一个比较醒目的题目,为什么这样提呢,是不是作者为哗众取宠而有意夸大其词呢,先让我们看一下来自国内外信息安全业界的一组数字:
2007年7月4日,北京金山软件有限公司发布的《中国2007年上半年电脑病毒疫情及互联网安全报告》指出:2007年上半年,木马数量增速非常明显。2007年上半年金山毒霸共截获新增病毒样本总计111474种,其中新增木马病毒高达76593种,占到7成多。计算机感染台数超过750万,与去年同期相比增长12.2%。在这些木马病毒中,盗号木马尤其严重,占到木马总数的76.04%,高达58,245种。而在2006年金山发布的年度安全报告中,盗号木马仅占51%。
《2006年下半年赛门铁克互联网安全威胁报告》 综合全球180 多个国家/地区的网络活动指出:在2006 年下半年检测到的前十个新恶意代码中,五个是特洛伊木马,四个是蠕虫,一个是病毒。在恶意代码威胁中,蠕虫占 52%,比上半年报告的 75% 有所下降,而特洛伊木马的比例从 23% 大幅提高到 45%。而以潜在感染源为衡量标准,特洛伊木马的数量占前 50 大恶意代码样本的 60%。由于特洛伊木马并不包含任何传播机制,因此它们不会像群发邮件蠕虫那样广泛扩散,但特洛伊木马经常是利用 Web 浏览器和零日漏洞 进行安装,所以只要出现特洛伊木马报告,就表明很有可能已经遭受感染。此外,赛门铁克还阻止了超过 15 亿条网络钓鱼消息,比 2006 年上半年增长了 19%。网络钓鱼攻击利用的独特品牌中,金融服务机构占 84%。
具体到木马传播的内部,从制作木马病毒到传播木马、从盗窃用户网游或网上银行账号、密码、账户信息再到转手卖钱、洗钱,不同的环节有不同的人操作,已经形成了一个非常完善的流水作业程序,形成了一条黑色经济产业链,这个黑色经济产业链正在以越来越快的速度发展、膨胀。互联网已步入了“木马经济时代”。
以前不久流行的“灰鸽子”木马为例,制作木马、传授技术、转卖“肉鸡”、盗号卖钱等环节都是由不同的人负责的。据不完全统计,仅仅“灰鸽子”一种后门所带来的直接售卖价值就达2000万元以上。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,大量的网上“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线(也就是其代理商或分销商),以辅助完成其他牟利活动。据推算,目前有2000万台电脑已成为被控制的“肉鸡”,被任意窥视和使用,甚至被买卖控制权。买家得到用户电脑的控制权后,可以获取用户电脑中的各种隐私,其中包括网游和网银账号及密码,然后就会在一些专业论坛上卖掉,以此获利。ebay、淘宝、贴吧、论坛等各个地方往往可以轻易找到那些被盗取的网银账户、股票交易账户、QQ号码、游戏币、游戏装备、裸体照片、隐私视频、私密邮件等等一切可能在现实社会中兑换成金钱的真实的或虚拟的物品。据中国国家计算机网络应急处理中心估计,目前木马黑色产业链的年产值已超过2.38亿元人民币,造成的损失则超过76亿元。这个产业链条中的从业者有大学生、高级知识分子、电脑爱好者……,随着计算机技术的普及与制作工具的增多,入行者的年龄已呈现低龄化趋势,而作案的数额也越来越高。目前所有的反病毒厂商都在不断提出反木马的举措,但是从技术上看,目前蠕虫、恶意软件、木马程序以及网络钓鱼等各种互联网威胁已经开始融合,单凭技术手段很难做到万无一失。
那么,法律能否与技术一道对木马和“木马地下经济”产生足够的遏制乃至消灭的作用呢?或者说,如果当互联网的安全防范已步入“木马经济时代”,我们相应的网络法制能否跟上,“木马地下经济”又是怎样在挑战着我们现有的网络法制呢?
