天微微亮，大鳥（化名）結(jié)束了一晚上的任務(wù)，他用涼水洗了一把臉，起身，去公司上班。在白天，他是某互聯(lián)網(wǎng)公司的程序員。晚上，他是互聯(lián)網(wǎng)論壇上活躍的“白帽子”。

“白帽子”是業(yè)內(nèi)的俗稱，即正面黑客，他們通過識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，發(fā)出漏洞警告，從而提醒企業(yè)或其他單位在被黑客侵入前修補漏洞。

由于白天工作時間不允許，大鳥只能用晚上的時間做“白帽子”的工作。這讓他很疲憊，如果進入到了活動狀態(tài)，大鳥可能會有很長一段時間都在高度緊張的精神狀態(tài)中度過。

除了在論壇中得到被同行贊許的快感，很多時候，他們面對的是一群對漏洞不屑的人。因為每次被曝出漏洞之后，許多企業(yè)的第一反應(yīng)是“辟謠”，而不是直面問題。

在大數(shù)據(jù)和云計算的時代，互聯(lián)網(wǎng)正在重構(gòu)整個制造業(yè)和服務(wù)業(yè)的運行體系，買方和賣方的對接越來越依賴于大數(shù)據(jù)，而不是實體的店面、中介。數(shù)據(jù)庫的作用越來越重要，但安全卻難有保障。

或許因為企業(yè)對漏洞不屑的態(tài)度，一些技術(shù)人員會警告企業(yè)——既然你不屑，我就干一單給你看。一些技術(shù)人員拿著漏洞去要挾企業(yè)，換取報酬，涉及利益巨大，一些人甚至很短時間就完成原始資本積累。白帽子是以其行為來判斷，但也有可能在某些時間里，變成真正的黑客。

在國內(nèi)，目前逐漸形成了一些漏洞舉報的平臺，如烏云網(wǎng)、360都建立了舉報漏洞的機制，方法各不相同。國家互聯(lián)網(wǎng)應(yīng)急中心也建立了漏洞共享平臺，每周發(fā)布信息安全漏洞周報。

一些企業(yè)的態(tài)度也變得開明起來，如1月14日，特斯拉的官方訂購平臺被白帽子發(fā)現(xiàn)漏洞，原價30萬元的預(yù)訂金，白帽子可以在后臺將之修改為一元錢。特拉斯得知后迅速修復(fù)了該漏洞，并承認(rèn)該筆訂單有效，同時還從總部郵寄了官方紀(jì)念品送給白帽子。

記者通過半個月的調(diào)查，接近了多位白帽子，他們中的部分不愿意透露真實姓名；同時，記者也試圖從被業(yè)內(nèi)稱之為“社會學(xué)工程庫”的論壇，尋找活躍在數(shù)據(jù)買賣鏈條上的人。此外，通過分析已有的案例和司法判決，也可以探尋這個龐大黑色產(chǎn)業(yè)在互聯(lián)網(wǎng)時代日益形成的安全隱患。

入侵

“你不要社我啊?！边@是一句從事網(wǎng)絡(luò)安全程序員們的“行話”?！吧纭笔侵干鐣W(xué)工程庫，他們把獲取海量的個人信息稱為社會學(xué)工程分析。

在社工論壇上，你可以找到各式各樣的賣家和買家。他們明目張膽地買賣各種個人信息資料，如開房資料、考研學(xué)生資料、公積金信息等，一般都是幾十上百萬條信息打包出售，他們將這些打包出售的數(shù)據(jù)庫俗稱為“褲子”。

而“社”一個人，則意味著在網(wǎng)絡(luò)上挖掘與這個人有關(guān)的各種資料，通過不同網(wǎng)站的海量數(shù)據(jù)，破解密碼、下載資料……

一般而言，第一步需要入侵某個網(wǎng)站的后臺系統(tǒng)。這個過程并不復(fù)雜，對一個電腦迷而言，一個剛?cè)胄械闹袑W(xué)生就可能有能力侵入一個普通網(wǎng)站。

大鳥對我們講述了他的故事。第一次學(xué)習(xí)黑客技術(shù)是大一的暑假，他花了一個月的時間在寢室自學(xué)。不久后，就已經(jīng)可以進入學(xué)校網(wǎng)站的后臺了。

從這一刻開始，數(shù)據(jù)就有了被泄露的危險。大鳥不會將數(shù)據(jù)下載下來用于己用，僅用來檢測網(wǎng)站是否存在漏洞，但他告訴記者，黑客入侵網(wǎng)站與白帽子檢測網(wǎng)站，在技術(shù)路徑上幾乎是相同的。

