您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给李勤
发送

0

亲历者揭秘:为什么搞掉黑产这么难

本文作者:李勤 2018-02-11 11:00
导语:黑暗常有,有时可以穿过,达到水落石出的彼岸。有时,只能一声叹息,在黑暗中摸索良久,却终不能摧毁罪恶的花朵。

青山绿水间,一艘小船荡漾在湖中间。

亲历者揭秘:为什么搞掉黑产这么难

一群警察带着装备寻信号而来,船上的人老远看到了湖边的动静,一不做二不休,把船上的东西都扔进了湖里。这不是电视剧剿灭毒枭的场景,而是警察最后对一伙黑产收网时遭遇的“功亏一篑”。船上的人扔到湖里的正是作案工具,被一湖水冲洗得一干二净……

这是不久前雷锋网宅客频道编辑听到的一起真实案件。

不过,不是每一位抗击黑产的安全守卫者都会碰到荡漾在湖中的小船,但离奇的案件和复杂的案情像一团团笼罩在眼前的黑暗,应该很多人都曾遇到。

亲历者揭秘:为什么搞掉黑产这么难

黑暗常有,有时可以穿过,达到水落石出的彼岸。有时,只能一声叹息,在黑暗中摸索良久,却终不能摧毁罪恶的花朵。

为什么打击黑产这么难?最近雷锋网和百度安全事业部副总经理沈鹏飞聊了聊。

本文作者:雷锋网网络安全专栏作者,李勤。关注微信公众号“宅客频道”,获取更多网络安全内容。

迷惑:有没有完美的解决办法

整个 2017 年里,百度安全其实协助警方完成了不少打击黑产的大案子。至少,我看到的能够对外披露的典型案例就有 6 起。更多的是那些不能说的案子。或者尚未结案,或者担心后来者继续模仿,再或者,由于各种阻碍,无疾而终。

我对这些不能说的案子更感兴趣,就像文头所说,到底是什么原因让邪恶居然能择路而逃?说好的正义终将胜利呢?

亲历者揭秘:为什么搞掉黑产这么难

现实是,这条路很难。

沈告诉我,他曾遇到这样的劫持黑产,明知道是违法的,可是抓不到黑产的现行证据,拿不到劫持的设备,只能等警察到运营商那调证,但人还没进去,设备就不见了,大家知道是谁干的,就是处置不了。

他们还曾看到有人在贴吧里发布黄赌毒的信息,但不能因为这些人发了帖子就报案,警察只有真正抓到这些人实施了黄赌毒的行为,才能进行有效的打击。

有的企业网站被黑客攻击,网站的内容被替换成了赌博的内容,恰好这时百度的蜘蛛发起了调度,把这种网页抓回来了,现在的问题就成了:一个正规的企业网站上有违法违规的内容。

面对这种情况,他们有这么几种选择:

1.把这个域名在检索时的权重调低,因为其内容已经不可信了;

2.在搜索结果中给他的网页打上风险标,网民点击的展示中间过渡页,警示网民网站已被黑客攻击;

3.什么都不做。

第一种方案保护了网民,但是会引起站长的强烈反抗;第二种方案也保护了网民,但是站长会有不满,有的站长甚至骂百度,这是怎么回事,怎么把他的网页内容改了赌博?第三种——什么都不做,会引起网民、政府的不满,大家可能会抱怨“为什么百度又搜出了违法违规的内容”。

看上去有三种选择,但对沈和同事们而言,每一种都需权衡利弊,小心翼翼。

更确切地说,每一种可能都不是最优解。

有时,沈也会相当疑惑:“当数据、生态大到一定程度时,除了给安全检测带来的难度急速上升外,我们到底应该选择哪种处置策略,才能让所有人满意?”

这个困扰了百度安全很久的问题,难住了这位从业多年的安全老将。

亲历者揭秘:为什么搞掉黑产这么难

遗憾:一己之力可能无法找到最终的答案

还有很多令人遗憾的结尾,让他们如鲠在喉。

有些黑产对网民造成了伤害,但是他们追寻过去,发现其服务器在境外。这意味着,他们没法进一步探究服务器上的内容,还原完整的证据链条。

有时是相关系统留存的日志不足,有些产品在设计之初从来有想过它未来有一天其数据需要用做攻击溯源,所以无法进行打击——没有人可以预知未来,一个看似不经意的结点可能造成巨大的影响。

还有的黑产案件等待临门一脚的收网时,他们恰好突然不干了。沈不知,应当欢喜,还是忧愁。

另外,有些互联网公司认为的对网民、对企业伤害很大的团伙的犯罪线索,由于没有对应的法条,当前没法处理。 

这种情况更折磨人——明明在眼前,明明知道,但看上去什么都做不了。

沈鹏飞想了想,也许还剩下一条路:“我们在尽力推动警方,希望打一些如“滤网行动”的首案、大案出来,让全国公检法未来可以依据案例参考。”

