揭密：黑客產(chǎn)業(yè)鏈?zhǔn)侨绾芜\(yùn)作的？

本刊記者｜姜紅德

近年黑客產(chǎn)業(yè)已經(jīng)從以前的零散狀態(tài)進(jìn)入產(chǎn)業(yè)鏈發(fā)展模式，黑客也從一個(gè)技術(shù)級現(xiàn)象演變成為產(chǎn)業(yè)級現(xiàn)象。在關(guān)注這一現(xiàn)象的同時(shí)，我們結(jié)合了業(yè)界各種最新動(dòng)態(tài)和安全業(yè)界人士的觀點(diǎn)，展現(xiàn)了真實(shí)的黑客和黑客產(chǎn)業(yè)鏈的發(fā)展?fàn)顩r，當(dāng)然這些還只是隱藏在水面之下的“冰山一角”。

“黑帽子”和“白帽子”

在不了解黑客之前，相信很多人都以為黑客就是我們經(jīng)常說到的網(wǎng)絡(luò)安全破壞者，其實(shí)這是混淆了黑客的概念。在網(wǎng)絡(luò)安全行業(yè)，一般利用黑客技術(shù)從事網(wǎng)絡(luò)攻擊等違法犯罪活動(dòng)的被認(rèn)為是“黑帽子”，而那些利用網(wǎng)絡(luò)技術(shù)進(jìn)行防御的黑客則被認(rèn)為是“白帽子”，兩個(gè)職業(yè)實(shí)際上有著比較大的區(qū)別。

“通常我們所說的駭客一般指的是破壞的一方即‘黑帽子’，黑客也就是經(jīng)常見到的‘白帽子’指的是崇尚技術(shù)的人，一字之差卻有天壤之別，”知道創(chuàng)宇安全研究員龐偉這樣對記者介紹。

在弄清這個(gè)群體的概念之后，我們就很容易理解為什么當(dāng)前越來越多的像DEF CON 、Kcon這樣的黑客大會(huì)逐漸走入我們視線的原因了：通過各種攻與防的交流，可以更好地維護(hù)網(wǎng)絡(luò)的安全運(yùn)行。

今年8月份的美國拉斯維加斯，DEF CON（世界黑客大會(huì)）在這里舉辦，同期舉辦的還有一年一度的BLACK HAT（黑帽子大會(huì)）。如今，“黑帽子”大會(huì)已成為一個(gè)世界級的信息安全會(huì)議，世界500強(qiáng)企業(yè)、國際網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)提供商，甚至美國聯(lián)邦調(diào)查局(FBI)，都成了參會(huì)嘉賓。門票一張要2000多美元，參加會(huì)議的多是全球大型信息安全企業(yè)的高管及核心技術(shù)人員，或是在黑客界的大腕。

在會(huì)議中“黑帽子”們隨處可見，如果您在會(huì)議過程中讓手機(jī)處于開機(jī)狀態(tài)，很可能就被他們布置的無線陷阱俘獲，進(jìn)而竊聽您的私人談話，破解手機(jī)郵件，了解你的日常行蹤，甚至是竊取您的銀行賬戶和密碼。

國內(nèi)近年來陸續(xù)登上世界黑客大會(huì)的演講者基本上都是一些知名的“白帽子”。比較知名的包括于旸、范淵和以諸葛建偉帶頭的清華大學(xué)藍(lán)蓮花戰(zhàn)隊(duì)等。和“黑帽子”相比，“白帽子”更多地是從防御的角度去學(xué)習(xí)攻擊的技術(shù)?！拔覀儼l(fā)現(xiàn)很多黑客技術(shù)經(jīng)常是在美國出現(xiàn)一年之后，才在國內(nèi)重視起來，如果不了解這些攻擊的技術(shù)，我們很難在防御上做出成績?！币晃弧鞍酌弊印边@樣表示參加世界黑客大會(huì)的初衷。

