黑客访谈揭秘：网络犯罪技术与勒索软件内幕

Intercept the planet!

среда, 18 августа 2021 г.

🎤КИБЕРФАШИЗМ | ВИРУСЫ | КАРДИНГ | ИНТЕРВЬЮ С HangUP | ЧАСТЬ 2🔥

这是访谈的文字版本。视频版本可在YouTube上观看。

几年前你们的首页上一直挂着纳粹标志和英文标语"千禧网络法西斯"。请谈谈网络法西斯主义的本质以及这个想法的来源。
网络法西斯主义是LovinGOD喝了几瓶"波罗的海"啤酒后发明的意识形态。本质是IT专家被宣布为新千年的超人。他当时喝了不少啤酒，因为文本量很大。只有用同样的方式达到特定状态或头脑不太正常的人才会认真对待这个。但其中也有合理之处——为什么拥有深厚知识的人要在办公室为微薄薪水打工，为明显更愚蠢的人工作？为什么要让自己变成服务于数据库的愚蠢附属品？既然IT技术已成为一种独立的权力形式，可以直接从金融系统中提取资金来获取自己应得的。实际上在我们看来，网络法西斯主义就是信用卡欺诈的意识形态。网络上有文字版，就叫"网络法西斯主义宣言"，他是有才华的作者，写得很漂亮。
你还有网站上那个纳粹标志的图片吗？网上没找到…
某个地方有，但网上应该也有。有本书里甚至直接有网站截图，好像叫Ken Dunham和Jim Melnik的《恶意机器人》，还有《致命系统错误》（不记得作者），还有另一本。原则上还可以参考KingPin，它有俄语版。里面提到了很多我认识的人。
你对之前被捕的信用卡欺诈者的活动感兴趣吗？比如帕沃维奇在YouTube很活跃，霍罗霍林也有些活动，斯米利亚内茨采访各种黑客。
不感兴趣。我们和Policedog好像没有往来，和badb也没有直接联系，虽然我研究过他网站上的一些信用卡文档，但考虑到我经营代理服务，原则上可能有某种互动。实际上所有引人注目的引渡案件——要么认识要么甚至深入交流过。你看，我们总是以某种方式相互关联，比如Scorpo认识Gabrik，Gabrik认识Flint，而我和Flint有过深入交流。这么说吧，FBI网站"网络犯罪通缉令"上"荣誉榜"的一半要么是我的客户，要么是熟人，要么是同事。
除了你自己，2000年代HangUP圈子里有多少人坚持到今天？
没有。你在IRC上看到的那个阵容在2002-3年就结束了，虽然称其为"团队阵容"可能不对，因为如果以在IRC频道混为标准，那连你也能算进团队，你甚至给杂志写过文章。人员变了，你2004年前见过的人没有一个"坚持"下来，甚至到2003年也没有，即坚持到做出点像样的事情。更合理的"团队成员"标准应该至少包含某种财务关系。不过也有互动，某人虽不属团队但实际上贡献很多，这其实是个很模糊的话题——界限在哪？
你们那边情况不明，在我的经验里，加入团队是"正式"活动，即创始人宣布我们有新成员。
你看，实际上信用卡欺诈社区的关系，当有人来买东西时，比那种可疑的成员身份更紧密。某种程度上互动如此紧密，有时很难区分一个团队从哪里开始，另一个在哪里结束。因此老外也搞混了，把所有人都归入Hangup。就像电影里Goblin的翻译——“这是谁？——塔利班，给所有抓到的人发长袍、戴圆帽，行割礼，然后登记为塔利班”。各种记者、调查员也是如此，把谁都写进HT，比如76service、Flya和他的托管服务，以及Russian Business Network。
我更多指的是另一方面，总还是有个初始核心团队，但你说过其中没人走向未来，而纯商业往来的人，似乎不算成员。
正是如此。那时团队的概念也已经消亡，实际上有效的团队是动态的，临时联合——一个月、一年或几年。举个例子：我们发布的Lsass蠕虫，其Lsass模块是由一个形式上不属于团队的人安装的。你或许能猜到是谁。
Zombie?
