我们也雇个黑客用用？

黑客丝绸之路

在留言板网站HackForums.net上，用户公开打出提供入侵计算机和在线账户、用拒绝服务攻击令服务器宕机、挖掘陌生人个人信息等服务的广告，所有服务均需付费。黑客们通过一套评级系统进行排名，声誉极高的用户甚至可以提供“中间人”服务，以第三方担保方式托管密码货币，直到卖家完成承诺的任务再行付款。

我从不乱打听。因为我不在乎。我只给他们一个警告：将远程管理木马用于非法用途会导致牢狱之灾。

网站上一篇注册地在开曼群岛的帖子中称：“我能帮你找人，把他的全部信息呈现给你(电子邮件、即时通讯账号、社交账号、位置、电话、家庭住址等等)。我可以帮你黑掉他的电脑，拿到所有文件、键盘记录、网络摄像头视频——他系统中的任何东西。根据你的需要，我可以把这些东西传到你的RAT上，这样你就可以耍他玩了。”RAT即远程管理木马(remote administration trojan)：一旦偷偷安装到你目标的电脑、平板电脑或手机上，你就可以全权接管这台机器的所有操作，你可以查看文件、截获键盘敲击等等。

一位昵称Hax0r818的论坛用户在Skype聊天中称，他提供的服务就是培训RATs新手用户，每年大约有300名左右的客户。“我只是帮他们入门，因为RATs本来就不是用作黑客活动的，是父母用来检查自己的孩子们都在网上看些什么的。”他写道，“我不问他们任何问题，我不问。因为我根本不在意。我只给他们一个警告：RATs用作非法用途会导致牢狱之灾，并让他们同意我的条款。”

Hax0r818只愿意透露他是21岁以下的未成年人，生活在澳大利亚。他提供RAT新手工具使用培训以及用于实践的测试用虚拟机，每月仅收取5美元。

在通过表层网络可访问的网站之外，还有十几个只有用Tor浏览器才能访问的深层网络市场，名字形如Hell、Agora、Outlaw和Nucleus，提供RATs和其他黑客软件与服务，用比特币进行交易。

“我16岁就开始经营黑客和社会工程活动业务了，从没有过一份真正的工作，所以我有大量的时间修炼黑客技术，过去20年左右我赚到了不少钱。”暗网网站Hacker for Hire的拥有者如此写道。这家网站经营范围包括“搞臭个人、盗取信息、搞垮网站”，收费根据工作量大小低至200欧元高至欧元。“我以前曾经给别人打工，现在我也依然为每个付得起钱的人提供个人服务。”

戴尔SecureWorks去年12月份的一份报告称，诸如darkcomet、cybergate、predator pain和Dark DDoser等远程管理木马的通常价格在20～50美元之间。相比去年这类软件高达50～250美元的售价，价格明显下降了许多。(价格下降的原因可能与某些RATs源代码泄露有关。)黑进网站的价格也下降了不少，最高价从300美元下降到了200美元。

网上黑客服务价格

去年5月在纽约公开的一份联邦起诉书中透露，一个名为黑影(Blackshades)的RAT研发组织通过在黑客论坛和自家网站上以40美元一套的价格向全球数千名买家售卖RAT，在4年间收益超35万美元。官员称，RAT客户用这些木马软件偷取金融信息，通过网络摄像头监视毫无疑心的受害者。

曼哈顿律师普瑞特·巴拉拉说：“RAT便宜又易于使用，但功能强大，侵入性令人惊叹。”这位律师的调查活动是史无前例的全球性调查中的一部分，迄今为止已成功逮捕了超过90名网络罪犯。

售价可高至3000美元以上的黑客软件本身并不违法，还能被用于从事远程服务器管理和监控公司电脑之类的任务。但实际上，这些软件工具包和相关的服务常常被用于欺诈、拒绝服务攻击或是网络入侵。

“只要非授权进入别人的计算机系统，动了人家的任何东西，都是违法的，那就是犯罪。”计算机取证专家，佛蒙特州尚普兰大学副教授乔纳森·拉耶夫斯基说。

黑客软件和漏洞利用代码游走于法律边缘

斯坦福法律讲师梅耶尔认为，黑客市场游离于法律边缘。网站通常不用为用户的违法行为负责，但触犯联邦刑法就是另一码事了，比如说违反了《计算机欺诈和滥用法》这部监管黑客活动的法案。这使得黑客市场的运营者可能面临共犯或同谋的指控，有可能让他们蹲班房。

黑客与毒贩共襄盛举，互联网上最为臭名昭著的犯罪市场丝路(Silk Road)的运营者被控共谋黑客攻击及其他6项罪名。名为“货真价实”(TheRealDeal)的另一个新兴暗网市场同样通过匿名Tor网络运营，专注于漏洞利用代码，网站服务声明称其除了儿童色情、人口贩卖和“涉及谋杀的服务”之外，什么都可以出售。

近期提起控诉的黑客雇佣案件：

去年，前纽约市警探埃德温·瓦格斯(Edwin Vargas)因采用网上黑客服务监视其前女友被判入狱服刑4个月。

3月初，纽约私家侦探埃里克·萨尔达里亚加(Eric Saldarriaga)面对联邦黑客行为谋划的指控承认其有罪。检察官指出，他曾雇佣网上黑客服务侵入其客户对手的数十个电子邮件账号。

4月，宾夕法尼亚兰开斯特县的扎卡里·兰蒂斯(Zachary Landis)被控通过克雷格列表网站(Craigslist)雇佣黑客入侵县法院系统抹去其罚款和法庭费用。经过卧底侦查，目前他面临7年刑期。

上周，美国商务部公布了一份可能要求全球范围内出售未公开零日漏洞的人必须持证营业的提案， 该提案将入侵软件，连同其他“两用”事物，归类为潜在的武器。(回复“代码武器”查阅相关文章)著名安全厂商赛门铁克的一份报告称，去年，野生零日漏洞数量达到了空前的24个之多。

新法应该会帮助执法部门对抗黑客黑市，但也有可能给一些公开售卖入侵软件和软件漏洞的公司造成妨碍。法国安全公司Vupen标榜自己是“攻击性网络安全”提供商，为包括美国国家安全局在内的客户提供能入侵广泛使用的软件的技术，从微软Word字处理软件到主流网页浏览器到苹果iOS，入侵技术服务费用最高达10万美元每年。意大利公司“黑客团队”(Hacking Team)曾向美国联邦调查局出售RATs。其他买卖漏洞的公司包括渗透测试公司Netragard和网络漏洞监管公司Endgame,还有像诺斯洛普·格鲁门(Northrop Grumman)和雷神(Raytheon)公司这样的大型国防承包商。

最近的估计预测工业间谍和其他数字犯罪将令公司企业每年损失数千亿美元。波耐蒙研究所的一项新研究发现，被黑的企业受害者每条受侵害记录的平均花费在2014年上升到了154美元，比上一年增长了8%。