黑產(chǎn)業(yè)鏈起底

在今年8月份在國內(nèi)舉辦的Kcon黑客大會(huì)上，一直以來被喻為“冰山一角”的黑客產(chǎn)業(yè)鏈得到了專業(yè)人士的曝光。黑客產(chǎn)業(yè)鏈就是通過黑客技術(shù)入侵服務(wù)器獲取站點(diǎn)權(quán)限以及各類賬戶信息并從中謀取經(jīng)濟(jì)利益的一條產(chǎn)業(yè)鏈。這條產(chǎn)業(yè)鏈具體包括流量類型、僵尸網(wǎng)絡(luò)、私服外掛等，一旦有人不小心中招，就會(huì)在不知不覺中遭受詐騙、盜刷等各種危害。

通常來說，黑客產(chǎn)業(yè)鏈里的黑客們來錢非?？?。一般的網(wǎng)絡(luò)安全研究人員，月薪5萬已經(jīng)非常高了，可是黑客產(chǎn)業(yè)鏈里的黑客們一個(gè)星期就可以賺到這么多的錢。

據(jù)了解，黑客產(chǎn)業(yè)鏈基本可以分為以下幾類：流量類型（網(wǎng)絡(luò)博彩、外貿(mào)營銷、黑鏈買賣交易、寄生蟲站群、廣告作弊……）；僵尸網(wǎng)絡(luò)（木馬后門、DDOS攻擊……）；私服外掛；數(shù)據(jù)買賣交易（網(wǎng)站數(shù)據(jù)庫、信用卡盜刷、票據(jù)信息詐騙……）；其他（0day買賣、商業(yè)飛單偷單）等。

知道創(chuàng)宇安全研究員龐偉介紹，“在形成規(guī)模之前，黑產(chǎn)是一個(gè)零散的、不完整的產(chǎn)業(yè)鏈，如今是一個(gè)貫穿竊取個(gè)人信息到現(xiàn)金的整條產(chǎn)業(yè)鏈，每個(gè)人都有不同的角色。而且和以前相比，從手段到速度、規(guī)模都不太一樣，也出現(xiàn)了一些新的模式。比如一些黑客通過某些手段把一些正規(guī)手機(jī)號碼信息加入到水貨iPhone手機(jī)中并用過販賣獲取暴利，這些就是一些新的模式。”

最為典型的QQ木馬盜號的流程是這樣的：由盜號商家（即老板）向軟件作者訂購軟件，木馬被編寫出來后由商家尋找流量商放到網(wǎng)上，用戶就在上網(wǎng)的過程中不知不覺下載了這些軟件到自己的電腦上，然后老板通過軟件就能獲得用戶的QQ號碼及密碼。在獲得這些信息后，一些QQ信封購買者( 信封指的是包含上萬個(gè)QQ信息的文本文件)就會(huì)利用這些信息進(jìn)行二手或三手轉(zhuǎn)賣，達(dá)到廣告、詐騙和洗錢的目的。

隨著賭球和足彩等行業(yè)的鼎盛，網(wǎng)絡(luò)博彩也成為近年來逐漸受到關(guān)注的黑色產(chǎn)業(yè)鏈。黑客在推廣過程中可以這么運(yùn)作：入侵一些服務(wù)器，往里面加些博彩關(guān)鍵詞，比如“賭博網(wǎng)”“世界杯”“足彩”等。然后做SEO的人把這些已經(jīng)入侵的站點(diǎn)往搜索引擎上推。當(dāng)搜索一個(gè)很正常的網(wǎng)站，你會(huì)發(fā)現(xiàn)一些博彩信息，難道這些網(wǎng)站還做博彩嗎？不是，是網(wǎng)站被入侵了，博彩信息是被黑客植入進(jìn)去的，這樣該網(wǎng)站就成了博彩站的導(dǎo)流入口。