和Zombie交流很密切，但他不算团队成员，顺便说下，他在网站顶部放了Hangup的链接。我怀疑这排列是偶然，但杀毒厂商肯定气疯了，文本链接就在29a链接上面。
关于Code Red能说些什么？
原则上我可能知道作者是谁，但不会说，跳过这个敏感问题，只能说不是我。
好的。和外国人有过交流吗？和外国黑客。
主要是和外国客户，其中有些人计算机素养并不高。他们怎么工作的不太清楚，但他们很笨，最麻烦的技术支持就是老外的，完全不是因为语言。比如把.vir文件重命名为.exe——这简直是史诗级任务，因为他们文件扩展名隐藏，用资源管理器查看，找不到也搞不懂如何显示扩展名，没有这个他们就无法重命名文件，有时甚至需要他们发截图，然后一步步解释。
现在肯定会录视频了。
那时带宽不允许视频，而且后来也熟练了如何解释典型问题。
我采访过负责Andromeda支持的Ar3s，他说以色列某个白帽公司想买Andromeda用于方便更新客户机上的软件。你的实践中有过类似的疯狂请求吗？
你看，我没有查客户护照的习惯，所以通过间接迹象，可以说我的软件被各种情报机构使用。它非常适合工业间谍，有几次我被叫去支持面板，作为卡贩你能看到那里的活动与金钱无关。
这是旧软件还是现代产品？
我有很多软件，我写的是其中之一，至今仍被使用。甚至旧僵尸网络也有惊人的生命力，僵尸网络能自我维持多年。也就是说，五年后拉起域名还有僵尸连接的情况并不少见。
这很可能是某些半死不活的政府部门或个别退休人员…
不，问题就在这。病毒技术能做到很多，可以说在我的测试僵尸网络里（已调试多年），我没有补充过僵尸——但它一直没耗尽。当连接成功率几乎降为零时，这是个有用的特性。
现在是否存在大规模利用浏览器漏洞的流量市场？像以前那样，订购每天10万台的植入。
流量市场存在，能去哪呢？但这得问客户，而不是问我了。
关于垃圾邮件市场能说些什么？它还活着吗？
奇怪的是，还活着。不是百万量级的发送，而是定向的，用于渗透某个公司。
在我看来，现在要让邮件进入收件箱，必须从某个真实账户发送，而不是从开放中继。
我知道有人做这个。
能说当前的垃圾邮件只来自被盗/破解的账户吗？
他们技术上怎么做是另一个问题，可能确实用账户，也可能找到了更好的方法。
好的。你是否是某个APT或FIN团伙的成员或创始人？
不是，但有些这类团伙的人是我的客户，顺便说现在是信用卡欺诈的第二个黄金时代。收入甚至比2000年代初还高——当然不是对所有人。真的有人月入数百万美元。不是开玩笑。第一个黄金时代是当没有双因子认证且ATM不严格检查磁道时，是超高利润时期。现在甚至能赚更多，为年轻一代高兴 ;)
按月还是按年？
更像是按月，但赎金数额有时会公布。
什么赎金？你指勒索者？
你读新闻吗？比如Garmin网络被黑带加密锁。
这是另一个话题，不能称他们为卡贩，具体指什么？
“信用卡欺诈"不仅指处理卡片，而是整个IT欺诈，勒索软件也属于其中。术语上，僵尸网络不直接关于信用卡欺诈，但实际上有关。信用卡欺诈社区包罗万象，从代理和DDoS服务提供商，到卡片数据和勒索软件。
那么按你的说法，任何为卡贩写代码的程序员也是卡贩？
至少属于社区，程序员根据参与程度，如果多年在这个圈子，那么基本上是的。而且不可能有人在这个圈子多年却一次都没尝试过什么。“卡贩"这个词是历史形成的，但实际上应广义理解。
明白。
关于具体人物，你明白做勒索软件的人不是从真空里冒出来的，而是来自同一个社区。
但这点有争议…
这次我知道在说什么，虽然总有例外。
你同意吗，从技术角度看，勒索软件绝对拙劣？即任何经典木马都比勒索软件技术复杂。
完全不同意，现代样本非常复杂。实际上我刚好就这类问题咨询过一个人…
你大概是指绕过UAC和其他保护机制，考虑到现代环境…
