专业人士/Lulzsec

Lulzsec 是一个黑客组织，于 2011 年 5 月出现，开始了长达 50 天的黑客攻击，目标是公司和政府机构。在他们的攻击狂潮中，他们入侵了 100 多个网站，并经常从他们的 Twitter 页面嘲笑他们的目标。他们的 Twitter 结束了 1328 条推文，其中许多宣布了黑客攻击并向被黑客入侵的公司投掷侮辱。^[1] LulzSec 使用了几种简单的技术，但对许多网站进行了无差别攻击，发现了许多存在漏洞的网站。

LulzSec 于 2011 年 5 月开始他们的攻击。Fox.com 在说唱歌手 Common 在节目中被称作“卑鄙”后，泄露了 73,000 名 X-Factor 参赛者的姓名。同样地，为了维护维基解密和布拉德利·曼宁，LulzSec 入侵了美国公共广播公司 (PBS) 的网站，并发布了一篇关于图派克·沙库尔和大肖恩还活在在新西兰的虚假报道。然而，他们的一些黑客行为引起了更多关注，因为它表明用户数据遭到泄露。他们发布了英国 3100 台自动取款机的交易记录。[8][43]

在 6 月，针对索尼用户数据库的 SQL 注入攻击是在索尼针对越狱诉讼的情况下执行的。LulzSec 声称获得了包括“超过 100 万人的姓名、密码、电子邮件地址、家庭住址和出生日期”。[56] LulzSec 在 Bethesda Game Studios 窃取了另外 200,000 人的信息。[64] 对任天堂的攻击没有成功，但紧随这一主题，LulzSec 说，“我们不是针对任天堂。我们太喜欢 N64 了——我们真诚地希望任天堂能堵住漏洞。”[62]

“我们现在已经注意到，北约和我们好朋友巴拉克·奥萨马-拉玛 24 世纪奥巴马 [原文如此] 最近提高了黑客攻击的赌注。他们现在将黑客攻击视为战争行为。因此，我们只是入侵了一个与 FBI 有关的网站（具体而言是 Infragard，亚特兰大分会）并泄露了其用户群。我们还完全控制了该网站并进行了篡改 [...]。”[73]

在应对政治问题时，攻击性质发生了变化。中央情报局、参议院和联邦调查局的网站是 LulzSec 最引人注目的美国目标。中国、巴西、英国和葡萄牙的政府网站也成功成为目标。这些攻击通常伴随着 LulzSec 公开发表的动机声明，通常是对某些不受欢迎的政策或言论的回应，但也有像英国国家医疗服务体系这样的事件，LulzSec 的攻击几乎是善意的：“我们无意伤害你，只想帮助你解决技术问题。”[74]

LulzSec 使用了几种简单的攻击方法来攻击他们的目标。^[2] 他们主要方法之一是分布式拒绝服务攻击 (DDoS)，他们在攻击中指示他们控制的计算机群组重复尝试访问网站，从而使该网站的服务器过载。这种攻击不会让他们获得任何数据或控制其目标服务器，但会破坏其为合法用户提供服务的能力。为了应对这种攻击，管理员可以过滤某些类型的对他们服务器的请求，并购买更多带宽和服务器。然而，较小的企业可能没有资源来应对这类攻击，尤其是当另一家公司控制着托管其网站的服务器时。^[3]

LulzSec 使用了 SQL 注入攻击，攻击者在发送到服务器的数据中包含特殊格式的数据库查询代码。^[4] 如果网站的代码没有正确地清理输入，那么这段代码就可以被执行，让 LulzSec 访问目标数据库，包括用户名、电子邮件、密码、信用卡信息和其他机密信息。LulzSec 使用的另一种类似攻击是跨站点脚本攻击 (XSS)，它会保存脏数据，然后将其作为 html/javascript 代码输出。XSS 使攻击者能够在任何查看显示脏数据的用户的页面上运行 javascript。^[3] 所有现代 Web 编程语言都包括自动化清理用户输入的方法。在清理输入之前，所有用户输入都应视为不安全的处理对象。