為了更直觀了解黑客產(chǎn)業(yè)鏈的一些基本情況，安全業(yè)界專家為我們梳理了一條黑產(chǎn)的主要環(huán)節(jié)：首先是“工具開發(fā)和漏洞發(fā)掘”環(huán)節(jié)，該環(huán)節(jié)主要是黑客發(fā)現(xiàn)網(wǎng)絡(luò)中的各種漏洞，進(jìn)而利用掌握的技術(shù)和知識編寫出各種程序，作為犯罪工具，如QQ木馬；其次，利用安全漏洞，實(shí)施入侵、控制、竊密等行為，如獲得用戶QQ密碼、引導(dǎo)用戶進(jìn)入博彩網(wǎng)站等；再次，利用獲得資源進(jìn)一步犯罪，比如洗Q幣、唆使網(wǎng)絡(luò)賭球等；最后是銷贓變現(xiàn)環(huán)節(jié)，比如賺取博彩者的錢財(cái)和信用卡取現(xiàn)等環(huán)節(jié)。（見圖1）

“實(shí)際上現(xiàn)在的黑產(chǎn)在分工方面已經(jīng)非常專業(yè)化，各種角色都會(huì)發(fā)揮自己的作用。經(jīng)過實(shí)際打磨，黑客工具也很成熟，黑客技術(shù)的門檻降低了很多，而從事黑產(chǎn)的人越來越多”。業(yè)內(nèi)人士估計(jì)，現(xiàn)在的黑產(chǎn)在規(guī)模上已經(jīng)是以前的3~4倍。

手機(jī)會(huì)成為竊聽工具嗎？

黑產(chǎn)的另一個(gè)特點(diǎn)是從PC向移動(dòng)端轉(zhuǎn)移，《竊聽風(fēng)云3》里面的手機(jī)操控?cái)z像頭就是這樣的例子。竊聽者使用的都是手機(jī)的正常功能，只不過經(jīng)過稍微的改變就能變成可以利用的工具，把一些手機(jī)所有者能看的東西變成他們能看的東西。

圖1：黑客產(chǎn)業(yè)鏈主要環(huán)節(jié)

而隨著蘋果iCloud用戶照片泄密事件曝光以來，移動(dòng)云端的安全也變得不再可靠。“云端的安全，在方便的同時(shí)也帶來了巨大的安全隱患。你不知道上傳到云端之后，這些信息是否會(huì)公開？”

業(yè)內(nèi)人士認(rèn)為，目前移動(dòng)端的黑產(chǎn)還沒有完全流程化，但是最終還是會(huì)慢慢發(fā)展為和PC端的沒有什么區(qū)別，因此做好移動(dòng)端的防御也成為一個(gè)重點(diǎn)。拿手機(jī)的防護(hù)來說，蘋果系統(tǒng)升級頻繁，漏洞較少，黑客很難從外部攻入。如果不去越獄，就不會(huì)有很大的影響。而Android手機(jī)更新時(shí)間較長，漏洞經(jīng)常會(huì)被發(fā)現(xiàn)，專家建議安裝一個(gè)第三方的安全軟件。

“如果在蘋果APP下載軟件的話，基本上也不會(huì)有什么危險(xiǎn)，蘋果都會(huì)對這些應(yīng)用程序進(jìn)行嚴(yán)格的管理，因此基本上沒有什么木馬和病毒。刷機(jī)之后，會(huì)給手機(jī)原有的防護(hù)體系造成破壞，給黑客留下一個(gè)很大的漏洞。同時(shí)在其他網(wǎng)站下載的應(yīng)用程序，很難保證是安全可靠的?！?/p>

當(dāng)然一些手機(jī)公司也會(huì)做一些軟件審查和防御，但歸根結(jié)底對它們來說是一件很麻煩的事情，現(xiàn)在通常都是由專業(yè)手機(jī)殺毒公司提供一個(gè)防御軟件進(jìn)行清查。

安全聯(lián)盟保護(hù)網(wǎng)絡(luò)

