📖 ZKIZ Archives

操縱比特幣，玩弄美聯儲：黑客已經掌握左右市場經濟的力量！

Bitcoin價格在筆者寫《兩年成長兩萬倍，最划算的投資- Bitcoin》一文時，「只」有47美元，日前一路狂漲到最高點266美元。

隨著交易價格水漲船高，各大Bitcoin交易平台也相繼受到駭客的DDoS(分散式阻斷)攻擊，導致價格跌蕩。在南北韓局勢緊崩之際，南韓也傳出受到北韓網軍攻擊，經濟損失難以估計。

黑客在狙擊實體經濟上一樣活躍。最近美聯社Twitter 帳號被駭客盜用，發出奧巴馬被炸彈客攻擊受傷的假消息，造成股市瞬間暴跌。當日常生活越來越依賴網絡，網絡攻擊就從無傷大雅的玩笑，轉變為一種實體戰爭，更成為有意者獲取暴利的手段。

黑客從為了好玩到為了獲利，從單打獨鬥到團隊合作，讓筆者帶讀者一窺這些不為人知的地下經濟活動。

黑客集團的獲利循環

Bitcoin 最高曾可兌266 美金。若以知名的Pizza 指標來看，當年不到500元賣出去的兩塊Pizza，如今已值7千9百8十萬元台幣。駭客集團眼見利益龐大，當然不會放過發財的好機會。

註：每個人對黑客有不一樣的見解，有褒有貶。筆者的重點不是名詞，而是行為，由讀者自行解讀。

不久之後，各大Bitcoin 交易平台都同時發生了嚴重的交易延遲，造成了許多人害怕無法脫手Bitcoin，瘋狂拋售，價格一落​​千丈。這一切正是黑客集團所致。

黑客集團在價格最高點賣出手中所持有的所有Bitcoin，接著對主要交易平台發動攻擊，讓投機客大量賣出進而讓價格暴跌。此時黑客集團再大量收購被拋售的便宜Bitcoin、停止攻擊，讓交易回穩，等待價格回升時再大量賣出。如此重覆循環來獲取暴利，如下圖：

黑客攻擊也要成本

但此類的價格操控並非穩賺不賠，因為DDoS攻擊並不是免費的。

常見的DDoS是透過殭屍網絡(Botnet)，也就是用惡意程式感染大量一般大眾的電腦，利用這些電腦攻擊。一般殭屍網路出租是以小時計價。規模越大收費越貴。因此殭屍網路的收費就是發動攻擊的成本。

其他操控Bitcoin 的手法還有「短時間送出大量小額交易」等。然而這些手法仍然需要持續花費(手續費)。總之，攻擊需要燒錢，肯定無法持久。

除此之外，狼來了喊太多次，大家終究會習慣，開始認清平台癱瘓只是放羊小孩的把戲。當投機客懂得靜觀其變而非瘋狂拋售，攻擊者很難從中賺到錢。

另外，其它黑客集團的加入會使得狀況難以掌控，因此價格操控還是有相當的風險。黑客手法還在不斷演進中。

好萊塢的黑客太帥了

黑客操控Bitcoin 只是駭客經濟的冰山一角，實際經濟規模遠比你我想像的還要龐大。

好萊塢電影與漫畫常描寫黑客一個人在極短時間內，控制各種重要的設施來摧毀世界。但那種劇情早就落伍了。現實中，這些人是有組織地以獲利為目的進行著地下活動。

會有這樣的落差，是因為這二十年來，黑客的本質有了很大的改變。

從為了好玩到為了獲利

一開始，有一些精通電腦技術的人，為了好玩和證明自己能力競相在網絡上大展身手，以攻破困難的目標為樂。當年資訊安全的概念尚不普及，許多設計也只防君子不防小人。

當時在電腦、網路上交易的資金也相對有限，因此利益不大。那時為了獲利而攻擊的人並不多見。

隨著網絡人口與投入資金的暴增，漸漸地有更多人發現他們的能力可以賺錢。網絡產業的成長同時也帶動了地下經濟的成長，更多的地下商機吸引了更多有天賦的年輕人。由於網路上暱名和無國界的特色，懂得隱藏自己的人被逮到的機率微乎其微，自然有更多人加入黑客的行列。

從單打獨鬥到團隊合作

原本獨來獨往的黑客們，在獲利的大旗下開始合作。網絡技術的發展也一日千里，不再是一個人可以完全掌握，自然也出現專業分工。

舉例來說，假如你發現一個軟件中的漏洞，利用這個漏洞你可以控制成千上萬的電腦，你會怎麼做?