大鳥不崇拜儀式感，他不喜歡稱之為戰(zhàn)斗，但這確實是一場戰(zhàn)斗，雖然戰(zhàn)利品只是為了滿足一種孩童式的好奇、對技術(shù)偏執(zhí)的渴望，但把它稱之為一場發(fā)生在“入侵者”與技術(shù)“看守者”之間的戰(zhàn)斗或許并不為過。

在大鳥的印象中，記憶最深的一次入侵行動是他在正式做一名職業(yè)白帽子之前。那是一次比較復(fù)雜的行動。大鳥發(fā)現(xiàn)了一家國外網(wǎng)站，對其原代碼十分感興趣，為了看到代碼，他決定“入侵”這家網(wǎng)站。

大鳥先找擁有域名的這個人，查他的信息，發(fā)現(xiàn)此人是外國人。因為不是中國人，所以不能掌握太多他的信息。接下來尋找這個域名下的子域名。

經(jīng)過分析，發(fā)現(xiàn)一些子域名放在幾臺普通VPS（Virtual Private Server 虛擬專用服務(wù)器）上，打開幾個頁面是空的。掃了幾個端口也沒發(fā)現(xiàn)端倪，他知道從這幾臺VPS上很難找到問題，于是他決定找一下它的VPS提供商。

如果拿到VPS提供商的權(quán)限，就可以獲取它所有VPS的權(quán)限，自然也就獲取了該域名所指向的VPS權(quán)限。隨后他發(fā)現(xiàn)這個VPS服務(wù)商的運維配置有一些問題，一步一步滲透下去，最終找到了該VPS提供商所有用戶控制面板的賬號密碼，最后找到了對應(yīng)人的賬戶密碼。

拿到用戶密碼后，大鳥登陸了對方的控制面板。VPS是以控制面板進行操作的，進入控制面板就可以操控他服務(wù)器上的文件，但是沒有文件打包編輯功能。最后，大鳥上傳一個了網(wǎng)頁后門，便獲得了它的代碼。

經(jīng)過十分復(fù)雜的程序，大鳥獲取了這臺服務(wù)器的權(quán)限，順利看到了代碼。

或許從技術(shù)上，這并不算很難，但對于大鳥來說，這次“入侵”的復(fù)雜性遠(yuǎn)遠(yuǎn)高于技術(shù)，經(jīng)過一個多月的“戰(zhàn)斗”，看到代碼后，他選擇讓自己大睡一場，進入冬眠。

竊取數(shù)據(jù)

對于白帽子而言，發(fā)現(xiàn)了網(wǎng)站的漏洞，他的工作就接近了尾聲了?？蓪τ诤谏a(chǎn)業(yè)鏈（簡稱“黑產(chǎn)”）上的人來說，任務(wù)才剛剛開始，他們的目的是拿到數(shù)據(jù)，進而轉(zhuǎn)化成金錢。

業(yè)內(nèi)人士透露，黑客的慣用手法有很多種，但路徑上存在相似性：獲得外網(wǎng)服務(wù)器權(quán)限、進入內(nèi)網(wǎng)、判斷核心業(yè)務(wù)范圍、獲取核心業(yè)務(wù)服務(wù)器權(quán)限，找到數(shù)據(jù)庫密碼、看到核心數(shù)據(jù)、下載核心數(shù)據(jù)、拿到最高權(quán)限、抹掉所有痕跡。

這是一個相對理想的操作鏈條，但并不意味所有的黑客都能完成上述步驟，比如“拿到最高權(quán)限”并不容易，因此有些黑客下載了所有核心數(shù)據(jù)，但痕跡仍被記錄。

對于目標(biāo)的尋找，一位接近黑產(chǎn)的人士稱，有時是黑客主動尋找“含金量高”的網(wǎng)站，侵入網(wǎng)站，竊取數(shù)據(jù)。這主要涉及的是一些與金錢交易有關(guān)的公共服務(wù)行業(yè)，如信用卡或網(wǎng)絡(luò)支付、火車票購票網(wǎng)站、航空公司購票系統(tǒng)、網(wǎng)絡(luò)購物網(wǎng)站等等。

還有一些則是接受定向委托，一般委托方來自商業(yè)競爭對手，需要獲得競爭對手的客戶數(shù)據(jù)，于是雇傭黑客。

在進入內(nèi)網(wǎng)時，有時候黑客會直接查看對方的員工信息是否存在泄露，或根據(jù)常用密碼top 100來進行測試，如果順利登陸員工賬號，就可以直接進入內(nèi)網(wǎng)。

