黑客眼中的“黑色產(chǎn)業(yè)鏈”

責(zé)任編輯:editor004

2014-09-24 11:17:41

摘自:法治周末

在大多數(shù)人看來,這也許只是網(wǎng)絡(luò)世界中一群擁有高超電腦技術(shù)的專業(yè)人士代名詞;或者,很多人印象中的黑客,就如同電影《黑客帝國》中展現(xiàn)的那樣出神入化。就職于某家大型互聯(lián)網(wǎng)公司的王剛,是一名曾經(jīng)從事相關(guān)黑色產(chǎn)業(yè)鏈的黑客。

對于“黑客”,你了解多少?

在大多數(shù)人看來,這也許只是網(wǎng)絡(luò)世界中一群擁有高超電腦技術(shù)的專業(yè)人士代名詞;或者,很多人印象中的黑客,就如同電影《黑客帝國》中展現(xiàn)的那樣出神入化。

由于工作原因,法治周末記者結(jié)識了幾位黑客。通過與他們的交流,法治周末記者接觸到了一個少了份玄幻、多了份真實的黑客世界。

黑客的“攻”與“防”

“算起來,從我接觸網(wǎng)絡(luò)安全行業(yè)開始,到現(xiàn)在也有五年的時間了。最初接觸到黑客技術(shù),與我編寫程序的經(jīng)歷有關(guān)。”黑客李樂說。

李樂透露,在他編寫程序時,偶然發(fā)現(xiàn)了一些bug漏洞,然后利用這些bug能輕易地攻破程序。這樣的經(jīng)歷勾起了他的好奇心,吸引他不斷探索計算機技術(shù)中的奧妙,從而成為了一名黑客。

“掌握一些黑客技術(shù)后,就可以輕易地從網(wǎng)上獲得你想要的信息,這算是一條捷徑。”李樂表示。

而在現(xiàn)實生活中,李樂就職于某家網(wǎng)絡(luò)安全公司,負責(zé)相關(guān)產(chǎn)品的外部安全工作。“其實,對我來說,日常工作只是我作為黑客身份的一部分。”李樂坦言。

李樂告訴法治周末記者,安全研究員與黑客,實際上有很多的共通之處。“就技術(shù)層面上來說,安全研究員與黑客所掌握和使用的計算機技術(shù),很大程度上是相同的。”

“技術(shù)是中立的,沒有好壞之分,而關(guān)鍵在于,運用這些技術(shù)去做些什么。比如一個技術(shù)漏洞,運用得當(dāng)?shù)脑捒梢越o企業(yè)避免很多損失,而運用不當(dāng)就會成為非法攻擊的利器。”李樂介紹,就同一項計算機技術(shù)而言,黑客首先想到的是“破壞”,而安全研究員想到的則是“保護”。

李樂說:“這是一種思維的差異,黑客是‘攻’的一方,而安全研究員是防的一方。攻防相互對立、相伴而生,但‘攻’永遠都會走在‘防’的前面——往往是一項黑客技術(shù)的出現(xiàn),才會觸發(fā)相關(guān)防御措施的研究。”

李樂表示,也正是這種區(qū)別,一名黑客往往能夠“洗白”自己、轉(zhuǎn)變成一名安全研究員——掌握最新的黑客技術(shù),也就更容易找到相關(guān)的防御手段;但一名安全研究員如果沒有破壞、攻擊的思維而只會被動防御,很難成為一名黑客。

而說到黑客的攻與防,則不得不提另一群人——“白帽子”。

“白帽子實際上也是黑客,只不過與一般的黑客不同,他們發(fā)現(xiàn)一些網(wǎng)站、應(yīng)用軟件的技術(shù)漏洞后,會將這些漏洞報告給相應(yīng)的公司,從而避免這些漏洞被黑客不法利用。”李樂說。

在李樂看來,白帽子與一般黑客的最主要區(qū)別,是在利益上。

“白帽子令人稱道的在于,他們掌握先進的計算機技術(shù),卻從不濫用,不被巨大的黑色產(chǎn)業(yè)利益誘惑,處事光明磊落。這也是我欽佩這些白帽子的地方。”李樂談到。

“別動不該動的”

而更多的黑客,往往都會踏入網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈,從中攫取利益。

所謂網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈,指的是通過黑客技術(shù)入侵相關(guān)網(wǎng)站的服務(wù)器或者站點,通過盜號、掛馬鏈接、數(shù)據(jù)買賣等方式獲取不法所得。

