黑客眼中的“黑色产业链”

  对于“黑客”,你了解多少?

  在大多数人看来,这也许只是网络世界中一群拥有高超电脑技术的专业人士代名词;或者,很多人印象中的黑客,就如同电影《黑客帝国》中展现的那样出神入化。

  由于工作原因,法治周末记者结识了几位黑客。通过与他们的交流,法治周末记者接触到了一个少了份玄幻、多了份真实的黑客世界。

  黑客的“攻”与“防”

  “算起来,从我接触网络安全行业开始,到现在也有五年的时间了。最初接触到黑客技术,与我编写程序的经历有关。”黑客李乐说。

  李乐透露,在他编写程序时,偶然发现了一些bug漏洞,然后利用这些bug能轻易地攻破程序。这样的经历勾起了他的好奇心,吸引他不断探索计算机技术中的奥妙,从而成为了一名黑客。

  “掌握一些黑客技术后,就可以轻易地从网上获得你想要的信息,这算是一条捷径。”李乐表示。

  而在现实生活中,李乐就职于某家网络安全公司,负责相关产品的外部安全工作。“其实,对我来说,日常工作只是我作为黑客身份的一部分。”李乐坦言。

  李乐告诉法治周末记者,安全研究员与黑客,实际上有很多的共通之处。“就技术层面上来说,安全研究员与黑客所掌握和使用的计算机技术,很大程度上是相同的。”

  “技术是中立的,没有好坏之分,而关键在于,运用这些技术去做些什么。比如一个技术漏洞,运用得当的话可以给企业避免很多损失,而运用不当就会成为非法攻击的利器。”李乐介绍,就同一项计算机技术而言,黑客首先想到的是“破坏”,而安全研究员想到的则是“保护”。

  李乐说:“这是一种思维的差异,黑客是‘攻’的一方,而安全研究员是防的一方。攻防相互对立、相伴而生,但‘攻’永远都会走在‘防’的前面——往往是一项黑客技术的出现,才会触发相关防御措施的研究。”

  李乐表示,也正是这种区别,一名黑客往往能够“洗白”自己、转变成一名安全研究员——掌握最新的黑客技术,也就更容易找到相关的防御手段;但一名安全研究员如果没有破坏、攻击的思维而只会被动防御,很难成为一名黑客。

  而说到黑客的攻与防,则不得不提另一群人——“白帽子”。

  “白帽子实际上也是黑客,只不过与一般的黑客不同,他们发现一些网站、应用软件的技术漏洞后,会将这些漏洞报告给相应的公司,从而避免这些漏洞被黑客不法利用。”李乐说。

  在李乐看来,白帽子与一般黑客的最主要区别,是在利益上。

  “白帽子令人称道的在于,他们掌握先进的计算机技术,却从不滥用,不被巨大的黑色产业利益诱惑,处事光明磊落。这也是我钦佩这些白帽子的地方。”李乐谈到。

  “别动不该动的”

  而更多的黑客,往往都会踏入网络黑色产业链,从中攫取利益。

  所谓网络黑色产业链,指的是通过黑客技术入侵相关网站的服务器或者站点,通过盗号、挂马链接、数据买卖等方式获取不法所得。

  就职于某家大型互联网公司的王刚,是一名曾经从事相关黑色产业链的黑客。以他的经验来看,网络博彩的黑色产业链规模最大。他告诉法治周末记者,通过入侵一个流量较高的网站,挂上博彩网站的链接,将相关网站的流量导向赌博网站,这部分流量就能转化成巨额的金钱。

  法治周末记者了解到,据百度公司的相关统计,目前有56%的网站被篡改都与博彩相关。

  而除此以外,贩卖数据库信息、盗取一些网站中存储的敏感数据等,都是常见的黑客赚钱途径。王刚告诉法治周末记者,他加入的一些黑客群中,就经常会有人在攻破数据库后,将相关信息拿到群里公开叫卖。

  “稍微懂点黑客技术的,都能在这些黑色产业链中分得一杯羹。而且当黑客的,很少人敢说自己从未接触过这里面的黑色产业链、从没干过违法的事。”据王刚透露,为了生计,他也从中赚过几笔钱。但他赚的这些钱,对于一些真正以此为业的黑客来说,简直是九牛一毛。

  “对于那些专门从事黑色产业链的黑客来说,‘日薪过万’一点都不夸张。在黑客当中,一夜暴富的例子数不胜数,总有些人会为了追求暴利去铤而走险。”王刚介绍。

  在王刚看来,黑客从事黑色产业链,与日常生活中的小偷没有什么区别,没有必要将黑客的行为看得太过神秘,只不过是换了一种方式、利用计算机技术“偷”而已。

  “但我们也有句行话,叫‘别动不该动的’。就跟小偷似的,只是干些偷鸡摸狗的事情,全国那么多小偷,没法全部抓起来,黑客也是一样。但动了不该动的东西,风险就会很高。”王刚说。

  王刚举了个身边的例子,他所认识的有一个黑客,入侵了一家电子商务公司的后台,获取了其中的代金券代码,随后将这些代金券转卖给一些黄牛套现,造成该公司三百多万元的损失,最终该黑客也被判刑入狱三年。

