便下达命令进行注入。而自动化扫描出42万个有漏洞的网站,意味着他们扫描的可能是数百万个 网站。这就需要借助僵尸网络了。(如题主问:如果是真实的话为什么俄罗斯的科技互联网并没有看到相应程度的繁荣?我觉得黑客是创造性的,一个点子一个思路就能做出很惊人的事情,而互联网的发达是需要慢慢运营的,不能混作一谈。)

关于僵尸网络。我们可以找出几个公开了的,如这个風暴殭屍網路 ,还有这个 Solidot | 微软称Rustock僵尸网络由俄罗斯人运营 

可见老毛子也运营着不少僵尸网络,相信曝光的只是少数,大多数的还是隐藏着。相比较天朝挺多僵尸网络都是很暴力的盈利方式,如早期的:广告推广、盗号等。到近两年的:比特币、莱特比、流量矿等等。毛子的僵尸网络则可以租借拿来做注入等事情。组成比较有意思的东西,我们可以称之为「云注入」 或者 「云拖库」 。但是这种事情并不需要僵尸网络来做,需要的是「类僵尸网络」,走的揍是思路,揍是猥琐。业内人大概看一下也知道什么意思了,为了防止黑产利用,这类详细过程就不说了。这类的 「类僵尸网络」 国内基本没几家企业能防,而且无视掉很多的防护规则,着实头疼。

BTW :并不是说国内没有人做这种事,只能说可能还没有形成一个产业。如果已经形成了,只能说我孤陋寡闻了。而老毛子做的则是将黑色产业做精,形成产业化,工业化,市场化。对此,我只能说:有点厉害(星星眼)。

  • 事件二

黑客入侵花旗银行 偷走上千万美元

老毛子不愧是战斗民族,敢想敢干,不仅搞僵尸网络偷银行卡,还入侵银行直接搞钱。关于入侵,要提一点,国内黑客的实力也是可以做到的,那到底有没有人做呢?有没有呢?嘻嘻。:)只能说老毛子敢用组织的形式做这类事情,反映出来的一点就是,老毛子的黑色产业链组织化高度发达,并且异常高调,其中缘由感觉可以深挖。

  • 事件三

深度调查:俄罗斯黑客是如何入侵纳斯达克的

专家对恶意程序的分析检查发现,恶意程序代码具有攻击性,是设计造成破坏。美国认为,中国、法国,甚至以色列人都在设法渗透进到美国的计算机系统,窃取经济和军事情报。这些皆属于间谍行为,但攻击性的代码则属于一种军事打击。

相信大家看到这个文章的亮点在于用了数个 0day ,不难推测,这类武器级别的木马老毛子手里不在少数。而且根据我引述的内容,这个事件的目的已经非常明确是有政治因素在里面了。这下子我们就可以不负责的大胆推测,为什么老毛子那么敢想敢干,除了民族是战斗民族比较英勇之外,还有一点就是他们是有保护伞的。

  • 最后

事件不需要再多了,毛子的实力拿几个公开的事件粗略分析已经可见一斑。若不看法律,一个市场需要发展壮大,前提条件是需求大,而产品提供者必须能够做到自动化、高质量、市场化、明确的分工以及良好的合作。如果把这些东西代入黑色产业来看,俄罗斯黑客的确做到了自动化、市场化、明确的分工,并且黑色产业上下游合作良好,并且由于他们技术实力不容小觑,的确能做到高质量。也就是人们说的,有组织犯罪。

老毛子黑色产业做的相比较天朝的黑色产业来说更有互联网的意识,完全是两种不同的风格。为什么美帝黑产不顶尖?原因很多。。(先前的图是一个原因)其他的不分析了。要想知道老毛子黑客在国际上的水准,题主可以考虑下几点:技术的领先性、思路是否猥琐、是否跨界。

为什么我把思路是否猥琐单独列出来?难道技术的领先就不等同于技术的猥琐?当然不是,当你思路够猥琐的情况下,用很简单的技术也能做出 amazing 的事情~所以 @tombkeeper 与 KeenTeam 搞的 GeekPwn 是非常有意义的
还有是否跨界,为什么考虑是否跨界?因为我相信,信息安全并不局限于互联网,特别是今日各种 x联网的出现,跨界,了解别的行业的东西,能看到很多不同的事情。我很欣赏有人说过“爱因斯坦是最好的黑客”。因为黑客就是一种突破性的创新,而老毛子则是把一些比较猥琐的思路放在了黑产,而天朝黑产感觉还是很 low 的。关于天朝黑产的话题,有个小伙伴 @redrain root 会在kcon上讲~

所以总结下:老毛子,在黑产上做的在世界范围上,的确是顶尖的。而安全技术来说,能力也不容小觑。我就问:难道老毛子的黑产黑客只做黑产?没有创新他们的黑产行业能蓬勃发展咩?只做黑产某些黑客能相安无事?-_,- 对吧。

好了。。差不多。纯瞎扯,第一次在 zhihu 上回答。。。临表涕零,不知所言。
2333 求赞

——————————

补充:有个哥们看完文章后,过来找我辩论。意思是国内黑色产业的黑客也能做到极致,全自动化、高效率、云入侵等等,但是他提到一点,这些人都是退下去一些“老人”。他说那些人不是消失了,而是去做其他事情了。而这点也是国内黑产的没有蓬勃发展的原因之一。这些退下去的,不做最前端的技术了,而且毕竟有妻儿,很多事情都是默默的做的,没办法形成市场化,因为,如果没有那些个朋友跟我说,我还真不知道哪些人在默默的做一些事。安全界的都不知道了,如何形成市场?
当然。。不形成市场最好。
======================
再补充,有朋友说,对我里面的名词如果不解释的话很多人看不懂,那我解释下。
一、僵尸网络
僵尸网络。里面的僵尸就是国内俗称的肉鸡。当你达到一个数量级别的时候就可以组成僵尸网络,而僵尸网络的管理为了防止一下被打击掉,一般都是分布式的管理。有点云的意思。
二、云拖库,云注入。
当你注入的时候一般是一个get或者post甚至一个cookie的请求,但是当数量级达到一个程度的时候,可能会被防火墙判定为攻击。为了防止这种现象的发生,结合僵尸网络,分布式的注入效率高,而且不会触发许多安全的规则。故分布式的注入(没有waf的情况下)效果奇高。
三、类僵尸网络。
就是用僵尸网络的思路,或是说分布式、云的思路去做一些事,这类,类僵尸网络能做很多事,但是肉鸡又不是一般情况下的肉鸡。国内已经有相当厂商遭遇这类的攻击。问了下:已经有厂商可以防范这类攻击,但是还是很蛋疼。还是用js做一些事情,技术不是新技术,但是在思路上十分猥琐,能做很多事情,相信不少厂商已经遭遇这类攻击了。
四、国内黑产。
国内黑产的相关问题, @redrain root会再kcon上讲,我们两个也探讨了下,他会讲一些比较有意思的东西,能到会场的好好听一听,不行的可以等后续的ppt :)
另:我觉得在IT行业,或者说安全圈,很多人没有一个市场的概念(或者由于行业的特殊性,不能有一些想法吧),都是给任务就做。所以本文只是分析文章,主要是让安全圈的人多一个想法。

【via@知乎