1.好人：無償告知該軟體廠商

2.回饋：收錢告知該軟體廠商

3.黑客：利用該漏洞來牟利

4.商人：賣給第三者牟利

其中，轉賣給第三者是最方便、獲利高、風險又低的方式。

正因為如此，軟件漏洞的知識交易市場已經相當龐大。買賣的並不只有黑客，還包括政府情資單位、網絡業者、軟件商等。

讀者或許有聽過Google 提供高額獎金，懸賞發現漏洞並獨家回報的人。Google 此舉並不是做慈善事業，而是與地下市場的其他買家們競價。與其讓軟體漏洞被惡意攻擊者買走，不如軟件廠商自己買走。

公開市場的出現代表相當的專業分工。除了軟件漏洞被做為商品販賣，還有很多像是被盜的遊戲帳號、Facebook 帳號、Twitter 帳號、信用卡號碼和個人資料等等，各種市場不勝繁舉。讀者遇到朋友的臉書帳號被用來詐騙，很可能就是從地下市場中被詐騙集團買走的。

恐嚇與勒索：你買不買單?

黑客們也恐嚇與勒索。最近一家線上Bitcoin商店收到了「DDoS incoming unless you pay $5,000」的恐嚇信，意思是「除非你付$5,000美金，否則準備接受攻擊。」信末還附上一張圖片。比較另一家受害者的損失與勒索金的比例。

沒想到，這家Bitcoin 商店不但不付錢，反而懸賞$5,000 美金抓這位攻擊者。換做是你會付錢嗎?我不會。甚至我直接忽略這樣的信件。

因為DDoS 攻擊必須持續燒錢。如果駭客執意發動攻擊，例如攻擊24 小時，規模為每小時100 美金，那麼駭客的成本就是2,400 美金。我方就算遭受到一時的損失，對方也終究會停止燒錢攻擊。整體來說雙輸，兩個傻子互毆一拳，誰也沒得到好處。

如果對方真的要展示攻擊的決心，應該在攻擊的同時勒索。既然沒有，就沒什麼好擔心的，除非對方是為了商業競爭。那往好處想，有人願意花錢攻擊你表示你的網站成功了。

當然，攻擊者也不是愛燒錢的笨蛋，他打的是另外的算盤：只要大量寄恐嚇信，總有一兩個不懂的受害者願意付錢。這樣攻擊者就賺到了，畢竟寄信成本幾乎是零，獲利仍然不斐。

預知市場不如操控市場

操控Bitcoin 市場可以嘗到甜頭，那如果操控現實市場呢?

4月24日，美聯社的Twitter帳號被黑客盜取，發出了奧巴馬因炸彈攻擊而受傷的假消息。消息一出，特別是在波士頓暴炸案的影響噹下，造成道瓊工業指數下跌1個百分點。如下圖所示。

不過這麼做相當危險，因為有價證卷交易大多有資料可查，暱名性遠不如Bitcoin 交易。過度精準地在這樣的事件中賺取暴利，可能反而會引發相關單位的關注。

這只是個開端，是時候該俱備網絡戰爭的新思維

世界上任何安全措施都有可能被攻破，問題在花多少成本。因此到底該做到多安全?其實這些都是成本與風險的考量。要考量的條件有：

1.攻擊可能造成的損害

2.防禦攻擊的成本

3.攻擊者能得到的好處

4.成攻攻擊需要的成本

假設你經營了一個社交網站，針對個資外洩的攻擊，做出了這樣的評估：

●被攻擊損害：500萬

●防禦成本：100萬

●攻破獲利：3萬

●攻破成本：10萬

此時投入100 萬元防禦是合理的。因為攻擊你的網站要花10 萬元，但賣掉你網站上的個人資料只能賺三萬元。大多數攻擊者都會打消念頭。

我們再來看另一個狀況：

●被攻擊損害：10萬

●防禦成本：50萬

●攻破獲利：3萬

●攻擊成本：0

在這個狀況中，投資防禦不划算，因為50 萬元的防禦只保護了10 萬元的風險。

此時選擇簡陋的的安全設計，例如用缺乏資安概念的程式設計師設計網站，使網站對最基本的SQL隱碼插入攻擊(SQL injection)都疏於防範，自然會產生資安問題。

上述例子只是解釋攻防之間的成本與花費，實務上這些成本很難量化。被攻破的損失不只是賠償，還損失了使用者的信心、商譽等，都很難估算。同樣的，也很難計算投入的防禦成本​​是否真的能反應在防禦能力上。

許多人低估了被攻破的損失，或是過於節省防禦成本、沒有資安觀念，導致資安事件頻傳。網站我的密碼沒加密中，列出了許多使用者密碼沒加密的台灣網站，不乏知名公司與政府網站。從此就能看出這問題的嚴重性。

資訊安全最重要的關鍵，還是在人。有正確的資訊安全觀念，找到對的人，投入適當的預算，細心的實行深度防禦的策略，你可以不必成為黑客眼中的肥羊。

隨著網絡規模持續成長，滲透至生活上每個角落，網絡攻擊者能獲得的利益就更多。這些事件只是個開端，網絡攻擊在將來會更加頻繁，地下的黑客經濟體只會成長不會減少，該是俱備網絡戰爭的新思維的時候了。