為了打擊黑客的破壞行動(dòng)及保護(hù)網(wǎng)絡(luò)上的各種組織和個(gè)人的合法利益，在國家計(jì)算機(jī)病毒應(yīng)急處理中心、中國電子商務(wù)協(xié)會(huì)、中國中小企業(yè)協(xié)會(huì)的指導(dǎo)下，由百度、騰訊、金山、知道創(chuàng)宇等企業(yè)聯(lián)合業(yè)內(nèi)知名的搜索機(jī)構(gòu)、安全企業(yè)和媒體等組成了國內(nèi)第一家安全聯(lián)盟。按照定位，具體來說有兩方面主要任務(wù)：一是對于通過安全聯(lián)盟驗(yàn)證的誠信企業(yè)，安全聯(lián)盟通過互聯(lián)網(wǎng)手段將驗(yàn)證結(jié)果展示在互聯(lián)網(wǎng)平臺上，幫助企業(yè)網(wǎng)站獲得每日7億網(wǎng)民的點(diǎn)擊機(jī)會(huì)。二是基于自身強(qiáng)大的安全監(jiān)測引擎，并與國內(nèi)知名的互聯(lián)網(wǎng)企業(yè)如騰訊、百度、金山一起合作，對含有惡意內(nèi)容的網(wǎng)站進(jìn)行打擊。

知道創(chuàng)宇資深安全顧問秦波介紹，安全聯(lián)盟是一個(gè)NGO組織，通過安全聯(lián)盟可以建立有秩序的，一眼可以看清的規(guī)則。目前安全聯(lián)盟平臺每天會(huì)發(fā)布“黑名單”和“白名單”，前者主要是發(fā)布一些風(fēng)險(xiǎn)網(wǎng)站和產(chǎn)品，提防用戶受到傷害，后者則主要把一些信譽(yù)好的單位和網(wǎng)站進(jìn)行標(biāo)示，列為可信的機(jī)構(gòu)。這些基礎(chǔ)工作做完之后，安全聯(lián)盟接下來會(huì)和浙江衛(wèi)視等媒體合作更快地傳播信息。

秦波說，目前安全聯(lián)盟發(fā)布的“黑名單”中，每月發(fā)布的數(shù)據(jù)達(dá)到3000萬條以上，每天在搜索、微信等平臺上提醒用戶超過一億次，同時(shí)每天會(huì)新增100萬條數(shù)據(jù)。這些數(shù)據(jù)主要來源于各成員單位如騰訊等公司，他們把這些數(shù)據(jù)提煉出來交給聯(lián)盟處理，經(jīng)過辨識和標(biāo)示，統(tǒng)一發(fā)布到各大網(wǎng)站平臺。目前有超過50家媒體加入到安全聯(lián)盟的反欺詐平臺中，另外還有一個(gè)民間的萬人鑒定團(tuán)，通過網(wǎng)民的自發(fā)舉報(bào)，可以為其他用戶提供相關(guān)信息，減少欺騙和損失。同時(shí)聯(lián)盟已經(jīng)與互聯(lián)網(wǎng)法律援助基金會(huì)達(dá)成協(xié)議，針對消費(fèi)者遇到的消費(fèi)糾結(jié)和買到假貨等問題提供免費(fèi)的法律援助。在“白名單”發(fā)布方面，已經(jīng)獲得安全聯(lián)盟認(rèn)可的可信單位達(dá)到10萬家，同時(shí)還有數(shù)十萬家單位在做這方面的申請。

現(xiàn)在每天安全人員面對的數(shù)據(jù)超過數(shù)百萬條，純粹用人工的方式已經(jīng)不可行，通過機(jī)器過濾加上人工等方式可以確保每一個(gè)黑數(shù)據(jù)不被漏掉，也要保證每一個(gè)“白名單”獲得認(rèn)可。相信有了這些技術(shù)保障措施，黑產(chǎn)才不會(huì)在網(wǎng)絡(luò)環(huán)境中肆無忌憚，網(wǎng)民們的合法權(quán)益也能得到充分保障。