不應以鄙視的態度看待灰產對網路安全的影響
- 2020 年 3 月 11 日
- 筆記
互聯網灰產,即灰色產業,指遊走在法律邊緩的互聯網項目。因相關法律規範缺失、監管與打擊力度偏弱、取證難和維權難,灰產在中國很有市場。
哪些是互聯網灰產呢?市場上曝光率較高的比如外掛、某些爬蟲、蓐羊毛工具,各個IT接單賺職群里所謂地破解、JS加密分析、驗證碼自動識別等,都可以歸類為灰產。
灰產從業人員在行業中扮演的角色
本文不討論什麼是灰產,也不討論灰產所涉及的法律問題,而是討論灰產對網路安全地影響,以及正規IT從業人員(以下簡稱專業人員)對灰產的態度。那什麼是專業人員呢?自然是指有正規工作,從事合法IT事業的人員。專業人員有一個自認為很明顯的特點:使用C、C++、java甚至是python等主流程式語言。
作為灰產項目,往往與“破解”二字密不開分,而支撐灰產的,便是傍大的市場需求和網路灰產從業人員(以下簡稱灰產人員)。灰產人員的主要工作,就是分析和“破解”專業人員的產品,他們掌握的知識面比較廣,但這些知識,也只是為“破解”產品而服務,並不需要深入掌握。灰產人員與專業人員的角色,與網路安全中的白帽、黑帽很相近,事實上,灰產人員中多數可以歸類為黑帽或者灰帽。
灰產人員與專業人員似乎屬於對立面,一個攻一個防?如此解釋當然很片面,專業人員並不只是對應灰產人員,做出防破解無BUG的完美產品,他們的工作涉及到軟體工程中的方方面面,需要掌握地核心知識面更深更廣,對社會起到得也是正面效應,遠不是灰產從業人員所能比擬的。也正因為如此,專人業員面對灰產人員,似乎天生的就高出一等。
但掌握的知識深、技術高,從事的工作正規、合法,並不是鄙視他人的理由。
灰產對網路安全的影響
灰產人員利用互聯網技術進行偷盜、詐騙、敲詐等各類違法犯罪案件頻繁發生,他們更是新型犯罪產業鏈條的罪魁禍首,其所帶來的安全挑戰愈加嚴峻。互聯網灰產出現的初期,一大批學歷低、不具備專業IT知識、並未掌握電腦原理的編程愛好者,反而通過自學開啟了編程的經歷,而也正是這類人員,破解了專業人員的產品,營造了灰產“大神大牛人才濟濟”的現象。
灰產地出現,嚴重威脅網路安全,無論是國家,還是各企業,對灰產的犯罪行為都進行了嚴歷打擊。面對灰產的攻勢,網路安全方面也有了長足的進步。多年前,即便無任何編程知識的人員,只需會一點點抓包軟體,也可修改商品的支付金額,以0.01元的價格購買100元話費充值卡。這樣的漏洞被利用的案例,不一而足,而對於這樣的犯罪行為,也多以盜竊罪論處。雖然犯罪份子得到了應有的懲罰,但是對於IT行業來說,這個罪名多少有點“不搭嘎”。近年來,隨著網路安全技術的不斷升級,再如上述簡單的漏洞已很難找到,而沒有編程知識的灰產人員,再難對網路安全構成威脅。
即便如此,灰產行業也變得越發“專業”。原先只懂得電腦皮毛的灰產人員也得到了“成長”,他們能編寫批量註冊、批量下單、自動化操作程式碼,甚至還能用彙編解決技術難題。那些專業人員為編寫更好的軟體而鑽研的技術,反而被他們利用,搞了更大的項目,比如微信62、抖音63等等。
專業人員對灰產人員技術的評價
但是,光就技術來講,灰產人員並未得到IT專業人員的重視。對於灰產發現的漏洞,專業人員很有信心去解決,他們認為這些漏洞都很簡單,灰產製作的漏洞利用軟體也都是低級產品或者說是不入流的。
以2018年12月份曝出的國產勒索病毒事件為例,這款病毒便是灰產從業人員利用易語言製作的。根據相關新聞報道,該病毒共竊取帳號密碼十萬餘條,受感染電腦主機數量為27939台。最後病毒製造者以破壞電腦資訊系統罪被判處有期徒刑。
那麼,該病毒屬於什麼水平呢?中國權威新聞媒體是這樣報道的:反病毒專家說,這款病毒編寫水平低劣、加密演算法簡單,不會主動傳播、染毒範圍可控,對微信支付寶不會造成影響。而另外的一個安全專家也說,該病毒利用的漏洞簡單,基本上有點編程知識的人都可以做出來,沒什麼技術含量。而在網路上,還有一篇專業人員寫的文章《“微信勒索病毒”全紀實:打擾了,我只是病毒界的楊超越》,對該病毒的產生到解決進行了詳細的描述。我們可以感受到,這些評價的字裡行間都是對這款病毒或者說病毒製造者技術的鄙視,當然,這也是整個行業對灰產人員的真實態度。
灰產每推出一個項目,就說明某個產品已被“破解”,這是對產品製作者的一次“打臉”。作為專業人員我們首先應該感覺自己的臉疼不疼或者說是否感覺到了羞恥,而不是厚著臉皮指責別人。所以,我們不應該只是嘲笑別人的水平低劣。專家們除了對病毒有所評價,更多的應該反思自己;可能專家們都忽略了一點,所謂的漏洞,並不是灰產人員製造的,而正是鄙視灰產人員的我們自己製造的;我們不應該像外人一樣漠視自己產品的缺點,不思考自己的技術缺陷,反而去鄙視別人發現的漏洞簡單。
程式語言並不是區分灰與白的標準
灰產行業第一大程式語言——易語言,如同灰產人員一樣,該語言也受到專業人員的極大鄙視。他們認為這款語言除了簡單易學,並沒有什麼優點;之所以能在灰產如此流行,正是因為灰產人員學歷低下,只能學習這麼簡單的東西;而如C、C++這些高端的語言,灰產人員根本不可能掌握。然而,病毒、外掛這些對於技術要求很高的東西,為什麼又都是用易語言製作的呢?因為易語言有很多可以直接調用的函數庫,這些庫便是由專業人員才能掌握的C、C++所寫,“如果沒有這些庫解決記憶體、指針等問題,易語言根本就寫不出外掛”。
事實也確實是如上所述。然而,掌握C、C++的程式設計師編寫可以調用的庫,並不是沒有理由的,他們製作出這樣的庫,就是為了給易語言寫外掛、病毒服務的。在某論壇,看到這樣的評價:高端的人才寫庫,給不入流的易語言調用,違法寫外掛的只是易語言程式設計師。其實,這是掩耳盜鈴、自欺欺人,語言只是工具,關鍵是人,用C、C++做灰產項目就不是灰產人員了?程式語言並不是區分灰和白的標準。
當然,面對灰產的技術提升,專業人員也不用妄自菲薄。有《網路安全》這把利刃,灰產只能行走在黑暗之中,黑暗永遠戰勝不了光明。即便灰產人員的技術再突出,它也只是我們前進路上的常見坎坷。我們應該從灰產技術中得到啟發,正確看待他們給我們帶來的脅威,也應理性看待他們對我們技術進步提升起到的推動作用,讓我們能更好的守護網路安全。