不，我整体上说，那是技术含量很高的产品。
技术在哪？扫描磁盘文件、加密、删除可能副本？
首先，加密本身——非对称密码学、与用户通信、局域网传播、搜索备份、自动接收比特币等等…
局域网传播怎么回事？扫描可用共享并覆写文件？
有不同变种，但也包括共享+漏洞利用。
比如内置了eternalblue？
这么说吧——单是处理杀毒软件让它不被发现就足够复杂了。各种级联加密之类的玩意，绕过模拟器等等…
但这对任何恶意软件都是额外开销。你同意吗，加密器本身技术层面并不复杂？
你看，在这个行业最近几年这些额外开销占了所有成本的90%。
对，我不是指额外开销，而是勒索软件的本质。
这么说吧，试试自己写个大数学模块用于加密，比如RSA，光这个就够你忙得不可开交了。
为什么要自己写？
为了不携带各种垃圾。
OpenSSL可以忍受…
我为自己的软件做过类似模块，包括密钥生成和调试花了几周。有很多不显而易见的东西，相信我，我认识在这领域工作的人，他们是优秀的程序员和专业人士，他们的数百万美元是应得的。
那么按照网络法西斯主义理念，勒索软件可以接受？
完全可以，这种赚钱方式比其他网络犯罪赚钱方式差在哪？
它有点太像街头抢劫，有人多次提议我，我都拒绝了。
街头抢劫实际上是抢劫罪，不太明白你的意思 ;)
我打个比方，觉得它原始、直接、粗暴…而且不知道谁会倒霉。
这么说吧，从银行账户偷钱时，也不太看是谁的钱，从卡片偷也一样…
只是有过锁屏木马的时代——数据没丢，有经验的技工可以通过安全模式解决，而这玩意儿是灾难…
没什么根本区别，锁屏木马是小打小闹，这些家伙针对公司，即先攻破网络，感染，然后一声令下几小时内整个网络连同备份都被锁住。销售停止，文件被窃威胁公开。如果不太贪心，公司倾向于支付，总之这不简单。
敏感话题，我不太喜欢。
我们这是自由国家完全民主——想偷卡片就偷，想搞在线账户就搞，虽然我认为没根本区别。反正都是从别人口袋里掏钱。我好奇这话题哪里让你不安？比如卖Andromeda有什么根本不同？
对我个人来说，这是太直接和肮脏的抢钱。
用同样的Andromeda加载东西，结果一样，只是在你和欺诈目标之间多了层缓冲，额外的…
中间人和执行者/客户是两回事。
是良心安适的问题？
昨天我Telegram聊天里冒出个人，说想在欧洲拍卖骗人，比如卖iPhone打五折，纯诈骗…
主要是在欧洲，在我看来小打小闹，但随他去吧——普通骗子。
我把他屏蔽了，因为我鄙视这种人，他们一无是处，毫无知识，却被称为网络罪犯。
你知道以前有"实物信用卡欺诈"吗？也叫实物骗局。
知道，在商店刷假卡。
eBay到现在还有人搞，上架不存在的商品。我自己没做过，但知道大致情况不简单，首先得弄到可信的Powerseller账户…所以我觉得如果我想试也未必成功。关于技术简单性的判断可能非常错误和仓促，另一方面我觉得不值得，但如果有人展开，月入1万-2万-3万是可以的。
我们各有观点，我说我的，这话题无论如何都敏感。
有句话"你不判断人，就不被判断”，意思是做价值判断很有风险，人脑能力不太够。比如拿杀毒厂商来说，他们看世界像幼儿园小孩——黑白分明，善恶对立。Group-IB（如果相信萨奇科夫）办公室里甚至挂着好莱坞超级英雄海报，那些把内裤穿外头的，每个员工选一个。卡巴斯基直接写"我们拯救世界”。到处有例外，但问题不在这，这些人他们根据什么标准把现象分为善或恶？
他们有公司政策和道德规范)
比如有人偷了钱——这是善还是恶？怎么理解…我想说的是，要做这种结论，什么是善什么是恶，至少得知道生命的意义，这问题很模糊，不同人群的价值观体系可能很不同。
从生物学角度看，这是不惜任何代价生存的问题。
生物学不讨论善恶，我个人希望我对Group-IB和卡巴的印象是错的，否则——很可悲，世界观如此原始的人负责国家相当重要的功能…