LulzSec 使用社会工程技术来获取用户的信息。他们将目标锁定在使用易于猜测的密码（例如“123456”）的用户或在多个帐户中使用相同密码的用户身上。他们使用钓鱼攻击，制作假登录页面并收集用户输入到其中的密码。^[5] 为了防止这种情况，公司可以要求更复杂的密码并为密码设置过期日期。他们还可以教育用户了解安全问题。为了防止钓鱼攻击，一些网站开始为每个用户添加唯一的秘密短语，并将其显示在登录页面上。如果短语与用户选择的短语不匹配，他们就会知道登录页面是假的。LulzSec 利用了那些没有更新软件的目标。他们会检查旨在修复安全漏洞的软件补丁，反向工程漏洞，然后利用它接管尚未应用补丁的系统。管理员只需保持软件更新即可防止这种攻击。软件公司应确保其软件有自动更新功能，通知用户补丁，并对补丁进行加密或混淆处理以防止反向工程。

这些攻击的简单性使 LulzSec 能够自动检测和攻击，以便他们能够探测数百个网站以寻找这些漏洞。这可以解释他们在短时间内执行如此多攻击的原因。^[6]

2012 年 3 月 6 日，萨布被发现是 28 岁的纽约市失业男子赫克托·萨维尔·蒙塞古尔。[1] 联邦探员逮捕了蒙塞古尔，并说服他成为联邦调查局的线人，并继续扮演他的“萨布”角色，他同意了。[17][18] 蒙塞古尔向联邦调查局提供了信息，使他们能够逮捕与匿名者、LulzSec 和 Antisec 有关的七名黑客。[19][20]

蒙塞古尔一直保持着他的伪装直到 2012 年 3 月 6 日，他一直发布推文，表达他对联邦政府的“反对”直到最后。蒙塞古尔最后的一些推文包括，“联邦探员此时正在没有搜查令的情况下搜查我们的生活。没有法官的批准。这需要改变。尽快”以及“联邦政府是由一群懦夫统治的。不要屈服于这些人。反击。坚强”。[19]

蒙塞古尔也许是 LulzSec 最好的例子，他让人们对专业人士提出了质疑。他在黑客方面的技能以及他对黑客的喜爱表明，这确实是他的职业。然而，他对“黑客行为主义”的动机令人怀疑，为了在这个领域取得成功，必须在法律之外运作。只有通过匿名，蒙塞古尔（萨布）和其他人才能做这种工作。但是，他们是否在使用他们的“吉格斯之戒”行善？这些“为了好玩”的动机对专业人士来说是否足够，还是更能说明他们像个孩子？一个专业人士难道不应该对他的同事有所责任吗？萨布将 LulzSec 出卖给了联邦调查局。这是否使他不再是黑客行为主义者？

LulzSec 的其他成员会说是的。但他们最初也试图通过自己的行动揭露数据存储提供商的不专业行为。无论是萨布还是 LulzSec 攻击的公司和组织，在忠诚度方面都缺乏一定程度的专业精神。忠诚，无论是对同事还是客户，都是职业行为的关键方面，在本案例研究中，其不足之处突出了专业上的缺陷。

LulzSec 使许多大公司蒙羞。他们使用的攻击任何有几个月计算机科学知识的人都可以实施。在本案中，实施者是几个试图表明观点的青少年和年轻人。LulzSec 案件反映了许多公司未能认识到 IT 是一种需要专家的职业。公司应该从中学到，他们的安全性只强到其最薄弱环节。他们需要为员工和用户实施并执行公司范围的安全协议。他们需要为每个用户强制实施难以猜测的密码，以及密码过期日期。他们需要确保他们的 IT 员工对安全有深入的了解，这些员工需要确保非专家遵循安全协议。公司需要实施过滤来防止 DDoS 攻击。如果他们不管理自己的网站，他们需要确保雇佣的企业遵循这些规则。公司需要保持软件更新。为非专家设计的软件必须由安全专家设计，并且必须要求安全做法。最重要的是，公司需要认识到网络安全在当今时代的 اهمیت。网络威胁对公司的形象和利润构成重大风险。如果 LulzSec 将他们的攻击用于牟利，许多人可能会被盗。