技术无罪论者往往以“杀人的不是枪,而是持枪的人”这句极富哲学意味的话作为论据,但他们往往忽略了这样一个事实,既枪是中立的工具,它的属性是具象化的物体。而技术则是科学的应用,应用则伴随着某种行动。行动必然有好坏之别,那么技术也应该有善恶之分。
山东大学生徐玉玉之死再次掀开了网络黑色产业链的一角,但这场人间悲剧并没有让这一罪恶的产业链条停止运转。150万网络黑产从业者仍然隐匿在阴暗的角落里,用日益先进的技术手段盗取、贩卖个人信息,产业下游的诈骗犯们则忙着设置各种骗局……
在我看来,黑客盗取数据的手段所反映出的正是技术“恶”的一面,反之,安全厂商不断升级防御手段打击网络黑产则反映出技术“善”的一面。随着犯罪手段的高科技化趋势加剧,网络安全厂商也不断对防御技术进行升级,一场善与恶的较量悄然展开。
杀人于无形的黑色利益网
一切产业背后都有巨大的利益驱使,网络黑色产业链也不例外。互联网协会发布的报告显示,截至目前网络黑产从业者数量超过150万人,仅从2015年下半年到今年上半年的一年间,因为个人信息泄露、诈骗信息等造成的经济损失高达915亿元,换句话说这150万黑产从业者从中获取的利益已经接近千亿规模。
而这条黑色产业链上的从业者分工明确各司其职,上游黑客利用网站漏洞盗取用户数据,再将这些数据直接或间接出售给诈骗团伙或是有相关营销需求的企业。编写恶意代码者、出售网络漏洞者、攻击窃取用户数据的黑客、个人信息批发零售商连同诈骗团伙共同构成了这条充满罪恶的黑色产业链,而正值花季的徐玉玉则不幸沦为产业链的牺牲品。
徐玉玉事件发生后,曾有白帽子黑客轻而易举地进入当地教育部门的网站后台,下载考生信息。尽管根据目前的调查尚不能确定徐玉玉个人信息泄露确系黑客窃取所致,但相关网站防御体系的脆弱着实让人捏一把汗。另有媒体调查发现,大量包括学生在内的公民信息在黑市上被明码标价售卖,信息的售卖者既不参与信息盗取环节也不介入实施诈骗环节,相当于二道贩子。
对于产业下游的诈骗分子而言,其之所以铤而走险原因在于个人信息的获取成本很低,同时获得的利益回报巨大。“5000块8万条数据,你在哪里都买不到吧?”这是与一名个人信息贩卖者的真实对话,平均下来一条个人信息价格仅为6分钱。另有调查显示,黑客实施攻击行为窃取数据的成本也十分之低,几百块钱就可以购买5G的DDos攻击流量。这也是为什么近期DDos攻击频发的重要原因。
那么,面对肆虐的黑色产业链我们真的无计可施吗?对它的打击治理又难在何处?
打击网络黑产究竟难在何处?
理论上讲,任何接入互联网的设备和系统都存在安全漏洞,包括我们平时使用的智能手机,我们访问的任何一个网站,使用的任何一个手机应用,随着物联网的发展,家电、汽车等生活设备都有可能成为黑客攻击的对象。这也就意味着,信息泄露的渠道会越来越多,信息泄露的几率也随之增加。
从黑色产业链上游来看,黑客窃取个人信息的行为很难被有效制止,这就导致上下游的供需关系很难被掐断,而个人信息交易现象存在一天就意味着信息、电话诈骗现象会同时存在。
另外,犯罪分子窃取个人信息手段的科技含量越来越高,这在客观上为安全厂商的应对带来了挑战。就目前来看,无论是个人还是企业,使用的安全软件仅能提供被动防御,也就是说只有在遭受攻击时才会发挥作用,而如果病毒库没有升级或是遇到新型病毒,结果可想而知。所以从技术层面来看,技术“善”的一面难免会遭遇“道高一尺魔高一丈”的局面。
而从管理层面来看,由于黑色产业链牵扯的环节太多,监管难度可想而知,而在调查诈骗案件过程中,责任的判定又是一道难题。以徐玉玉事件为例,尽管最终四个诈骗犯落网,但信息泄露的渠道要不要追查,售卖信息的人要不要追责?更进一步讲,如果确因网站存在安全漏洞导致信息泄露,网站的负责人要不要追责?这些都为打击黑色产业链设置了障碍。
所以目前治理网络黑色产业链的最好方式仍然是从根源上降低信息泄露的几率,方式就是不断提高防御能力优化防御体系,安全厂商也需要重新作出自我定位,真正肩负起打击黑色产业链的责任。
安全厂商需要重新自我定位
在刚刚结束的XCon2016安全焦点信息安全技术峰会上,百度安全披露了这样一组数据:2016年6月,全国Android平台新增手机病毒数量达到384.1万个,较2015年下半年的274.4万个,环比上涨40%。如果不拿出有效的应对手段,病毒的制造和传播者只会更加肆无忌惮,更多的人将面临信息泄露和诈骗问题。
更为值得担忧的问题是随着物联网的发展,汽车、家电等与我们生活息息相关的设备都存在信息安全隐患,可以说信息安全问题已经成为一个全场景的问题,那么在应对措施上自然也需要从全方位出发。也就是百度安全所提出的“全息安全生态”的概念。
所谓全息安全生态,是指百度安全充分利用云计算、大数据、人工智能等诸多前沿技术布局全息安全生态,迎合安全行业由产品向能力升级,功能向服务升级,为不同行业、不同企业,甚至不同应用场景,提供基于人工智能、云计算、大数据等安全技术的个性化全息、立体安全解决方案,满足“智能+”时代互联网需求升级的新变化。
这个概念的提出要求传统安全厂商必须跟上时代的脚步重新作出自我定位,不能再局限于单纯的互联网杀毒、防御,而是要针对不同的生活场景拿出相应的安全方案,形成全息的安全生态。
另外,杀毒软件、静态防火墙等被动防御已经无法适应当前的互联网需求,安全厂商需要对防御技术做出升级。拿百度安全来说,结合其在人工智能领域和大数据上的优势,构建出面向安全领域的智能学习引擎,自动识别用户存在的潜在威胁,主动应对网络犯罪的危害,提高对抗黑客的能力。
善与恶的较量仍然在不断上演,这场战争才刚刚开始。尽管百度安全这样的安全厂商们面临的挑战巨大,但无论如何我们都应该相信,技术“善”的一面终将打败其“恶”的一面。