黑客暗战—黑帽、白帽、灰帽背后的隐秘世界

　　“世界上有三种人：一种是被黑过，一种是不知道自己被黑过，还有一种是不承认自己被黑过。”

　　一位穿着灰衬衣黑长裤的年轻人在发表演讲。他中等个头、精瘦，略显紧张地单手插在口袋里。台下黑压压地坐着三百多人，大多是来自各地的黑客。听众们只知道这位年轻人的网名叫“猪猪侠”，他的身份是乌云社区的头号白帽子黑客。

　　在黑客的世界中，黑帽子和白帽子的称呼分别代表两种对立的角色——以网络信息牟利的恶棍和保护网络安全的英雄。这种说法缘于美国早期西部片以白帽和黑帽区分正邪双方。

　　这是在2014年9月12日乌云首届安全峰会上。峰会的主办者是国内著名第三方安全漏洞平台乌云网。乌云网由原百度安全专家方小顿在2010年创建，逐渐成为白帽子黑客的聚集地。他们相当于互联网的“啄木鸟”，随时监测各家网站漏洞，发出警告。

　　“后来我又想到第四种，就是正在被黑。”“猪猪侠”继续用他的南方口音说道。他并非危言耸听，在讲台的另一侧，一个针对现场听众手机的攻击正在进行——至少有3个人的{敏感词}余额、1个人的股票买卖等隐私信息出现在大会投影屏幕上。

　　在由信息流构成的网络世界中，这样的攻击几乎每时每刻都在发生。人们越离不开互联网，就越是身处险境。

　　在黑客诞生那会儿，其实世界不是这个样子。“黑客（Hacker）”一词原指用斧头砍柴的工人，1960年代这个词汇才被引入计算机圈。据《黑客： 电脑时代的英雄》一书记载，这个群体起源于1950年代的麻省理工学院。一群学生认为，信息都是应该公开的，可以被平等地获取。于是，他们闯入了当局限制 使用的一个计算机系统。

　　中国的黑客直到1990年代才露面。他们最初多是破解软件、用软盘复制小软件开始，第一次集体行动则颇具时代特色：在印尼排华事件后，向印尼政府网站的信箱中发送垃圾邮件。

　　最初的理想主义逐渐被金钱的诱惑所取代。在黑帽子隐身的地下世界中，一条买卖信息的产业链业已形成，并给黑帽子们带来了巨大利益。乌云创始人方小顿 曾在接受采访时称，可能一个并不起眼的黑客，某一天你就会发现他住上了好房，开起了好车。“目前最强的黑帽子和白帽子的收入差距大概是日薪一万和月薪一万 的差距。”

　　黑帽子的威胁使网络安全的市场需求激增。在《信息安全与通信保密》这份专业杂志的一份报告中称，2012年，中国网络安全产业规模达到216.40 亿元，同比增长20.9%。在A股上市公司中，涉及网络安全概念的至少达12家，这还不包括在美国上市、最高市值达100亿美元的奇虎360公司（纽交所 代码：QIHU）——这家公司自称拥有“东半球最强大的白帽子军团”。

　　在隐秘的战场上，白帽子和黑帽子的较量早就开始了。他们看不见对方，只能在一次次过招时才能感受到对方的存在。

“黑白”攻防战

　　每一个“信”就像一头牛，剥皮，拆骨，切肉，到了早上7点，只剩一摊血污。

乌云联合创始人孟卓，他在乌云上的ID是“疯狗”。 （刘志毅/图）

　　在黑客的世界中，黑帽子和白帽子的称呼分别代表两种对立的角色——以网络信息牟利的恶棍和保护网络安全的英雄。他们看不见对方，只能在一次次过招时才能感受到对方的存在。

　　与想象中的魔法世界不同的是，黑白帽子的对抗常常不发生在同一时间。奇虎360公司攻防实验室副主任林伟对南方周末记者说，他们面对的往往是事前的漏洞挖掘，或是黑帽子在事后留下的犯罪现场。

　　根据痕迹顺藤摸瓜修复漏洞，甚至找到攻击者是他们最经常的任务。白帽子同样可能使用攻击手段——在入侵者的网页中植入木马，当其试图操作时，定位入侵者。

　　“漏洞”是双方攻防的焦点。所谓漏洞，即在网络系统中可以被利用的缺陷。黑帽子一旦发现漏洞，即可迅速展开攻击。

　　以“信封号”（即被盗的QQ号）产业为例。31位曾在微软、百度、麦肯锡工作过的分析师组成了研究团队TOMsInsight，他们在一份报告中描 述了销赃的全过程：通过发现漏洞、植入木马或其他攻击手段获得的一组QQ用户名和密码称为一个“信”，一个信封就是一万个（或者一千个）信的集合，拿到这 些信息被称为“取信”。

　　随后是“洗信”，将号内的Q币、游戏装备转移出售，挑出本身就比较值钱的“靓号”。洗过之后，这些“二手信”变成了推送各种消息的绝佳平台：群发广告、欺诈信息、QQ空间植入广告。最后，被榨净的QQ号还会卖给黑客用来编写密码字典。

　　到了第二天天亮，被盗号的用户通常会发现QQ号被盗，从而修改密码或者采取安全保护，让信封中大量的号失效。所以整个销赃的过程都集中在晚上12点至早上7点之间。每一个“信”就像一头牛，剥皮，拆骨，切肉，到了早上7点，只剩一摊血污。

　　黑客的攻击，常常是通过入侵网站，植入木马，给广告商做推广引流量；盗取QQ号等有价值的账号信息；在“黑链”中用SEO负面信息实行敲诈；更直接 的，通过破解厂商核心数据库，勒索或在网上售卖。企业的核心代码、金融信息和积累的巨量用户数据，这些商业价值巨大的信息也是黑帽子攻击的重点。

　　所有人都清楚，没有系统是完美不可破的。大多数安防系统的思路是，提高黑客突破的时间和技术成本，从而迫使攻击者放弃。

　　处于防御姿态的白帽子黑客在与黑帽子黑客的较量中，赢一次不能算赢，输一次就永远输了。“猪猪侠”说，“只要被黑一次，只要被黑客带走的信息足够多，下次他依然能够拿那些以往获取到的信息，再次黑进来”。

　　在乌云社区，白帽子们几乎每时每刻都在搜索漏洞。“猪猪侠”自己制作了扫描器来搜索一切漏洞，比起辛辛苦苦一个个寻找漏洞，他已经实现了自动攻击， 在乌云社区Rank值（提交的漏洞评分总和）高居第一。“只需要输入一个域名，用扫描器扫，不费体力。范围现在是全世界。”他对南方周末记者说。