但對于需要核心數(shù)據(jù)的黑客而言，進入內(nèi)網(wǎng)只是第一步，接下來，黑客需要對數(shù)據(jù)進行分析，判斷核心數(shù)據(jù)所在位置，這就需要黑客對該網(wǎng)站的業(yè)務(wù)十分熟悉，甚至熟悉程度要高于網(wǎng)站運維人員，這樣才能判斷核心數(shù)據(jù)的子域名在哪一個IP段，進而找到核心數(shù)據(jù)。

當(dāng)然，時機的選擇十分重要，這一切都要在一個合適的時間里進行：一個網(wǎng)站流量大，看守者不容易發(fā)現(xiàn)的時間。比如，一般的社交網(wǎng)站，上午十點和下午三點比較活躍。在這樣的時間里“拖庫”相對不易被察覺。

“拖庫”同樣是行話，意思是將目標(biāo)數(shù)據(jù)下載下來。但在許多時候，他們并非需要經(jīng)過復(fù)雜的入侵程序獲得數(shù)據(jù)。因為許多人在不同的網(wǎng)站注冊信息時，會使用相同或相似的密碼。因此，這就存在利用“撞庫”的方式獲得更多的數(shù)據(jù)的可能。

2014年底發(fā)生的12306網(wǎng)站用戶信息泄露的事件，起初就被指是“撞庫”行為，即用戶的用戶名和密碼在其他網(wǎng)站泄露了，黑客利用其他網(wǎng)站獲得的用戶數(shù)據(jù)包，自動登錄另一個網(wǎng)站，匹配出部分用戶信息，形成數(shù)據(jù)庫。

不過，即使是通過“撞庫”發(fā)生的信息泄露，相關(guān)網(wǎng)站也難脫其責(zé)，因為只有存在安全漏洞，網(wǎng)站才可能被“撞庫”。

目前，12306網(wǎng)站用戶信息泄露事件發(fā)生的原因仍不明，官方仍未公布調(diào)查進展，網(wǎng)絡(luò)也曾一度流傳出泄露不是“撞庫”行為產(chǎn)生用戶信息泄露的例證。

黑色產(chǎn)業(yè)鏈

在數(shù)據(jù)被竊取之后，黑客不一定可以將這些數(shù)據(jù)銷售出去。職業(yè)“中介”應(yīng)運而生。黑產(chǎn)鏈條上，有人負(fù)責(zé)竊取數(shù)據(jù)，有人專門從事分銷，尋找目標(biāo)買家或幫買家尋找黑客。

記者試圖尋找這樣的人，于是在一些社工庫論壇注冊，發(fā)帖“雇傭黑客”，并且尋找一些專門從事數(shù)據(jù)交易的QQ群。在QQ群搜索功能中，只要輸入“數(shù)據(jù)買賣”、“數(shù)據(jù)交易”等關(guān)鍵字就會看到有大量的活躍群，它們的名字直白簡單，一般以“數(shù)據(jù)交易群”、“淘寶數(shù)據(jù)交易”等字樣為主。

記者偽裝成買家進入了其中一個交易群，并與一位聲稱可以提供“進線數(shù)據(jù)（打進某個電話的數(shù)據(jù)）”的人進行對接。該人士稱，自己可以拿到每個行業(yè)里任意一家企業(yè)的進線數(shù)據(jù)。通過進入機房，實時監(jiān)控?fù)艽蛟摴咎柎a的電話，并將其截取下來，進行銷售。

但陌生人的網(wǎng)絡(luò)交易，確保交易安全是個難題，數(shù)據(jù)提供方可能提供假數(shù)據(jù)，而數(shù)據(jù)購買方也不希望自己的購買行為被記錄下來。對于這些疑問，該人士稱，自己可以提供前一天的進線數(shù)據(jù)，并保證數(shù)據(jù)是一手信息。交易的過程，需要買家先少量購買，付錢后再工作，如果買家對第一批數(shù)據(jù)滿意，再進行下一步更多數(shù)據(jù)的交易。

至于交易價格，該人士說，每個行業(yè)的價格不同，記者問到餐飲行業(yè)的某家巨頭企業(yè)，他稱這些數(shù)據(jù)價格1條10元，而這個價格稱得上是“不便宜”。