你说不喜欢勒索，觉得像街头抢劫。
对。
因此有个合理问题，你在逻辑层面是否意识到，卖加载器、我的木马、勒索软件和巷子抢劫本质上差别不大。
对每个具体人来说有差别，基于他的世界观。本质上到处都可标上"犯罪"。
试着逻辑阐述一下，比如勒索软件和卖Andromeda有什么区别。
我明白你的意思…
就是说你意识到这很大程度上是纠结？背后没有真实逻辑，只有情绪，很难论证。
对，这次是我个人不喜欢勒索软件，虽然能为网络犯罪其他部分辩护。这正常。就像喜欢一个音乐家但不喜欢另一个，虽然他们都搞音乐。
如果你意识到这是扯淡——那就没问题。糟糕的是你不承认是扯淡，还坚持是终极真理。
不，没问题。这只是我的个人观点。
个人偏好可以任何，对我来说必要时街头抢劫没有心理障碍，当然如果没其他选项。
嗯，你在特定环境和情况下长大，很可能别无选择，我在不同环境长大，对同样事物有不同看法。
生活方式留下烙印，风险很多，我不得不带着卡片跑ATM，进行近乎实际特种行动，这需要相当坚强的神经。有次在某个国家，我买了摩托车，从卡片取现——客户转账的。纯转发磁道信息，我写到磁条卡上去ATM。总之我刚取出一沓钱（40张，一次最多取这些），转身发现两个警察在后面，都带枪。一个拿泵动式霰弹枪，另一个胸前挂UZI类的东西。我想完了，冷静地把钱放口袋——他们看着，右手放另一个口袋——我有把磨尖的螺丝刀，距离近——泵动枪不方便转动，总之警察先动了下，然后瞄了我右手一眼，没行动。我平静地走出去，骑上摩托走了。可能以为那是枪。
起初以为可能是以色列，但以色列警察我觉得不会怂。
不，不是以色列。总之类似事件很多。
搞笑的是我当时戴全盔，只露眼睛，脸都看不到。我凭经验知道攻击前瞳孔直径会变，可能警察也知道。总之由于真实风险太多，我完全不喜欢各种惊险游戏、恐怖片之类，这是办公室 plankton 的娱乐，他们生活太乏味。
关于纠结和勒索软件，你得承认对我们这行这种纠结显得极其奇怪。
我不会说特别奇怪，但勒索软件对我来说不太行，有种排斥，就像用Python写的Windows木马。
最好至少自己搞清楚根源，因为潜意识动机可能导致麻烦。一旦你停止意识到部分行为——风险就倍增。
我举Python木马例子不是没原因，总有种分级，用C/ASM写——牛，用Pascal或JavaScript——一般。指某种水平、“精英主义”…
可以这么说，每个工具在特定环境适用，完全可能有地方程序员用Python干活，在那里插入这种木马混在其他脚本中很合适。
我不争论，这是实践细节…
一切都取决于环境条件，看，任何关于精英与否的判断都一文不值，因为用什么标准衡量精英和相对于什么完全不清楚。如果认真搞这些，会堕落到"卡巴斯基实验室"水平，口号"我们拯救世界"（救什么不清楚，也没人要求救）。最好解释清楚，这样能理解很多行为逻辑，善恶不存在，对个体是善可能对全社会是恶，反之亦然。实际上所有这类价值判断——该进垃圾桶。
这样可以为任何行为辩护，置身事外，直到杀人，说那人有他的动机…
当然，但这里有趣的是别的。如果我们不能客观分类某个行为是善是恶，为什么要谴责它？这根本不可能…
我们可能陷入讨论毫无结果，你我都不傻，我理解所有论证。
想补充个例子，既然你涉及网络法西斯主义和意识形态。看——某台机中了我病毒，乍看是明显的恶，但我当时在论坛读"用户反馈"，发现有人因此找到系统管理员工作，当他对抗蠕虫时。另一个甚至认识了女孩成功结婚，第三个提升了知识…我们行为的后果像水中涟漪扩散，评估某事为善或恶——非常非常原始。承担这种评估的人，实际上自以为神，能推算所有这些多步后果，类似例子很多，但我想你已明白，而卡巴斯基口号"我们拯救世界"更像是该去看精神病院的指征，如果真信他在拯救什么..