这种“曲线打击”也许能稍稍弥补人力、法律上的种种遗憾,但还有更现实的一种案件在眼前。

如果有的黑产在百度搜索上做一些事,但是其沟通平台在其他公司的社交系统上,或者,他的钱款又通过网络其他平台流出去,整个案件的追踪就会更复杂。总不可能敲开友商的门,直接说:“我们想调用你们服务器上的数据。”

一个典型的场景是嫌疑人在百度上看到了信息,在 QQ 上进行信息交流,使用支付宝完成交易,所以在线索的发现、溯源、嫌疑人的定位上,各家的能力是不一样的,虽然也会有数据、模型上的交换与合作,但沈觉得,就当前这个状态来说,这些合作还是远远不足。

再者,跨平台、跨公司的合作从来不是一家公司的一厢情愿,在商业世界里,反击黑产是大益,但总有许多因素会被考虑。而美好的理想是,要想追寻一个答案,需要大家拼尽全力,一起奔跑。

亲历者揭秘:为什么搞掉黑产这么难

坚持:想要试试,能否触及光明

总有一些人,挫折对他们来说,只是养分。

他们或许有迷惑和遗憾,不能预测每一起案件将如何收尾,不知最终是否能穿过黑暗的甬道,不知是否每一次都有水落实出的真相,但总想往前走,想再试试看,能否触及光明。

亲历者揭秘:为什么搞掉黑产这么难

沈鹏飞始终相信,对于整个互联网生态,就需要对抗的黑产灰类型而言,大家的目标是一致的,百度遇到的问题,一般其它互联网公司也会遇到,打掉黑产,震慑了黑产,对所有的互联网公司都是有好处的。

这意味着,对他们而言,这是一件不会放弃的事情。

这更是严峻的网络安全形势所迫。不久前,百度安全发布了一份研究报告,统计显示,百度安全 2017 年拦截全网恶意网页总量超 202.9 亿,与 2016 年几乎持平。

沈一直深刻的体会到,最早的攻击手段从 Web 端进入,一直存在到现在。最终流量在哪儿,大家习惯用哪个平台,它就会迁移到哪儿,因为利益在哪里,黑产就会在哪里。做安全,实际要有前瞻性,甚至是防患于未然。“所以,随着这种用户行为特征和使用平台的迁移,我们就要做好不同平台的规划与预警,做好技术储备。”

比如,当 AI 时代到来时,黑产可能利用 AI 的能力让机器学习识别出错误的结果,未来无人驾驶的汽车、放在家里看上去人畜无害的智能音箱、餐馆里打招呼的机器人都可能成为黑产的武器。

但摆在眼前的依然是挑战,沈从业多年,始终坚持这两个观点:

“第一,安全这件事,攻防本身是防不胜防。

第二,我们处理了大量的这种问题,但是网民看到的只是冰山的一角,我们所能披露的也是少之又少。”

我始终觉得,这话含有些许心酸。我想到另外一个故事。

2017 年 12 月,百度安全披露一起重大的侵犯公民隐私的案件“滤网行动”。这起案件的起源是,大量网友举报,手机通过运营商网络浏览某些网页后会很快收到该公司的推销电话。

沈鹏飞和他的同事现场讲解了该黑产利用的技术原理,试图跟大家解释到底是怎么回事。

一位媒体同行在海淀公安的发布会现场提问:“在这起案件中,公民应该如何保护自己的隐私。”警察蜀黍沉默了一会,建议大家不要点击小网站。事实上,当时在场的专家明确指出来,这事不是个人用户的锅,也不是搜索引擎的锅。

亲历者揭秘:为什么搞掉黑产这么难

到底是谁的锅?没人好明说。当时,我了解到的信息是,案件在持续收尾中,不是“百分百铁证”,你就是不能说。

但误解可能如影随形。百度安全技术团队有个安全研究员特别郁闷,他告诉我,虽然他们已经将技术原理说得清清楚楚,但是还是有人不分青红皂白就把帽子扣给了他们。他很伤心,也不明白,为什么自己做的明明是好事,可还是会被误解,甚至遭到谩骂。

这位安全研究员的话和沈有那么一丝相似。

对他们而言,或许打击黑产中的无奈和挫折不算什么,因为各种原因,很多做过的努力不能公开也无所谓,但面对误解,始终还是有一些不甘。

但终究只是这样了,抛开这些,他们还是会继续协助一次次黑产打击案件,甚至会更努力地争取警方资源,希望能够对一些案件不舍追击。

这群安全研究员告诉我,邪恶不会永远有路可逃,唯有“不放弃”,正义的一方才有获胜的希望。

本文作者:雷锋网网络安全专栏作者,李勤。关注微信公众号“宅客频道”,获取更多网络安全内容。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:

编辑、作者

跟踪互联网安全、黑客、极客。微信:qinqin0511。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说