專業人士/Lulzsec

Lulzsec 是一個駭客組織，於 2011 年 5 月出現，開始了長達 50 天的駭客攻擊，目標是公司和政府機構。在他們的攻擊狂潮中，他們入侵了 100 多個網站，並經常從他們的 Twitter 頁面嘲笑他們的目標。他們的 Twitter 結束了 1328 條推文，其中許多宣佈了駭客攻擊並向被駭客入侵的公司投擲侮辱。^[1] LulzSec 使用了幾種簡單的技術，但對許多網站進行了無差別攻擊，發現了許多存在漏洞的網站。

LulzSec 於 2011 年 5 月開始他們的攻擊。Fox.com 在說唱歌手 Common 在節目中被稱作“卑鄙”後，洩露了 73,000 名 X-Factor 參賽者的姓名。同樣地，為了維護維基解密和布拉德利·曼寧，LulzSec 入侵了美國公共廣播公司 (PBS) 的網站，併發布了一篇關於圖派克·沙庫爾和大肖恩還活在在紐西蘭的虛假報道。然而，他們的一些駭客行為引起了更多關注，因為它表明使用者資料遭到洩露。他們釋出了英國 3100 臺自動取款機的交易記錄。[8][43]

在 6 月，針對索尼使用者資料庫的 SQL 注入攻擊是在索尼針對越獄訴訟的情況下執行的。LulzSec 聲稱獲得了包括“超過 100 萬人的姓名、密碼、電子郵件地址、家庭住址和出生日期”。[56] LulzSec 在 Bethesda Game Studios 竊取了另外 200,000 人的資訊。[64] 對任天堂的攻擊沒有成功，但緊隨這一主題，LulzSec 說，“我們不是針對任天堂。我們太喜歡 N64 了——我們真誠地希望任天堂能堵住漏洞。”[62]

“我們現在已經注意到，北約和我們好朋友巴拉克·奧薩馬-拉瑪 24 世紀奧巴馬 [原文如此] 最近提高了駭客攻擊的賭注。他們現在將駭客攻擊視為戰爭行為。因此，我們只是入侵了一個與 FBI 有關的網站（具體而言是 Infragard，亞特蘭大分會）並洩露了其使用者群。我們還完全控制了該網站並進行了篡改 [...]。”[73]

在應對政治問題時，攻擊性質發生了變化。中央情報局、參議院和聯邦調查局的網站是 LulzSec 最引人注目的美國目標。中國、巴西、英國和葡萄牙的政府網站也成功成為目標。這些攻擊通常伴隨著 LulzSec 公開發表的動機宣告，通常是對某些不受歡迎的政策或言論的回應，但也有像英國國家醫療服務體系這樣的事件，LulzSec 的攻擊幾乎是善意的：“我們無意傷害你，只想幫助你解決技術問題。”[74]

LulzSec 使用了幾種簡單的攻擊方法來攻擊他們的目標。^[2] 他們主要方法之一是分散式拒絕服務攻擊 (DDoS)，他們在攻擊中指示他們控制的計算機群組重複嘗試訪問網站，從而使該網站的伺服器過載。這種攻擊不會讓他們獲得任何資料或控制其目標伺服器，但會破壞其為合法使用者提供服務的能力。為了應對這種攻擊，管理員可以過濾某些型別的對他們伺服器的請求，併購買更多頻寬和伺服器。然而，較小的企業可能沒有資源來應對這類攻擊，尤其是當另一家公司控制著託管其網站的伺服器時。^[3]

LulzSec 使用了 SQL 注入攻擊，攻擊者在傳送到伺服器的資料中包含特殊格式的資料庫查詢程式碼。^[4] 如果網站的程式碼沒有正確地清理輸入，那麼這段程式碼就可以被執行，讓 LulzSec 訪問目標資料庫，包括使用者名稱、電子郵件、密碼、信用卡資訊和其他機密資訊。LulzSec 使用的另一種類似攻擊是跨站點指令碼攻擊 (XSS)，它會儲存髒資料，然後將其作為 html/javascript 程式碼輸出。XSS 使攻擊者能夠在任何檢視顯示髒資料的使用者的頁面上執行 javascript。^[3] 所有現代 Web 程式語言都包括自動化清理使用者輸入的方法。在清理輸入之前，所有使用者輸入都應視為不安全的處理物件。

