本刊记者｜姜红德

近年黑客产业已经从以前的零散状态进入产业链发展模式，黑客也从一个技术级现象演变成为产业级现象。在关注这一现象的同时，我们结合了业界各种最新动态和安全业界人士的观点，展现了真实的黑客和黑客产业链的发展状况，当然这些还只是隐藏在水面之下的“冰山一角”。

“黑帽子”和“白帽子”

在不了解黑客之前，相信很多人都以为黑客就是我们经常说到的网络安全破坏者，其实这是混淆了黑客的概念。在网络安全行业，一般利用黑客技术从事网络攻击等违法犯罪活动的被认为是“黑帽子”，而那些利用网络技术进行防御的黑客则被认为是“白帽子”，两个职业实际上有着比较大的区别。

“通常我们所说的骇客一般指的是破坏的一方即‘黑帽子’，黑客也就是经常见到的‘白帽子’指的是崇尚技术的人，一字之差却有天壤之别，”知道创宇安全研究员庞伟这样对记者介绍。

在弄清这个群体的概念之后，我们就很容易理解为什么当前越来越多的像DEF CON 、Kcon这样的黑客大会逐渐走入我们视线的原因了：通过各种攻与防的交流，可以更好地维护网络的安全运行。

今年8月份的美国拉斯维加斯，DEF CON（世界黑客大会）在这里举办，同期举办的还有一年一度的BLACK HAT（黑帽子大会）。如今，“黑帽子”大会已成为一个世界级的信息安全会议，世界500强企业、国际网络安全产品和服务提供商，甚至美国联邦调查局(FBI)，都成了参会嘉宾。门票一张要2000多美元，参加会议的多是全球大型信息安全企业的高管及核心技术人员，或是在黑客界的大腕。

在会议中“黑帽子”们随处可见，如果您在会议过程中让手机处于开机状态，很可能就被他们布置的无线陷阱俘获，进而窃听您的私人谈话，破解手机邮件，了解你的日常行踪，甚至是窃取您的银行账户和密码。

国内近年来陆续登上世界黑客大会的演讲者基本上都是一些知名的“白帽子”。比较知名的包括于旸、范渊和以诸葛建伟带头的清华大学蓝莲花战队等。和“黑帽子”相比，“白帽子”更多地是从防御的角度去学习攻击的技术。“我们发现很多黑客技术经常是在美国出现一年之后，才在国内重视起来，如果不了解这些攻击的技术，我们很难在防御上做出成绩。”一位“白帽子”这样表示参加世界黑客大会的初衷。

黑产业链起底

在今年8月份在国内举办的Kcon黑客大会上，一直以来被喻为“冰山一角”的黑客产业链得到了专业人士的曝光。黑客产业链就是通过黑客技术入侵服务器获取站点权限以及各类账户信息并从中谋取经济利益的一条产业链。这条产业链具体包括流量类型、僵尸网络、私服外挂等，一旦有人不小心中招，就会在不知不觉中遭受诈骗、盗刷等各种危害。

通常来说，黑客产业链里的黑客们来钱非常快。一般的网络安全研究人员，月薪5万已经非常高了，可是黑客产业链里的黑客们一个星期就可以赚到这么多的钱。

据了解，黑客产业链基本可以分为以下几类：流量类型（网络博彩、外贸营销、黑链买卖交易、寄生虫站群、广告作弊……）；僵尸网络（木马后门、DDOS攻击……）；私服外挂；数据买卖交易（网站数据库、信用卡盗刷、票据信息诈骗……）；其他（0day买卖、商业飞单偷单）等。

知道创宇安全研究员庞伟介绍，“在形成规模之前，黑产是一个零散的、不完整的产业链，如今是一个贯穿窃取个人信息到现金的整条产业链，每个人都有不同的角色。而且和以前相比，从手段到速度、规模都不太一样，也出现了一些新的模式。比如一些黑客通过某些手段把一些正规手机号码信息加入到水货iPhone手机中并用过贩卖获取暴利，这些就是一些新的模式。”

最为典型的QQ木马盗号的流程是这样的：由盗号商家（即老板）向软件作者订购软件，木马被编写出来后由商家寻找流量商放到网上，用户就在上网的过程中不知不觉下载了这些软件到自己的电脑上，然后老板通过软件就能获得用户的QQ号码及密码。在获得这些信息后，一些QQ信封购买者( 信封指的是包含上万个QQ信息的文本文件)就会利用这些信息进行二手或三手转卖，达到广告、诈骗和洗钱的目的。

随着赌球和足彩等行业的鼎盛，网络博彩也成为近年来逐渐受到关注的黑色产业链。黑客在推广过程中可以这么运作：入侵一些服务器，往里面加些博彩关键词，比如“赌博网”“世界杯”“足彩”等。然后做SEO的人把这些已经入侵的站点往搜索引擎上推。当搜索一个很正常的网站，你会发现一些博彩信息，难道这些网站还做博彩吗？不是，是网站被入侵了，博彩信息是被黑客植入进去的，这样该网站就成了博彩站的导流入口。