按你的说法，任何执法系统都自以为是神？
不完全是，警察不负责善恶分类，它有其他功能。即警察会抓你，有时并不认为你的行为是坏的。
我指制定法律的法院和国家，然后警察才是执行者。
对，但这某种程度上只是价目表，如果有人试图抢我，我会毫不犹豫砍人，不考虑善恶，也不会怪他是恶人。
这更简单——不是你死就是我亡。只因涉及你个人。
本质不是取消警察，需要警察。本质是不要像白痴一样给现象贴愚蠢标签。
从国家角度看，Avito诈骗是犯罪，而你提议不要贴标签。
对，提议不贴，但不提议不抓。
即国家承担了神的功能，而按你的观点Avito骗子没问题，我们得出这是你个人观点。
同样我一点也不反对杀毒活动，只是不应做价值判断，因为人类理性弱，无法推算复杂现象。同一事件一年、两年、三年、十年后可能解读不同等等…
我有个下一个问题。
说，炸了。
我记得一个时刻，当电影《Boomer 2》上映时我们通信，你当时指出许多观众没注意一个角色的台词——“Vovka，你不需要这样的车”，这梗在我聊天里不时出现，当某个菜鸟问关于Intercepter的基本问题，就回他带这句引用的图片，但问题不在这。我知道2000年代卡贩常与真实犯罪有联系，因为卖赃物给匪徒。你有过这种接触吗？
有，和匪徒有接触，且远非总是愉快。事情发展到某个时刻不得不建立自己的保安队，带武器和特种装备。钱花得可怕，但至少活着健康。后来一切慢慢消散就解散了。
是什么问题？
这我没法清楚讲，以免透露太多细节，但通常，离不开女人。
自己不得不向谁开枪吗？
有段时期我几乎连续两年外套下带武器，而且不是手枪。有次警察刚看到拉链露出柄，什么都没说，真的，装作没看见。
如果不是手枪，那是什么？
大点的，不细说。
是哪年的事？
大概2005-2007。这类事后我有种感觉，警察直觉知道哪里不该介入，我那段时间紧张——有直接生命威胁，即如果他过来找茬，我紧张状态下会放倒他。我当时差点被干掉，真的在边缘徘徊，之后甚至有点尊重民警了，什么直觉！
这都是因为网络犯罪还是你卷入了别的事？
不，和网络关系不大。
你怎么称呼自己？黑客、病毒编写者、卡贩还是其他？开始想成为什么？几十年后实际成了什么？
更喜欢术语"卡贩"，广义理解，但这只是偏好。试图分类通常没好处，尤其复杂事物，而想成为宇航员——在幼儿园，成了什么，这问题很大…
我记得你帮我学汇编，解释过置换技术，你在产品中用了吗？对LLVM怎么看？
用，现在也用，确实能改变签名——自动干掉约60%杀毒软件。LLVM你指虚拟机？我理解对吗？
对，将二进制代码转换成某种抽象，修改后重新编译成二进制。
这技术对恶意软件无意义，杀毒厂商会开始检测解释器、虚拟机引擎本身，即浪费精力资源。
不不，是另一回事。有现成工具能将现有二进制转为中间表示，实质反编译，然后可修改逻辑如置换，再汇编成二进制。无需自己反汇编别人代码。
这没什么特别好处，且费大力。为复杂而复杂不是好策略。
可以举另例，假设有ASM源码，在源码级"置换"比二进制容易，而这技术据说能从二进制得某种源码，改后再转二进制，至少宣称如此，但我不信比普通反汇编有根本优势，且经典的数据代码分离问题仍在，总之我没遇到过所以问。
如果ASM，为什么要源码？处理二进制ASM更容易。当时Zombie做了Mistfall引擎，能反汇编、感染、再汇编。
一切从此开始，我后来做了自己实现…
总之一半文件上工作且bug超多。总之这概念远离现实。对我没特别意义，我的软件多数杀毒厂商建议不治疗，而是格盘重装系统，甚至用光盘启动治疗有时也不救，因为不是所有文件被发现，之后系统再感染。
有争议的问题，置换还是变形，你看到区别吗？
基本没有，实践层面。我是实践者，随你怎么叫。
我习惯称改变指令为等效指令的技术为"置换"，后来术语"变形"更常用。
这是传统叫法，从病毒杂志开始。置换就置换…可能有区别，变形可能意味它自己发起变异即变异引擎在体内，而置换完全可能是外部对对象的动作，即体内无变异引擎，有区别吗？;)