首先,我们说,网络法制在对木马有关的概念界定上存在困难。目前我国的法律规定基本没有直接涉及到这一领域,而在与“木马地下经济”间接相关的一些领域,由于我国缺乏信息安全法、个人数据保护法以及关于虚拟财产认定和保护的一些基本规定,都直接导致了这一领域法律保护的薄弱。
公安部2000年4月26日发布的《计算机病毒防治管理办法》第二条规定:“本办法所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”也就是说,病毒是需要具备三个要件的编制或者在计算机程序中插入的一组计算机指令或者程序代码,三个要件分别是:破坏计算机功能或者毁坏数据,影响计算机使用,能自我复制。那么,从这个定义看,至少木马不能符合其中的两个重要条件:影响计算机使用,能自我复制。尤其是能够自我复制,经常被用来作为判断病毒的主要指标,而在这一点上,木马显然与病毒有着根本的差别。也就是说,目前我国关于病毒防治的所有法律规定基本都是不能适用于木马的。
接下来,我们还能在现有法律法规中找到的两个可能相关的概念分别是《计算机信息系统安全保护条例》第二十三条中的“有害数据”和公安部《计算机信息网络国际联网安全保护管理办法》第六条提到的“破坏性程序”。
对于“有害数据”,公安部在《关于对〈中华人民共和国计算机信息系统安全保护条例〉中涉及的“有害数据”问题的批复》(1996年5月9日)中将 “有害数据”解释为:“指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图象、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度,攻击党和国家领导人,破坏民族团结等危害国家安全内容的信息;含有宣扬封建迷信、淫秽*****、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒)。”从这个定义看,与木马有关联的似乎只有“危害应用软件、数据保密性”这一块,虽勉强沾边,但显然过于笼统,操作性很差。对于“破坏性程序”,由于没有找到更具体的解释,难以作出判断,但如果只是顾名思义,恐怕比“有害数据”更难适用于木马。
而其他的我国信息安全领域的重要法律法规,如《电子签名法》、《全国人大关于维护互联网安全的决定》、《计算机信息网络国际联网管理暂行规定》、《互联网安全保护技术措施规定》等,也都没有这方面的规定,只是《全国人大关于维护互联网安全的决定》提到了“利用互联网进行盗窃”这一危害财产安全的具体违法犯罪形式。不过,最后在刑法层面,我们还是能够找到原则上可以涵盖的一个很有力的条款,那就是第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”
不知是该庆幸还是忧虑,每当我们在按发布时间顺序整理我国与信息技术、互联网有关的法律法规时,94年2月18日国务院发布的《计算机信息系统安全保护条例》总是赫然排在第一位,96年2月1日国务院发布的《计算机信息网络国际联网管理暂行规定》也非常靠前,起步不可谓不早、法律的规格不可谓不高、重视度不可谓不够。然而当十三年后的今天,在没有更高层面的信息安全法,没有更多具有可操作的部门规章,也没有对《计算机信息系统安全保护条例》的及时修订的情况下,我们还想绞尽脑汁地试图从中找到其能够覆盖那些变化万千、一日千里的新问题的蛛丝马迹,其中的辛苦和尴尬,恐怕是非行业人士也能一目了然的了。
其次,在对“木马地下经济”的法律责任追究上,也存在不少较棘手的具体问题。一方面,由于“木马地下经济”分工细致严密,制作木马、传授技术、转卖“肉鸡”、盗号(盗信息)、卖钱(盗取钱财)等环节均由不同的人完成,而这些具体违法犯罪行为的法律适用和处罚一般是不完全一样的,即具体怎么追究“木马地下经济”的法律责任、追究什么样的人的什么样的法律责任都需要根据严格、细致的法律规定作出,不是一个法中的一个条款可以解决的,对法律认定和处理“木马地下经济”的能力提出了很高的要求。比如,其中制作木马可以比照针对制作病毒的处理方法,传授技术可以参考传授犯罪方法的处理方法,盗取钱财可以参照盗窃、金融诈骗的处理办法,而转卖“肉鸡”、盗号、盗取信息等则连可能的参照物都找不到了。另一方面,在追究责任时,除“木马地下经济”内部链条外,还会涉及到一些相关方,如发布相关广告的网站、提供违法虚拟财产交易的平台、在不知情下被“挂马”的网站等,是否要承担相应的连带责任、承担什么样的连带责任,也都需要更为具体的分析、应对。还有,木马、网络钓鱼、蠕虫、病毒等的“同流合污”与P2P从个人到个人传播方式都在不同层面使追究“木马地下经济”法律责任的难度大大增加了。
最后,除基本概念界定困难、责任追究非常复杂外,在具体的法制层面上,还面临跨行业管理、跨区域保护等一系列问题。木马显然比病毒复杂得多,病毒中纯技术性的因素较大,而木马则是技术与获利的有机结合,其目的性、利益性更强,参与者的范围更广、手段更多、危害更大,所以涉及的部门也必然更多。对多个部门之间沟通、协作的效率是一个考验,而其中虚拟财产究竟应由哪个部门来管理,现在恐怕还没人能说得清楚。
这样分析下来,显然结论有些令人失望,那就是“木马地下经济”不仅是在挑战网络法制(我们的网络法制还很不完善,我们权且用这个词来表述),而且问题相当严峻。就拿短短一年来“木马地下经济”迅猛的发展态势和其广大的“市场”、广阔的“发展空间”、巨大的利益诱惑与技术、法律、管理防范与处理的捉襟见肘等情形来看,随着互联网、电子支付、电子商务、信息化的发展,虚拟财产的壮大,web2.0时代的演变,这种“木马地下经济”今后可能的危害是怎么夸大也不为过的。法律在规制互联网时,本来就面临高技术性、应用多样性、分布性、传播方式个体性、虚拟性、跨区域国家性等几大难题,而在“木马地下经济”方面,这几个难题又被进一步强化了。尤其是在“木马地下经济”中,技术与经济的结合非常紧密,我们的“敌人”已经从单打独斗、天马行空的作为技术炫耀者的“黑客”转变为有组织、有纪律、有分工、有伪装的违法犯罪集团,其逃避与应对法律制裁的能力也必将更强。从技术炫耀到攫取利益、从单兵作战到分工严密,互联网的信息安全问题已发生了质的变化。我们已没有任何理由、任何借口、任何空间和任何多余的时间去逃避、去等待、去观察。
“木马地下经济”正在严重挑战网络社会的秩序和合法权益,进而挑战我们网络法制的处理、应对能力,需要我们从立法、司法、执法等层面重新审视我们还未成型的网络法制架构,及时拿出系统、有力、可操作的解决方案。
原文地址:http://alamusi.blog.ccidnet.com/blog-htm-itemid-188912-uid-55323-do-showone-type-blog.html
