黑客撞庫威脅網站安全

文/本刊記者 黃靈 通訊員 徐曉明 圖/謝偉

黑客撞庫威脅網站安全

文/本刊記者 黃靈 通訊員 徐曉明 圖/謝偉

2013年7月，上海市長寧區人民檢察院受理了兩起該市首例編寫、出售“跑號器”軟件，并通過批量“撞庫”，非法盜取網站用戶賬戶內資金的案件。這背后暴露的安全隱患，引起了網絡運營商、司法界和計算機專家等各方面的密切關注。

某旅游網站被“撞庫”報案

2012年7月，公安機關接到某旅游網站報案，稱在其路由器日志上，發現有大量數據進行撞庫的痕跡。撞庫，是計算機業界黑客手段的一個術語。就是通過已有的賬號密碼到其他網站去嘗試配對。不明數據庫撞庫的行為，令某旅游網站感到了其龐大的個人用戶群安全遭到了嚴重威脅，于是他們在第一時間選擇了報案。

隨后，公安機關通過技術手段發現，犯罪分子正利用大量不明來源的數據，對某旅游網站進行“撞庫”。在某旅游網站更新安全策略后，該軟件也隨即發生變化，這個博弈的過程，經推斷是軟件設計者和操作者，根據目標設定故意繞開系統安全措施所進行的人為行為。

經上海市長寧區人民檢察院審查查明，2012年7月起，犯罪嫌疑人賴某在網絡上以每份人民幣150元至300元不等的價格，多次向犯罪嫌疑人袁某出售其編寫的掃號軟件（俗稱“跑號器”），該軟件專門用于批量檢測特定網站的用戶名及密碼是否存在，從而供他人非法登陸特定網站后非法獲取用戶賬戶內信息。犯罪嫌疑人賴某從中獲利人民幣5700元。犯罪嫌疑人袁某購買上述掃號軟件后，又在網絡上以人民幣200元至1200元不等的價格出售給陸某等人，陸某使用針對某旅游網站的跑號器，將從網絡上收集的用戶賬號和密碼數據庫予以檢測、篩選，成功登陸后獲取某旅游網站用戶信息四千余組，并以轉賬的方式盜取賬戶內資金共計人民幣三千三百余元。

經司法鑒定，該跑號器軟件主要功能是：批量檢測和批量登陸，也就是使用指定用戶名檢測目標網站中是否存在或使用了指定用戶名及密碼組，并自動登陸網站獲取賬戶內個人信息。盡管本案的案值不大，但卻如同蝴蝶效應，對眾多網絡商家和龐大的網絡用戶而言，是一個巨大的安全隱患。

檢察官向記者介紹，隨著科技的不斷發展，計算機領域犯罪也在不斷變異，新型犯罪層出不窮。根據以往案件來看，計算機犯罪還是以計算機病毒、木馬、外掛等程序居多——

比如，2010年7月22日，北京市民吳某在家中，使用計算機制作用于盜取QQ密碼的木馬程序，并利用互聯網多次向他人出售盜號木馬程序獲利八千余元，后被公安機關抓獲。經查，其制作出售的盜號木馬軟件被他人用于實施網絡詐騙犯罪。2011年6月，北京市豐臺區人民法院以被告人吳某犯提供侵入計算機信息系統程序罪判處其有期徒刑一年四個月，并處罰金人民幣2800元。

2007 年6 月至2008 年8 月間，被告人呂軼眾、曾毅夫等為牟利在廣東省深圳市，先后編寫出國內流行的《風云》《完美國際》《武林外傳》《QQ 自由幻想》等四十余款網絡游戲的木馬程序，用于竊取網絡游戲玩家的賬號、密碼，并由曾毅夫出面尋找合作伙伴幫助出售。自2008 年2 月起，被告人嚴仁海受曾毅夫的委托，將該系列木馬程序，以其女友陳慧婷的網名“溫柔”命名并總代理出售，同時按照不同網絡游戲類型由呂軼眾將該木馬程序修改后分包給不同的一級代理商，并按照包用時間向后者收費，牟取非法利益。2009年12月，江蘇省徐州市鼓樓區人民法院以提供侵入計算機信息系統程序罪判處被告人呂軼眾有期徒刑三年，并處罰金人民幣20 萬元等……

但本案賴某和袁某編寫和出售的“跑號器”軟件，并非典型的計算機病毒、木馬程序，那么對于本案又該如何定性呢？

門里門外，專家各持己見

目前，本案中購買使用跑號器軟件非法盜取他人賬戶內資金的陸某已按盜竊罪被判處有期徒刑十個月，但對于編寫和出售“跑號器”軟件的始作俑者，其定性存在著諸多爭議。

近期，為解決辦理新型計算機犯罪案件中的法律、技術難題，積累辦理此類案件的經驗，加強對新型計算機犯罪案件研究，上海市長寧區人民檢察院召集專家、學者就“編寫、出售跑號器軟件的行為如何定性”進行了專題研討。

參加研討會的專家學者就上述行為如何定性各抒己見，主要形成三種觀點。一種觀點認為，賴某、袁某的行為構成提供侵入計算機信息系統程序罪；第二種觀點認為，賴某、袁某的行為構成盜竊罪的共犯；第三種觀點認為，賴某、袁某的行為不構成犯罪。

認為構成提供侵入計算機信息系統程序罪的專家表示，所謂侵入計算機系統，不僅指通過木馬、病毒程序進入計算機系統，未經合法授權進入計算機系統也是侵入計算機系統。跑號器軟件具有的批量檢測、批量登陸賬戶不是正常用戶的使用方式，具有非法性，并且該軟件具有實時變化IP地址的功能，這也是避開、突破網站安全防護的體現。因此，該軟件屬于專門用于侵入計算機信息系統的程序。軟件設計者主觀上不是為了好玩、炫耀技術，而是為了販賣牟利，主觀上具有非法故意，社會危害性較大，數額上也達到了提供侵入計算機信息系統程序罪中非法獲利5000元的起刑點。