數(shù)據(jù)交易達(dá)成的半年內(nèi)，買家和數(shù)據(jù)提供商為唯一擁有者，數(shù)據(jù)商保證不會泄露給第三方。半年后，數(shù)據(jù)商就可以將數(shù)據(jù)打包銷售，但此時數(shù)據(jù)已經(jīng)大大貶值，一條的價格大概是幾毛錢。

這時候，就產(chǎn)生了“二手?jǐn)?shù)據(jù)”，二手?jǐn)?shù)據(jù)一般會倒賣好幾次，基本已經(jīng)算是“公開”信息，這樣的數(shù)據(jù)在一些社工網(wǎng)站上隨處可見。記者潛水幾個社工論壇多天，發(fā)現(xiàn)每天都會有幾條數(shù)據(jù)供應(yīng)帖發(fā)出，論壇用戶只需要支付幾個金幣（一金幣一元錢）的價錢就可以購買到大量數(shù)據(jù)，有的數(shù)據(jù)（如個別企業(yè)內(nèi)部通訊錄）甚至可以免費下載。

另外，在交易群里，經(jīng)常出現(xiàn)一些交易請求，有的在尋找數(shù)據(jù)商，有的在出售數(shù)據(jù)。而在QQ群記錄中，記者看到其中一條信息，涉及各公司大佬的手機號、郵箱等關(guān)鍵信息，該數(shù)據(jù)持有者將關(guān)鍵數(shù)字抹去，留下QQ號，吸引買家。

不過，擁有這類功能的QQ群有很多，記者申請進入數(shù)十個群，只有一個通過了請求。上述知情人士表示，這種情況并不意外。

黑產(chǎn)鏈條上的中介人士面貌仍模糊不清。一些接近這些人士的白帽子稱，這些人的圈子很小，有些是“老鄉(xiāng)帶老鄉(xiāng)”的方式發(fā)展。而網(wǎng)絡(luò)犯罪呈現(xiàn)的一些特征也印證了這個特征。2014年12月6日，公安部網(wǎng)絡(luò)安全保衛(wèi)局法制工作處處長李菁菁在一次論壇上介紹，目前我國網(wǎng)絡(luò)犯罪案件地域化明顯，比如廣西南寧QQ好友詐騙、福建安溪網(wǎng)絡(luò)購物詐騙、海南儋州網(wǎng)絡(luò)中獎詐騙等。

通過中國裁判文書網(wǎng)的公開檢索也可以發(fā)現(xiàn)，這些地區(qū)相關(guān)案件判決書數(shù)量明顯高于周邊地區(qū)。

《刑法》第285條規(guī)定了非法入侵計算機信息系統(tǒng)罪，通過已判決的司法案件也可以窺視黑產(chǎn)業(yè)的狀況。2014年1月1日至今，中國裁判文書網(wǎng)公布了15份非法入侵計算機信息系統(tǒng)罪判決書，其中除少數(shù)目的為買賣國家機關(guān)證件和事業(yè)單位印章外，大多是為非法獲取、買賣公民個人信息。

如，2013年3月，1986年出生的陳某和1981年出生的崔某在兩家網(wǎng)絡(luò)游戲公司的系統(tǒng)中植入木馬，下載了幾十萬條游戲賬號及密碼，并以1.4萬元價格賣出，此后這批賬號和密碼又在網(wǎng)絡(luò)“黑市”中被輾轉(zhuǎn)交易。他們分別被判處有期徒刑4年和2年，并各處3000元和2000元的罰金。

不過，黑市上所出售的個人信息并非都是來自非法侵入計算機系統(tǒng)，有些是來自內(nèi)部人的監(jiān)守自盜，這些案例也并不少見。

需求方

黑產(chǎn)的形成在于存在強大的市場需求，參與購買數(shù)據(jù)的最終需求者多種多樣。如，一些商業(yè)機構(gòu)是強大的需求方，他們?yōu)榱双@取潛在的客戶資料、了解競爭對手的核心數(shù)據(jù)，從而從黑市購買數(shù)據(jù)。還有一些創(chuàng)業(yè)公司，是為了充實客戶量，制造“虛假的繁榮”，以吸引風(fēng)險投資。

一位業(yè)內(nèi)人士對記者分析了幾起案例，如2014年底，130萬考研考生信息泄露。他分析稱，許多考研培訓(xùn)機構(gòu)需要這些數(shù)據(jù)，進而進行精準(zhǔn)的市場推廣。

與此同理，此前還發(fā)生過新生兒信息泄露事件。他稱，許多母嬰保健機構(gòu)、培訓(xùn)機構(gòu)、奶粉經(jīng)銷商、玩具經(jīng)銷商等各種盈利性組織對此類信息都有需求。