这都是过去年代的争论…你从一开始就不喜欢西方，为什么？这些年意识形态有什么变化？
与其说不喜欢，不如意识到在进行战争，冷战从未真正结束，以其他手段的战争——经济、外交，但后果丝毫不减。经济上扼杀国家，让养老金领取者像90年代俄罗斯那样饿死捡瓶子。比如制裁…伊凡雷帝时就首次实施，即这是几个世纪的历史，看不到尽头。白俄罗斯90年代过得软得多，乌克兰也是，很轻松，所以没变聪明。俄罗斯是真的可怕，我城市遭火箭筒轰，真有东西爆炸…因此任何针对西方的欺诈在我看来都合适可取，甚至对医院勒索攻击致人死亡。实施经济制裁时，他们不太关心我们这边的人受害，医疗和社会支出削减会导致人死亡——可能成百上千，所以我也不打算同情他们。
对西方的恨是否成了为自己网络"行动"的单独辩解？
我不是恨他们，只是算计，如果FBI抓我——没宽恕，保证30年牢狱。投降都没意义，我这年龄等于死在狱中。不如逮捕时尝试带几个一起并挨枪子，所以他们也不会对我手软。
你浪费过钱吗？买车、女人、奢侈品？毕竟2000年代赚的钱不那么容易花完。
有过，像所有人一样，但很快过去。女人上至今花钱，没办法，但不是妓女。
只是喜欢礼物的女孩？)
各种模特，普通女孩，不碰妓女。
有什么区别？
你看，国内80%女人原则上同意为新iPhone口交，如果礼貌提议且她们确信无人知晓。所以甚至不需要太大笔钱，我说的妓女指娱乐和陪护业的，那里染坏东西几率更高。
这种提议得漂亮接近，展示有资源)
当然，我说了——礼貌，有方法。原则上几乎任何女人都能买，是价格和努力问题。女人生活处境越糟，越容易做到。唯一没浪费的是珠宝等垃圾。
新闻能找到99年事件，当时几名据称与Hangup组有关的俄罗斯公民以黑客罪名被审。那是什么故事？
啊，那些人…你见过其中几个，在频道混，发过1999年案件材料，如果没记错这几乎是俄罗斯首个计算机犯罪定罪。
99年我还没网…
好像是发特洛伊"骗邻居"邮件，甚至央行分行有人中招，总之这故事——连名字——就挂到Hangup网站。卡巴斯基不假思索全算进Hangup团队，像塔利班——长袍圆帽…
即他们和Hangup完全无关？
除了和你一起在IRC频道混——没有任何关系。还有一个给我做了网站模板，我那时HTML不太懂，算兼职设计师。他们中有人被定罪好像大赦释放，另一个缓刑，第三个好像未成年——但可能记错。大赦那个讲审前关押和当地变态杀人狂同室…总之这故事主要有趣在是俄罗斯首例…
据新闻——Hangup故乡是阿尔汉格尔斯克，这也是假的还是真的？)
Hangup故乡是IRC，甚至更可能是ICQ。但那些人好像从那来，对。说实话我很难理解卡巴斯基为什么编这个，他们甚至有些事实数据错了，即如此匆忙的胡扯。他们发新闻稿提到那些人——信息_公开_挂我们网站上。即给他们军刀、布琼尼帽，登记为HT。总之极荒谬，那KAL新闻稿经不起批判性分析，且有事实错误。你知道记者有时写"普京认为…“好像知道普京想什么，应用心灵感应者，那里类似东西不少。
既然提到普京…你对他作为当前国家管理者的看法？
我认为是戈尔巴乔夫以来最好的统治者，甚至能收回些失地。原则上现在——机会巨大，创业孵化器——各种玩意。有头脑的可以合法赚钱，我那时没这机会，所以甚至没选择问题，而如果坐门口喝瓶啤怪普京工资低，嗯…你懂的。叶利钦和戈尔巴乔夫——简直是灾难，军队里恨透戈尔巴乔夫。从德国撤军——到空地，德国人甚至提议自费建军营——他拒绝，叶利钦执政结果你在俄罗斯亲眼见过。人口损失如战争时期。98年整个俄罗斯预算约500亿美元，简直灾难。总之，普京个人不妨碍我搞卡。甚至吞了克里米亚——有地方可去度假，对我这种被限制出境的人。
讲个别的故事。
我不会讲2015年后的事，十年后再来，补充 ;)
你自己选，新鲜度不重要，本来也不想谈新鲜的。可以说兴趣早已消失的。
读过TJ MAXX事件吗？Albert Gonzalez，所有事？
对，听过。刚知我在这故事里非常轻微且表面地参与过。