也有專家認為，構成提供侵入計算機信息系統程序罪的關鍵在于鑒定意見能否全面反映該軟件的客觀情況，清楚表明軟件具有實時變更IP地址，繞開安全防護的功能，如果沒有的話很難構成犯罪，因此，對上述情況要進一步查證，必要時需重新出具鑒定意見。

還有專家提出，計算機犯罪是行政犯，關鍵是需要看行為人的行為是否違反了相關行政法規，如果不存在前置違法的則不構成犯罪。對于計算機領域出現的這類新型問題，司法機關在處理時需要慎重。

目前，該案正在審查起訴階段。對于本案的處理，其前瞻性和司法標本的意義，大于案件處理本身的意義。

跑號器的“傻瓜功能”危害很大

記者了解到，盡管這個上海市首例編寫、出售跑號器軟件案目前案值不大，但是檢察機關非常慎重為此組織了兩次專家討論。

上海市長寧區人民檢察院副檢察長劉晶告訴記者，目前相關司法解釋對計算機犯罪出現的新情況、新問題規定尚不明確。以往犯罪分子使用病毒、木馬程序進行計算機犯罪，破壞性一目了然，法律也明確規定屬于犯罪行為。但是隨著IT行業分工的專業化，計算機犯罪手段也在日益細化。近期，上海破獲的買賣600萬條某航空公司客戶信息案就表明，現在存在大量非法獲取個人信息渠道，這就為這個軟件的實施提供了可能。過去使用木馬還需要一定的技術水平，現在用了這個跑號器就類似一個傻瓜軟件，雖然技術含量下降了，但造成的危害性卻更大了。

記者注意到，目前百度上關于買賣、使用跑號器軟件的搜索信息不少，但人們似乎還不了解其潛在的危害性。一方面，我們關注個人信息保護相關立法應盡快出臺；另一方面，作為廣大的網民來說，如何保護自己的賬戶安全也是需要不斷自我升級的一個過程。

計算機犯罪逐漸為社會關注

信息技術和互聯網業的快速發展，一方面極大地方便了人類的生產生活，另一方面其安全問題也日益突出。目前，我國面臨黑客攻擊、網絡病毒等違法犯罪活動的嚴重威脅，是世界上黑客攻擊的主要受害國之一。據《中國互聯網狀況》白皮書披露，2009年我國被境外控制的計算機I P地址達100多萬個；被黑客篡改的網站達4.2萬個；被“飛客”蠕蟲網絡病毒感染的計算機每月達1800萬臺，約占全球感染主機數量的30%。據公安部提供的情況，近五年來，我國互聯網上傳播的病毒數量平均每年增長80%以上，互聯網上平均每十臺計算機中有八臺受到黑客控制，公安機關受理的黑客攻擊破壞活動相關案件平均每年約增長110%。此外，近年來隨著計算機網絡技術的普及，計算機犯罪又出現一些新的趨勢，一是以計算機病毒攜帶木馬程序、間諜軟件進行大規模傳播來非法獲取他人賬號、身份認證信息，進而侵入他人計算機信息系統竊取計算機信息系統數據，或者對計算機信息系統進行遠程控制的案件增長迅猛；二是專門制作銷售計算機黑客工具、病毒、木馬程序，倒賣計算機信息系統數據和控制權的現象十分突出。這些違法犯罪行為具有嚴重的社會危害性，不僅破壞了計算機信息系統運行安全與信息安全，而且危害了國家安全和社會公共利益，侵害了公民、法人和其他組織的合法權益。

針對維護計算機信息系統安全方面出現的新情況，2009年2月28日全國人大常委會通過的《刑法修正案（七）》增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪，提供侵入、非法控制計算機信息系統的程序、工具罪。這些規定為維護計算機信息系統安全，打擊計算機網絡犯罪提供了有力的法律依據。

然而道高一尺，魔高一丈，由于計算機技術的不斷突飛猛進，計算機犯罪的手法也不斷更新。正如本案中涉及的“跑號器”軟件，與傳統的計算機病毒、木馬程序有所區別，然而危害性卻不相上下，甚至更為簡便易學。對于這些新問題，一方面需要司法機關在具體執法時謹慎執法，合理解釋，不枉不縱，依法打擊；另一方面也需要立法機關加強立法、法律解釋力度，及時厘定非法軟件的界限。

此外，近年來，由于計算機網絡技術向簡易化、普及化發展，編寫黑客工具、病毒、木馬程序對于行為人文化程度的要求越來越低。計算機犯罪人員已由專業技術人員向普通人群蔓延，計算機犯罪人員出現了低年齡、低文化的趨勢。因此，這也告誡一些計算機愛好者，一定要把握住正常的計算機技術學習、研究和編寫非法計算機程序的區別，切莫由于一時糊涂而走上犯罪道路。

檢察官提示

個人信息泄露后，之所以給用戶帶來安全隱患，是因為很多用戶忽略了網絡安全的自我防護意識。比如，跑號器就是利用很多人在不同網站的用戶和密碼都是使用相同的那么幾對，才可能被貌似無意識的掃號獲取了賬戶信息。那些被非法獲取的用戶和密碼，犯罪分子并不知道其來源，但是利用這個跑號器，就可能“瞎貓碰死耗子”給對上了。如果，個人用戶在設置用戶名和相應密碼時能做一些細微的變化，就能輕松避開這個風險點。此外，適時更換密碼，刪除一些不必要的個人信息，都是有效的自我防范措施……