  “黑色产业链中,风险与利益并存。毕竟存在风险,很可能朝不保夕,所以很多人还是会找一份正当的职业工作。”王刚自己的双重身份,也从某方面证明了这一点。

  网络安全是个“伪命题”

  在作为黑客的李乐眼中,网络安全似乎是个伪命题。

  “以隐私为例,根本没有什么绝对的隐私可言,只不过攻破相关数据库的难易程度不同罢了。”按照李乐的说法,除了像人脑中的信息,只要是有过电子数据记录的内容,都是可以得到的。

  李乐表示,其实从每个人的出生开始,数据就已经不安全了。而一个人在成长过程中的各种数据,如医疗信息、教育信息、购物信息、理财信息等,只要有利用价值,都会被黑客盯上,从而成为被窃取的目标,“哪怕是我,也制止不了个人信息在网上泄漏”。

  法治周末记者参加过一次互联网技术沙龙。在会场上,一名黑客做完演讲后,放出了一张截图,上面显示他已经攻破了沙龙报名参会的网站后台,这个爆炸性信息引来与会嘉宾的阵阵惊呼。

  而关于网络安全,王刚提到了一个恐怕会被很多人忽视的问题——政府机关在数据保护这一点上做得不够好。

  王刚表示,日常生活中产生的一些商业性数据,通常存储于一些公司的数据库中。这些公司对于数据的保护程度是比较高的,他们的数据库拥有较高的安全级别,一般难以被黑客攻破。相比之下,攻破政府机关的数据库,就会简单很多。

  “除了某些涉密的机关,很多政府机关的数据安全保护甚至低于社会平均水平。这就让一些存储于政府机关的、与公民个人身份密切相关的敏感信息处于高风险的状态。”王刚对此表示担忧。

  据法治周末记者了解,国家计算机病毒应急处理中心近日发布了2013年全国信息网络安全状况与计算机和移动终端病毒疫情调查报告。该报告显示,超过半数被抽检政府网站存在安全隐患。这似乎印证了王刚的说法。

  前段时间,我国政府机关禁止采购Win8操作系统、赛门铁克等国外安全软件未进入政府采购名单等事件闹得沸沸扬扬。对此,王刚认为,国家出于维护网络安全的考虑,作出这样的决策是可以理解的,毕竟像操作系统、安全软件等核心技术,还是掌握在自己的手中比较放心。

  “但客观来说,我国要想完全靠自主研发相关技术和软件,我还是不太自信。”王刚坦言,“毕竟国外的相关公司有着几十年的积淀,这样的环境和丰富的经验,是我们没有办法比拟的。”

  “但相关核心技术的自主化道路,依然要走下去,并且我国几家大型互联网公司的技术水平也在不断提升。”王刚说,“不过总体来看,结合之前提到的黑色产业链而言,我对我国当下的网络安全形势不太乐观。”

  关注它才能规范它

  不过,王刚也给法治周末记者吃了颗“定心丸”,对于普通人而言,只要正常安装安全软件、定期查杀木马病毒、平时注意上网规范、不随意透漏个人信息的话,就可以规避一般的网络安全风险。

  李乐也表示,有些电影中描绘的看似神乎其神的黑客技术,虽然在现实中确实存在,也有过运用,但除非在一些特殊场合、运用于特殊目的外,不会对普通人的生活产生影响。

  比如美国著名黑客巴纳比 杰克曾曝出过心脏起搏器中存在技术漏洞,黑客可以利用这个漏洞让心脏起搏器释放830V高压电击,从而“遥控杀人”。而当下火热的智能家居概念,也存在被黑客入侵、远程遥控的可能。

  不过在李乐看来,这些漏洞的曝光,更多的都是黑客们在炫耀其黑客技术的高超,并不会像之前提到的黑色产业链一样,对普通人的信息安全造成巨大影响。

  “针对某些设备,单独去布置、设计一套黑客软件的成本是非常高的,如果无法产业化利用,就无法带来收益,就没有多少的利用价值。比如对于一个家庭中的智能设备来说,除非存在着某些特定的目的,比如有对其进行监控的需求,一般不会有人去做。就这个层面上来说,黑客对于安全的影响是有限的。”李乐表示。

  李乐认为,与这些经常被报道的尖端黑客技术所能引起人们的注意相比,更具危害性的黑色产业链往往会被忽视,从而形成地下产业,并且很多案子即便被爆料出来,最终也都不了了之。

  “国家和公众对于这些黑色产业链的关注度太低,没有引起足够的重视,所以相关的规范和治理也无法跟上。保障网络安全、创造良好的网络环境,需要各界关注黑客背后所从事的黑色产业链。”李乐表示,这也是他接受法治周末记者采访的原因之一。

  直到现在,李乐也不喜欢别人称他为“黑客”,因为在他看来,这个称呼多少带着些贬义。更多时候,他还是愿意别人称他为“技术员”。

  李乐很喜欢一句话“hack for fun”,他也希望将这句话送给黑客的同道中人——勿忘初心。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:急于找回丢失的手机 女子轻信谎言被骗