为了更直观了解黑客产业链的一些基本情况，安全业界专家为我们梳理了一条黑产的主要环节：首先是“工具开发和漏洞发掘”环节，该环节主要是黑客发现网络中的各种漏洞，进而利用掌握的技术和知识编写出各种程序，作为犯罪工具，如QQ木马；其次，利用安全漏洞，实施入侵、控制、窃密等行为，如获得用户QQ密码、引导用户进入博彩网站等；再次，利用获得资源进一步犯罪，比如洗Q币、唆使网络赌球等；最后是销赃变现环节，比如赚取博彩者的钱财和信用卡取现等环节。（见图1）

“实际上现在的黑产在分工方面已经非常专业化，各种角色都会发挥自己的作用。经过实际打磨，黑客工具也很成熟，黑客技术的门槛降低了很多，而从事黑产的人越来越多”。业内人士估计，现在的黑产在规模上已经是以前的3~4倍。

手机会成为窃听工具吗？

黑产的另一个特点是从PC向移动端转移，《窃听风云3》里面的手机操控摄像头就是这样的例子。窃听者使用的都是手机的正常功能，只不过经过稍微的改变就能变成可以利用的工具，把一些手机所有者能看的东西变成他们能看的东西。

图1：黑客产业链主要环节

而随着苹果iCloud用户照片泄密事件曝光以来，移动云端的安全也变得不再可靠。“云端的安全，在方便的同时也带来了巨大的安全隐患。你不知道上传到云端之后，这些信息是否会公开？”

业内人士认为，目前移动端的黑产还没有完全流程化，但是最终还是会慢慢发展为和PC端的没有什么区别，因此做好移动端的防御也成为一个重点。拿手机的防护来说，苹果系统升级频繁，漏洞较少，黑客很难从外部攻入。如果不去越狱，就不会有很大的影响。而Android手机更新时间较长，漏洞经常会被发现，专家建议安装一个第三方的安全软件。

“如果在苹果APP下载软件的话，基本上也不会有什么危险，苹果都会对这些应用程序进行严格的管理，因此基本上没有什么木马和病毒。刷机之后，会给手机原有的防护体系造成破坏，给黑客留下一个很大的漏洞。同时在其他网站下载的应用程序，很难保证是安全可靠的。”

当然一些手机公司也会做一些软件审查和防御，但归根结底对它们来说是一件很麻烦的事情，现在通常都是由专业手机杀毒公司提供一个防御软件进行清查。

安全联盟保护网络

为了打击黑客的破坏行动及保护网络上的各种组织和个人的合法利益，在国家计算机病毒应急处理中心、中国电子商务协会、中国中小企业协会的指导下，由百度、腾讯、金山、知道创宇等企业联合业内知名的搜索机构、安全企业和媒体等组成了国内第一家安全联盟。按照定位，具体来说有两方面主要任务：一是对于通过安全联盟验证的诚信企业，安全联盟通过互联网手段将验证结果展示在互联网平台上，帮助企业网站获得每日7亿网民的点击机会。二是基于自身强大的安全监测引擎，并与国内知名的互联网企业如腾讯、百度、金山一起合作，对含有恶意内容的网站进行打击。

知道创宇资深安全顾问秦波介绍，安全联盟是一个NGO组织，通过安全联盟可以建立有秩序的，一眼可以看清的规则。目前安全联盟平台每天会发布“黑名单”和“白名单”，前者主要是发布一些风险网站和产品，提防用户受到伤害，后者则主要把一些信誉好的单位和网站进行标示，列为可信的机构。这些基础工作做完之后，安全联盟接下来会和浙江卫视等媒体合作更快地传播信息。

秦波说，目前安全联盟发布的“黑名单”中，每月发布的数据达到3000万条以上，每天在搜索、微信等平台上提醒用户超过一亿次，同时每天会新增100万条数据。这些数据主要来源于各成员单位如腾讯等公司，他们把这些数据提炼出来交给联盟处理，经过辨识和标示，统一发布到各大网站平台。目前有超过50家媒体加入到安全联盟的反欺诈平台中，另外还有一个民间的万人鉴定团，通过网民的自发举报，可以为其他用户提供相关信息，减少欺骗和损失。同时联盟已经与互联网法律援助基金会达成协议，针对消费者遇到的消费纠结和买到假货等问题提供免费的法律援助。在“白名单”发布方面，已经获得安全联盟认可的可信单位达到10万家，同时还有数十万家单位在做这方面的申请。

现在每天安全人员面对的数据超过数百万条，纯粹用人工的方式已经不可行，通过机器过滤加上人工等方式可以确保每一个黑数据不被漏掉，也要保证每一个“白名单”获得认可。相信有了这些技术保障措施，黑产才不会在网络环境中肆无忌惮，网民们的合法权益也能得到充分保障。