我干类似——破解wifi——渗透大型商业点，装后门——收数据——卖。当然没Gonzalez规模大，我较谦虚。也包括实际行动，我们无法从内部接入攻破的网络段。总不能笔记本花坛坐三个月，太可疑。最终买个便宜USB WiFi插进商场内网吧的一台机，从那WiFi覆盖。然后链接网吧网络和商场网络， thus 获得互联网接入。模块在USB口呆了好几个月。
这是在独联体外？
对，国外。
即你那时不怕出国？
那时——不怕，那时很多东西没有，比如到处摄像头、人脸识别、全球拦截名单等。国际刑警像草台班子，极低效，现在不同了。
网络罪犯用假护照出国吗？还是考虑到人脸检测没用了？
现在我认为不，但以前出国。再给个提示——人可以合法改姓和鼻形，以免撞自动数据库。
那是假护照还是能搞真护照？
一般是重贴，即真护照丢失去照片重贴。有专门服务做这个。这种护照用于真实商店——如果刷卡购物——可能要看护照。
救星是没人仔细分析文件完整性和真伪？
做得质量高，难区分。个别人甚至有那种设备——印美元都行。
钞票能过验钞机？
这是举例，我不认为有人印美元。只是有人拥有牛逼印刷设备，护照也能印，我不是专家，但有证件专家。有些地方边境甚至无护照可过。比如那时RU-UA边境，简直没有，随便走，后来挖了沟，但你知道没用。我去过些国家从山上就能溜进邻国。
你历史有趣，够拍电影了)
最好别——拍出来——我已受够美国记者好莱坞式夸张故事。每年都往Hangup加新人，但记住听起来吸引人，但内部感觉不全这样。总之像一直非法状态，甚至在国外时一次错——就完蛋。
近10年有事件归因Hangup吗？新闻里…
你指哪里公开用"hangup team”？
对，还是这品牌已忘？
有，就几年前，至今有人记起某些病毒攻击，天知道谁干的。和HT啥关系也不清，但偶尔冒出。这种记者被嘲笑，但美国人似乎喜欢这现象，用过度幻想炒作，“俄罗斯黑客"所有事…
对，没人弄清所有细节…
标语"千禧网络法西斯”——成功了吗？全球层面你高兴发生的事吗？
嗯，问题虽不太清楚具体——是。说过在我看来网络法西斯主义是信用卡欺诈意识形态，“没必要为傻瓜打工挣小钱，可以自己拿钱”，所以是，成功了。
回想Stuxnet——真只有政府黑客参与？能评论这故事吗？
据我听说是美国人或以色列人，是政府行动，很少人怀疑。但如你知作者没向我汇报。即我只能猜，但离心机参数之类不会丢垃圾堆，数据不很公开也不是人人阳台有离心机来调试。很可能那浓缩厂与互联网隔离，有人带U盘——被收买员工，即明显是渗透复杂产品的行动，调试需访问浓缩设备。
之前你说花了几乎所有钱——观众爱钱问题…总共赚了多少？说个量级。
说实话没太算，如果拿卖日志时，日均收入约1k，即年365k。原则上不多，但我够用。
看来日志是最小收入来源。
对，卖数据更赚。
总额应>1000万刀。问题是超过1亿了吗？
不，没有。钱——大体上是彩纸，或现代载体上的比特，你带不进坟墓，它们从未是目标，更像是评估行动成功度的标准。不只我，许多人"醉"于信用卡欺诈是出于刺激、竞技兴趣。当头脑清醒，这些问题就不太困扰了，如果没严重病态。起初人买车之类，但很快玩腻。
卡贩总爱宝马。好像你讲过有老熟人撞车死。
对，Designer，很年轻，21或22岁。以在VN论坛预付罚款闻名，约2k刀。论坛对脏话罚款——版主赚得可笑，他说——为说操你妈——已付。他伙伴甚至参加了葬礼，Designer是昵称，非职业。
明白。
顺便Nervous的歌是献他的，他接单为卡贩写曲，YouTube上有：关于卡贩Jaxa、Bobby、Abdulla…
现代趋势如何，网络犯罪向哪发展…
向光明未来，列宁手指的方向，多年说这行要完，但它比所有活的都活，只是大变样。
现在除了勒索什么最赚钱？
勒索就是很赚钱的，公司赎金有时数百万刀。我甚至真心羡慕伙计们——牛，虽勒索不是我菜。
除此之外？