快遞服務(wù)業(yè)同樣是被黑產(chǎn)盯上的“重災(zāi)區(qū)”。有白帽子對記者表示，快遞單號十分容易獲得，只要對網(wǎng)址進行修改，就可以看到單號的具體信息。而在一些交易網(wǎng)站上，快遞單號被明碼標(biāo)價，幾毛錢就能買到一個單號信息。

這樣的案例不勝枚舉，交通、醫(yī)療、教育、金融服務(wù)、酒店業(yè)、快遞業(yè)等公共服務(wù)行業(yè)機構(gòu)都掌握了大量的用戶信息，使之成為其上下游產(chǎn)業(yè)及類似機構(gòu)覬覦的目標(biāo)。

近年來，還有創(chuàng)業(yè)公司購買數(shù)據(jù)，迅速做大客戶群，從而吸引外來投資。該人士舉例，曾遇到過一位朋友的創(chuàng)業(yè)公司，通過購買數(shù)據(jù)，讓自己的用戶數(shù)據(jù)庫看起來龐大一些。這種情況并不少見。

企業(yè)為何“休眠”？

在數(shù)據(jù)泄露的過程中，數(shù)據(jù)保管者有著不可推卸的責(zé)任。

烏云網(wǎng)合伙人鄔迪告訴記者，幾乎每一個網(wǎng)站都可能存在漏洞。漏洞是造成泄露的一大因素，烏云網(wǎng)建立的初衷之一就是為了減少因漏洞造成的泄露，在泄露之前對漏洞曝光，并通知廠商及時修補。

鄔迪表示，國內(nèi)企業(yè)的安全意識并不強，一開始，很多企業(yè)在被通知漏洞后會選擇置之不理，這是造成之后信息被泄露的原因之一。

記者梳理了以往發(fā)生的信息泄露事件，一些漏洞引起的問題反復(fù)出現(xiàn)。

如此前被烏云網(wǎng)頻頻爆出漏洞的12306網(wǎng)站，并非首次出現(xiàn)用戶信息泄露事件，漏洞卻遲遲未修復(fù)。

再比如，2014年3月22日，烏云漏洞平臺發(fā)布消息稱，攜程系統(tǒng)存在技術(shù)漏洞，可導(dǎo)致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼以及銀行卡6位Bin（用于支付的6位數(shù)字）。而在此之前，攜程信息安全漏洞事件就已經(jīng)多次發(fā)生，其中2014年1月，在被媒體指出儲存信用卡敏感信息存在泄露風(fēng)險時，攜程網(wǎng)回應(yīng)稱采用的信用卡支付方式符合國際慣例。

業(yè)內(nèi)人士分析，企業(yè)數(shù)據(jù)安全意識不強、懲處機制的不明是導(dǎo)致企業(yè)在漏洞發(fā)生后沒有及時修補的原因之一。

另外，數(shù)據(jù)庫的設(shè)計缺陷也是數(shù)據(jù)可能泄露的原因。一位數(shù)據(jù)庫的設(shè)計人員告訴記者，一些公司尋找第三方設(shè)計數(shù)據(jù)庫，確實存在泄露的風(fēng)險。雙方在合作之前，一般會簽署保密協(xié)議，但由于設(shè)計者可以看到客戶的核心數(shù)據(jù)，因此數(shù)據(jù)是否泄露，不僅要看保密協(xié)議，還要看設(shè)計者的人品。

一位創(chuàng)業(yè)公司的負(fù)責(zé)人告訴記者，公司的數(shù)據(jù)庫自己設(shè)計，其考量的因素就是擔(dān)心核心用戶數(shù)據(jù)泄露。

政府網(wǎng)站同樣是高危行業(yè)，一位白帽子告訴記者，他們一般只去測試省級政府網(wǎng)站的漏洞，更低層級的政府網(wǎng)站漏洞甚至可能找不到負(fù)責(zé)人。有些網(wǎng)站的技術(shù)水平，在他們看來根本達(dá)不到采購中所需耗費的價格。

相對樂觀的是，隨著大數(shù)據(jù)和移動互聯(lián)網(wǎng)在各行各業(yè)的深入運用，很多廠商的信息安全意識都在提高，表現(xiàn)之一是在接收到漏洞舉報后大多會及時修補。而發(fā)現(xiàn)和舉報漏洞的白帽子人才市場一旦形成，從事黑產(chǎn)的人就會越來越少。

“讓黑產(chǎn)上的人變成白帽子，這是未來的方向?！币晃话酌弊訉τ浾哒f。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900