一个比较醒目的题目,为什么这样提呢,是不是作者为哗众取宠而有意夸大其词呢,先让我们看一下来自国内外信息安全业界的一组数字:
2007年7月4日,北京金山软件有限公司发布的《中国2007年上半年电脑病毒疫情及互联网安全报告》指出:2007年上半年,木马数量增速非常明显。2007年上半年金山毒霸共截获新增病毒样本总计111474种,其中新增木马病毒高达76593种,占到7成多。计算机感染台数超过750万,与去年同期相比增长12.2%。在这些木马病毒中,盗号木马尤其严重,占到木马总数的76.04%,高达58,245种。而在2006年金山发布的年度安全报告中,盗号木马仅占51%。
《2006年下半年赛门铁克互联网安全威胁报告》 综合全球180 多个国家/地区的网络活动指出:在2006 年下半年检测到的前十个新恶意代码中,五个是特洛伊木马,四个是蠕虫,一个是病毒。在恶意代码威胁中,蠕虫占 52%,比上半年报告的 75% 有所下降,而特洛伊木马的比例从 23% 大幅提高到 45%。而以潜在感染源为衡量标准,特洛伊木马的数量占前 50 大恶意代码样本的 60%。由于特洛伊木马并不包含任何传播机制,因此它们不会像群发邮件蠕虫那样广泛扩散,但特洛伊木马经常是利用 Web 浏览器和零日漏洞 进行安装,所以只要出现特洛伊木马报告,就表明很有可能已经遭受感染。此外,赛门铁克还阻止了超过 15 亿条网络钓鱼消息,比 2006 年上半年增长了 19%。网络钓鱼攻击利用的独特品牌中,金融服务机构占 84%。
具体到木马传播的内部,从制作木马病毒到传播木马、从盗窃用户网游或网上银行账号、密码、账户信息再到转手卖钱、洗钱,不同的环节有不同的人操作,已经形成了一个非常完善的流水作业程序,形成了一条黑色经济产业链,这个黑色经济产业链正在以越来越快的速度发展、膨胀。互联网已步入了“木马经济时代”。
以前不久流行的“灰鸽子”木马为例,制作木马、传授技术、转卖“肉鸡”、盗号卖钱等环节都是由不同的人负责的。据不完全统计,仅仅“灰鸽子”一种后门所带来的直接售卖价值就达2000万元以上。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,大量的网上“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线(也就是其代理商或分销商),以辅助完成其他牟利活动。据推算,目前有2000万台电脑已成为被控制的“肉鸡”,被任意窥视和使用,甚至被买卖控制权。买家得到用户电脑的控制权后,可以获取用户电脑中的各种隐私,其中包括网游和网银账号及密码,然后就会在一些专业论坛上卖掉,以此获利。ebay、淘宝、贴吧、论坛等各个地方往往可以轻易找到那些被盗取的网银账户、股票交易账户、QQ号码、游戏币、游戏装备、裸体照片、隐私视频、私密邮件等等一切可能在现实社会中兑换成金钱的真实的或虚拟的物品。据中国国家计算机网络应急处理中心估计,目前木马黑色产业链的年产值已超过2.38亿元人民币,造成的损失则超过76亿元。这个产业链条中的从业者有大学生、高级知识分子、电脑爱好者……,随着计算机技术的普及与制作工具的增多,入行者的年龄已呈现低龄化趋势,而作案的数额也越来越高。目前所有的反病毒厂商都在不断提出反木马的举措,但是从技术上看,目前蠕虫、恶意软件、木马程序以及网络钓鱼等各种互联网威胁已经开始融合,单凭技术手段很难做到万无一失。
那么,法律能否与技术一道对木马和“木马地下经济”产生足够的遏制乃至消灭的作用呢?或者说,如果当互联网的安全防范已步入“木马经济时代”,我们相应的网络法制能否跟上,“木马地下经济”又是怎样在挑战着我们现有的网络法制呢?
首先,我们说,网络法制在对木马有关的概念界定上存在困难。目前我国的法律规定基本没有直接涉及到这一领域,而在与“木马地下经济”间接相关的一些领域,由于我国缺乏信息安全法、个人数据保护法以及关于虚拟财产认定和保护的一些基本规定,都直接导致了这一领域法律保护的薄弱。
公安部2000年4月26日发布的《计算机病毒防治管理办法》第二条规定:“本办法所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”也就是说,病毒是需要具备三个要件的编制或者在计算机程序中插入的一组计算机指令或者程序代码,三个要件分别是:破坏计算机功能或者毁坏数据,影响计算机使用,能自我复制。那么,从这个定义看,至少木马不能符合其中的两个重要条件:影响计算机使用,能自我复制。尤其是能够自我复制,经常被用来作为判断病毒的主要指标,而在这一点上,木马显然与病毒有着根本的差别。也就是说,目前我国关于病毒防治的所有法律规定基本都是不能适用于木马的。
接下来,我们还能在现有法律法规中找到的两个可能相关的概念分别是《计算机信息系统安全保护条例》第二十三条中的“有害数据”和公安部《计算机信息网络国际联网安全保护管理办法》第六条提到的“破坏性程序”。
对于“有害数据”,公安部在《关于对〈中华人民共和国计算机信息系统安全保护条例〉中涉及的“有害数据”问题的批复》(1996年5月9日)中将 “有害数据”解释为:“指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图象、文字、声音等多种形式表示的,含有攻击人民民主专政、社会主义制度,攻击党和国家领导人,破坏民族团结等危害国家安全内容的信息;含有宣扬封建迷信、淫秽、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序(含计算机病毒)。”从这个定义看,与木马有关联的似乎只有“危害应用软件、数据保密性”这一块,虽勉强沾边,但显然过于笼统,操作性很差。对于“破坏性程序”,由于没有找到更具体的解释,难以作出判断,但如果只是顾名思义,恐怕比“有害数据”更难适用于木马。
而其他的我国信息安全领域的重要法律法规,如《电子签名法》、《全国人大关于维护互联网安全的决定》、《计算机信息网络国际联网管理暂行规定》、《互联网安全保护技术措施规定》等,也都没有这方面的规定,只是《全国人大关于维护互联网安全的决定》提到了“利用互联网进行盗窃”这一危害财产安全的具体违法犯罪形式。不过,最后在刑法层面,我们还是能够找到原则上可以涵盖的一个很有力的条款,那就是第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”
1
2
下一页>>