其他几乎都活着，只是变样。磁条卡难刷——到处芯片，但仍有地方刷。你看我想说点，许多人可能听多了冲进信用卡欺诈——我不建议，因需特定性格和稳定神经系统，当偏执成习惯。99%人不行，他们一放松就在1-2-3年内被抓。心理必须时刻警惕，即不适合习惯穿拖鞋敲键盘的人，需对搜查、审讯、坐牢无惧。许多人忽视这——徒劳，当门被切手被扭，屋里到处证据——他们傻眼，思绪乱，两三天内招供，后改口，但都无意义。
我可能不想问你对年轻一代的祝愿，考虑到你对网络犯罪的积极态度，但你自己表达了相当怀疑和警告的观点，尊敬。
现在有机会合法赚钱，信用卡欺诈不是职业，是生活方式，毫不夸张。你我都记得1999年——那时有什么合法收入？基本没选项。现在某个烂新手能拿2k，团队领导5k。而新手是只学半年Java书勉强写Hello World的猴子。即把同样努力引向合法方向可赚不错无风险。对我改变已晚，我不喜欢上班之类，年龄已不适改变 ;)
与特勤或执法机构互动。有过吗？
多次，在这行多年的人多少会遇到。通常通过中间人卖数据，DOD，各种军事玩意，如果卖给我们的人钱其实很少，嗯中国人会富点。
这直接引向下问题。为国家服务的黑客——外媒热门话题，自然无风不起浪——你接过政府订单吗？
不，我卖过数据，但再次——通过中间人。即没人能命令我做什么，也难。
什么数据？
主要军事的，疏忽到处是疏忽，硬盘上什么都有。
即大体上这信息只是顺带得到？
对，嗯，我大致知什么可卖，原则上有次我卖了恐怖分子数据，Jamaat怎么来着，忘了。
你怎么知是恐怖分子信息？
嗯不难懂——他们有特定网站，带相应内容。
你不是黑具体网站，而是托管它的主机？
我不具体说，你懂的。但据我所知后来成功端了几个窝点。
否则会有问题——为何目标黑特定人——意识形态？
不，我从别人那买的，加价小卖。
但你认识愿付钱的人…
网上中间人多，收这种信息，可惜预算少——按卡贩标准——零钱。
可笑问题，但——文件病毒今天还有用吗？
有用，甚至比以前更相关，因为漏洞利用成功率降，而文件病毒复制高效。
那签名、SFC呢？
这不是问题…
这里不是病毒纯净度问题，而是感染事实可能易检测。讲个文件病毒实际使用场景。
我这么说，我的一个产品，首版约2006年发布，僵尸至今还来，这就关于相关性。即这种僵尸网络能自维持数量数年，但这难，PE感染器大概是这行最难的了。这不等于2000年代初，加了很多防护机制，对抗AV、干掉模拟器等。
我因此问，以前感染任何系统exe容易。
现在也能做，只是稍难。
好。Windows家族安全演变，什么技术变无用？现在还有Rootkit和Bootkit吗？关于系统驻留能说啥…
Rootkit存在，但Bootkit久未见。UEFI有保护防改，多数现代木马足够原始，许多甚至用PowerShell脚本，能力大难检测。感觉微软想给管理员找刺激故意开发PowerShell。
看，Secure Boot之类，你已不能加载自签名驱动。
对Rootkit驱动非必需，因进程和文件列举是用户程序做的。
即隐藏发生在Ring3级当前会话？
对，这也是完全可工作的Rootkit，甚至经典IAT补丁，但Rootkit中虽有——没太大意义，你打开进程列表，能清楚说每个进程在干嘛吗？有时只需生成看起来可信的名字，99%人已注意不到。
我想的话会开Process Explorer看哪些PID二进制有效签名。
有些恶意软件自己有效签名，证书乱飞或买来签 ;)
那是另一回事了)
没多少人看这些签名，大部分用户不太知存在，加拿大会计管你什么签名，感染你有啥意义？拿你啥？这采访副本？;)
我指预防措施，定期检查系统有无野兽。
你检查，但办公室老鼠不管。他们那每月外包管理员来换打印机墨盒。
但我能足够自信说20年没中过病毒，要么出现头几分钟清掉。
怕失望，但真病毒你难快速清掉，如果真能清掉。手动清2-3k感染exe你咋想？
我泛指恶意软件，文件病毒我实践在90年代onehalf结束。
有经验的人可防木马安装，但仍有方式随软件进系统。如果还有人买正版Windows，但想买Photoshop或3ds Max的不多