就職于某家大型互聯(lián)網(wǎng)公司的王剛,是一名曾經(jīng)從事相關(guān)黑色產(chǎn)業(yè)鏈的黑客。以他的經(jīng)驗來看,網(wǎng)絡(luò)博彩的黑色產(chǎn)業(yè)鏈規(guī)模最大。他告訴法治周末記者,通過入侵一個流量較高的網(wǎng)站,掛上博彩網(wǎng)站的鏈接,將相關(guān)網(wǎng)站的流量導(dǎo)向賭博網(wǎng)站,這部分流量就能轉(zhuǎn)化成巨額的金錢。

法治周末記者了解到,據(jù)百度公司的相關(guān)統(tǒng)計,目前有56%的網(wǎng)站被篡改都與博彩相關(guān)。

而除此以外,販賣數(shù)據(jù)庫信息、盜取一些網(wǎng)站中存儲的敏感數(shù)據(jù)等,都是常見的黑客賺錢途徑。王剛告訴法治周末記者,他加入的一些黑客群中,就經(jīng)常會有人在攻破數(shù)據(jù)庫后,將相關(guān)信息拿到群里公開叫賣。

“稍微懂點黑客技術(shù)的,都能在這些黑色產(chǎn)業(yè)鏈中分得一杯羹。而且當(dāng)黑客的,很少人敢說自己從未接觸過這里面的黑色產(chǎn)業(yè)鏈、從沒干過違法的事。”據(jù)王剛透露,為了生計,他也從中賺過幾筆錢。但他賺的這些錢,對于一些真正以此為業(yè)的黑客來說,簡直是九牛一毛。

“對于那些專門從事黑色產(chǎn)業(yè)鏈的黑客來說,‘日薪過萬’一點都不夸張。在黑客當(dāng)中,一夜暴富的例子數(shù)不勝數(shù),總有些人會為了追求暴利去鋌而走險。”王剛介紹。

在王剛看來,黑客從事黑色產(chǎn)業(yè)鏈,與日常生活中的小偷沒有什么區(qū)別,沒有必要將黑客的行為看得太過神秘,只不過是換了一種方式、利用計算機技術(shù)“偷”而已。

“但我們也有句行話,叫‘別動不該動的’。就跟小偷似的,只是干些偷雞摸狗的事情,全國那么多小偷,沒法全部抓起來,黑客也是一樣。但動了不該動的東西,風(fēng)險就會很高。”王剛說。

王剛舉了個身邊的例子,他所認識的有一個黑客,入侵了一家電子商務(wù)公司的后臺,獲取了其中的代金券代碼,隨后將這些代金券轉(zhuǎn)賣給一些黃牛套現(xiàn),造成該公司三百多萬元的損失,最終該黑客也被判刑入獄三年。

“黑色產(chǎn)業(yè)鏈中,風(fēng)險與利益并存。畢竟存在風(fēng)險,很可能朝不保夕,所以很多人還是會找一份正當(dāng)?shù)穆殬I(yè)工作。”王剛自己的雙重身份,也從某方面證明了這一點。

網(wǎng)絡(luò)安全是個“偽命題”

在作為黑客的李樂眼中,網(wǎng)絡(luò)安全似乎是個偽命題。

“以隱私為例,根本沒有什么絕對的隱私可言,只不過攻破相關(guān)數(shù)據(jù)庫的難易程度不同罷了。”按照李樂的說法,除了像人腦中的信息,只要是有過電子數(shù)據(jù)記錄的內(nèi)容,都是可以得到的。

李樂表示,其實從每個人的出生開始,數(shù)據(jù)就已經(jīng)不安全了。而一個人在成長過程中的各種數(shù)據(jù),如醫(yī)療信息、教育信息、購物信息、理財信息等,只要有利用價值,都會被黑客盯上,從而成為被竊取的目標(biāo),“哪怕是我,也制止不了個人信息在網(wǎng)上泄漏”。

法治周末記者參加過一次互聯(lián)網(wǎng)技術(shù)沙龍。在會場上,一名黑客做完演講后,放出了一張截圖,上面顯示他已經(jīng)攻破了沙龍報名參會的網(wǎng)站后臺,這個爆炸性信息引來與會嘉賓的陣陣驚呼。

而關(guān)于網(wǎng)絡(luò)安全,王剛提到了一個恐怕會被很多人忽視的問題——政府機關(guān)在數(shù)據(jù)保護這一點上做得不夠好。

王剛表示,日常生活中產(chǎn)生的一些商業(yè)性數(shù)據(jù),通常存儲于一些公司的數(shù)據(jù)庫中。這些公司對于數(shù)據(jù)的保護程度是比較高的,他們的數(shù)據(jù)庫擁有較高的安全級別,一般難以被黑客攻破。相比之下,攻破政府機關(guān)的數(shù)據(jù)庫,就會簡單很多。