LulzSec 使用社會工程技術來獲取使用者的資訊。他們將目標鎖定在使用易於猜測的密碼（例如“123456”）的使用者或在多個帳戶中使用相同密碼的使用者身上。他們使用釣魚攻擊，製作假登入頁面並收集使用者輸入到其中的密碼。^[5] 為了防止這種情況，公司可以要求更復雜的密碼併為密碼設定過期日期。他們還可以教育使用者瞭解安全問題。為了防止釣魚攻擊，一些網站開始為每個使用者新增唯一的秘密短語，並將其顯示在登入頁面上。如果短語與使用者選擇的短語不匹配，他們就會知道登入頁面是假的。LulzSec 利用了那些沒有更新軟體的目標。他們會檢查旨在修復安全漏洞的軟體補丁，反向工程漏洞，然後利用它接管尚未應用補丁的系統。管理員只需保持軟體更新即可防止這種攻擊。軟體公司應確保其軟體有自動更新功能，通知使用者補丁，並對補丁進行加密或混淆處理以防止反向工程。

這些攻擊的簡單性使 LulzSec 能夠自動檢測和攻擊，以便他們能夠探測數百個網站以尋找這些漏洞。這可以解釋他們在短時間內執行如此多攻擊的原因。^[6]

2012 年 3 月 6 日，薩布被發現是 28 歲的紐約市失業男子赫克託·薩維爾·蒙塞古爾。[1] 聯邦探員逮捕了蒙塞古爾，並說服他成為聯邦調查局的線人，並繼續扮演他的“薩布”角色，他同意了。[17][18] 蒙塞古爾向聯邦調查局提供了資訊，使他們能夠逮捕與匿名者、LulzSec 和 Antisec 有關的七名駭客。[19][20]

蒙塞古爾一直保持著他的偽裝直到 2012 年 3 月 6 日，他一直髮布推文，表達他對聯邦政府的“反對”直到最後。蒙塞古爾最後的一些推文包括，“聯邦探員此時正在沒有搜查令的情況下搜查我們的生活。沒有法官的批准。這需要改變。儘快”以及“聯邦政府是由一群懦夫統治的。不要屈服於這些人。反擊。堅強”。[19]

蒙塞古爾也許是 LulzSec 最好的例子，他讓人們對專業人士提出了質疑。他在駭客方面的技能以及他對駭客的喜愛表明，這確實是他的職業。然而，他對“駭客行為主義”的動機令人懷疑，為了在這個領域取得成功，必須在法律之外運作。只有透過匿名，蒙塞古爾（薩布）和其他人才能做這種工作。但是，他們是否在使用他們的“吉格斯之戒”行善？這些“為了好玩”的動機對專業人士來說是否足夠，還是更能說明他們像個孩子？一個專業人士難道不應該對他的同事有所責任嗎？薩布將 LulzSec 出賣給了聯邦調查局。這是否使他不再是駭客行為主義者？

LulzSec 的其他成員會說是的。但他們最初也試圖透過自己的行動揭露資料儲存提供商的不專業行為。無論是薩布還是 LulzSec 攻擊的公司和組織，在忠誠度方面都缺乏一定程度的專業精神。忠誠，無論是對同事還是客戶，都是職業行為的關鍵方面，在本案例研究中，其不足之處突出了專業上的缺陷。

LulzSec 使許多大公司蒙羞。他們使用的攻擊任何有幾個月計算機科學知識的人都可以實施。在本案中，實施者是幾個試圖表明觀點的青少年和年輕人。LulzSec 案件反映了許多公司未能認識到 IT 是一種需要專家的職業。公司應該從中學到，他們的安全性只強到其最薄弱環節。他們需要為員工和使用者實施並執行公司範圍的安全協議。他們需要為每個使用者強制實施難以猜測的密碼，以及密碼過期日期。他們需要確保他們的 IT 員工對安全有深入的瞭解，這些員工需要確保非專家遵循安全協議。公司需要實施過濾來防止 DDoS 攻擊。如果他們不管理自己的網站，他們需要確保僱傭的企業遵循這些規則。公司需要保持軟體更新。為非專家設計的軟體必須由安全專家設計，並且必須要求安全做法。最重要的是，公司需要認識到網路安全在當今時代的 اهمیت。網路威脅對公司的形象和利潤構成重大風險。如果 LulzSec 將他們的攻擊用於牟利，許多人可能會被盜。