“除了某些涉密的機關(guān),很多政府機關(guān)的數(shù)據(jù)安全保護甚至低于社會平均水平。這就讓一些存儲于政府機關(guān)的、與公民個人身份密切相關(guān)的敏感信息處于高風(fēng)險的狀態(tài)。”王剛對此表示擔(dān)憂。

據(jù)法治周末記者了解,國家計算機病毒應(yīng)急處理中心近日發(fā)布了2013年全國信息網(wǎng)絡(luò)安全狀況與計算機和移動終端病毒疫情調(diào)查報告。該報告顯示,超過半數(shù)被抽檢政府網(wǎng)站存在安全隱患。這似乎印證了王剛的說法。

前段時間,我國政府機關(guān)禁止采購Win8操作系統(tǒng)、賽門鐵克等國外安全軟件未進入政府采購名單等事件鬧得沸沸揚揚。對此,王剛認為,國家出于維護網(wǎng)絡(luò)安全的考慮,作出這樣的決策是可以理解的,畢竟像操作系統(tǒng)、安全軟件等核心技術(shù),還是掌握在自己的手中比較放心。

“但客觀來說,我國要想完全靠自主研發(fā)相關(guān)技術(shù)和軟件,我還是不太自信。”王剛坦言,“畢竟國外的相關(guān)公司有著幾十年的積淀,這樣的環(huán)境和豐富的經(jīng)驗,是我們沒有辦法比擬的。”

“但相關(guān)核心技術(shù)的自主化道路,依然要走下去,并且我國幾家大型互聯(lián)網(wǎng)公司的技術(shù)水平也在不斷提升。”王剛說,“不過總體來看,結(jié)合之前提到的黑色產(chǎn)業(yè)鏈而言,我對我國當(dāng)下的網(wǎng)絡(luò)安全形勢不太樂觀。”

關(guān)注它才能規(guī)范它

不過,王剛也給法治周末記者吃了顆“定心丸”,對于普通人而言,只要正常安裝安全軟件、定期查殺木馬病毒、平時注意上網(wǎng)規(guī)范、不隨意透漏個人信息的話,就可以規(guī)避一般的網(wǎng)絡(luò)安全風(fēng)險。

李樂也表示,有些電影中描繪的看似神乎其神的黑客技術(shù),雖然在現(xiàn)實中確實存在,也有過運用,但除非在一些特殊場合、運用于特殊目的外,不會對普通人的生活產(chǎn)生影響。

比如美國著名黑客巴納比 杰克曾曝出過心臟起搏器中存在技術(shù)漏洞,黑客可以利用這個漏洞讓心臟起搏器釋放830V高壓電擊,從而“遙控殺人”。而當(dāng)下火熱的智能家居概念,也存在被黑客入侵、遠程遙控的可能。

不過在李樂看來,這些漏洞的曝光,更多的都是黑客們在炫耀其黑客技術(shù)的高超,并不會像之前提到的黑色產(chǎn)業(yè)鏈一樣,對普通人的信息安全造成巨大影響。

“針對某些設(shè)備,單獨去布置、設(shè)計一套黑客軟件的成本是非常高的,如果無法產(chǎn)業(yè)化利用,就無法帶來收益,就沒有多少的利用價值。比如對于一個家庭中的智能設(shè)備來說,除非存在著某些特定的目的,比如有對其進行監(jiān)控的需求,一般不會有人去做。就這個層面上來說,黑客對于安全的影響是有限的。”李樂表示。

李樂認為,與這些經(jīng)常被報道的尖端黑客技術(shù)所能引起人們的注意相比,更具危害性的黑色產(chǎn)業(yè)鏈往往會被忽視,從而形成地下產(chǎn)業(yè),并且很多案子即便被爆料出來,最終也都不了了之。

“國家和公眾對于這些黑色產(chǎn)業(yè)鏈的關(guān)注度太低,沒有引起足夠的重視,所以相關(guān)的規(guī)范和治理也無法跟上。保障網(wǎng)絡(luò)安全、創(chuàng)造良好的網(wǎng)絡(luò)環(huán)境,需要各界關(guān)注黑客背后所從事的黑色產(chǎn)業(yè)鏈。”李樂表示,這也是他接受法治周末記者采訪的原因之一。

直到現(xiàn)在,李樂也不喜歡別人稱他為“黑客”,因為在他看來,這個稱呼多少帶著些貶義。更多時候,他還是愿意別人稱他為“技術(shù)員”。

李樂很喜歡一句話“hack for fun”,他也希望將這句話送給黑客的同道中人——勿忘初心。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號