📖 ZKIZ Archives

網之暗面

雖然逐漸淡出大眾視野，但勒索病毒事件依然在發酵。現在基於“方程式組”武器庫開發的勒索病毒已經出現了數十個變種，威脅依然還在。在這一系列事件中扮演重要角色的“暗影掮客”組織依然藏在幕後，身份成謎。（東方IC/圖）

（本文首發於2017年5月25日《南方周末》）

短短十幾年間，一條收割普通計算機用戶的黑色產業鏈，已經發展成了巨大的利益共同體。每個環節都有專職人員操作，彼此緊密配合分工合作，儼然一副流水線般的樣貌。

還有更多的匿名工具，能夠保護這些在黑暗中的犯罪者。交易這些信息的角落，就在難以追蹤真實身份的暗網中。

就在本周，當整個世界的目光被柯潔和AlphaGo的圍棋比賽吸引時，英國曼徹斯特又發生了暴恐襲擊。

上星期的WannaCry（想哭）勒索蠕蟲病毒攻擊，就像是發生在上個世紀。除了受害者們和從業者們，少有人再會提及。

互聯網永不遺忘，但是網民是健忘的。雖然逐漸淡出大眾視野，但勒索病毒事件依然在發酵。現在基於“方程式組”武器庫開發的勒索病毒已經出現了數十個變種，威脅依然還在。在這一系列事件中扮演重要角色的“暗影掮客”組織依然藏在幕後，身份成謎。就連這個名字的出處也不能確定——也許來自遊戲《質量效應》：其中也同樣有個倒賣情報的組織，同樣無法查明身份。

真實世界中的“暗影掮客”也許是個黑客團體，也許是一個人——俄羅斯一位安全專家認為，此人是美國國家安全局（NSA）內部人員。有人說他們的英語太差，所以不應該是英語母語人士；但也有人認為這反倒證明他們嘗試隱藏自己的出身。NSA最重要的泄密者斯諾登曾經分析，認為“暗影掮客”應該與俄羅斯政府有關；但路透社的分析文章認為並非如此。

曾經的互聯網之光

“黑客”，曾經是個會帶來複雜情感反應的名詞。一些人喜歡這個詞，一些人以能被稱為黑客為榮；一些人討厭這個詞，認為它是破壞的力量。但是無論如何，互聯網繞不開這個詞。

我們今天互聯網的很大一部分基礎，都是基於黑客們的工作。在早期的用法中，黑客們往往是技術精英，樂於探索和展示自己的技術，並往往奉行分享和免費原則。他們也許會破壞些什麽，也許會建設些什麽。他們是混亂，也是生機勃勃的力量。

黑客們對傳統的道德規範往往並不在意。他們可能開創一個新時代，也可能擋在舊時代巨頭的路上。在互聯網早期發展史上，到處可以看到他們的名字——名人堂里，或者恥辱柱上；在大眾文化中，前者被叫做“黑客”，而後者往往被叫做“駭客”以示區別。

早期的駭客們，即使是以攻擊和破壞為目的，也很少提出金錢上的訴求。曾經是美國頭號計算機犯罪通緝犯、曾被稱作“世界頭號黑客”的凱文·米特尼克，在輝煌時期曾經攻進過大量電話和計算機科技公司，甚至攻破了聖叠戈超級計算機中心和聯邦調查局的服務器，盜取了大量文件。雖然帶來了大量恐慌並遭到追捕，但他並沒有提出任何贖金要求。

以經濟利益為訴求的駭客們，還只是近十幾年來出現的新事物。雖然人們一般不會特別在意，但是駭客們正在給世界帶來巨大破壞。雅虎曾在2013年和2014年兩次遭遇駭客攻擊。據2016年雅虎發布的聲明，這兩次攻擊導致了超過15億個賬戶信息泄露，其中包括姓名、電子郵箱等隱私資料，甚至可能還有電話號碼、生日，以及加密或未加密的安全問題和答案。而盜取這些信息的駭客團體，在黑市上轉讓其中兩億條用戶信息，開價卻只有不到兩千美元。

僅僅在2016年一年，就發生了許多駭客攻擊事件。孟加拉國中央銀行在美國紐約聯邦儲備銀行開設的賬戶2月初遭黑客攻擊，失竊8100萬美元。這批贓款幾經分批中轉，最終像小河匯入大海般消失無蹤。2016年末，俄羅斯中央銀行遭遇駭客入侵，被竊走了20億盧布（約合3100萬美元）。公共設施也成為了攻擊目標。德國一座核電站的計算機系統中發現了惡意程序，導致核電站關閉。據說該惡意程序僅感染了計算機的IT系統，而沒有涉及與核燃料相關的部分。美國舊金山地鐵的電腦票價系統遭到攻擊，攻擊者開出的贖金要求是100比特幣。舊金山地鐵沒有支付這筆費用，轉而開放地鐵允許乘客免費乘坐。

當然，還有2016年10月僵屍網絡攻擊導致的東海岸網站大宕機事件。域名服務管理提供商Dyn遭到DDoS攻擊，導致GitHub、Twitter、Reddit、PayPal等大量網站無法訪問。

甚至就在上周，迪士尼證實即將上映的新片也被駭客盜取。攻擊者要求比特幣贖金，否則就在網上公開這些未上映的電影——這可能會給迪士尼帶來數十億美元的損失。

駭客活動已經變成了見不得光的斂財途徑，而且似乎只要跨過不高的門檻，人人都可以分一杯羹。哪怕是技術不那麽過硬的駭客也有方便的賺錢渠道：通過開發和植入木馬、病毒和蠕蟲，也能獲取非法收益。這就像是養蠱。

網絡病毒有多毒

1940年代晚期，現代計算機領域的奠基人之一馮·諾依曼初步解決了“機器要怎樣才可以自我複制”的問題。他認為，能夠自我繁殖的機器需要同時具備兩個功能：能夠構建下一代，以及能夠描述自身。幾年後，DNA結構的發現驗證了他的觀點。

雖然直到今天我們依然沒能設計出能真正完全自我複制的機器，但是使用馮·諾依曼的思路的自我複制產品的確已經存在——電腦病毒就是其中最廣為人知的一種。

在1960年代初，在美國電報電話公司的貝爾實驗室,3位年輕人開發了一個叫做“達爾文”的遊戲，模擬生物的進化過程。在這個遊戲中，就應用了馮·諾依曼設想的自我複制理論。

1986年初，在巴基斯坦的拉合爾，兩位開軟件商店的兄弟編寫了“巴基斯坦”病毒——也往往被稱為“Brain”病毒。這是第一種具有破壞性的病毒。又過了兩年，康奈爾大學研究生羅伯特·T·莫里斯寫出了世界上第一個通過網絡傳播的病毒，在發作時迅速占據了當年互聯網上大量磁盤空間、運算資源以及網絡帶寬，最終導致網絡癱瘓和計算機死機，甚至讓美國國防部馬上成立了計算機應急行動小組來應對這次事件。人們從這時開始才真正意識到，病毒能夠帶來什麽樣的危害。

在之後的二十多年中，計算機用戶受到了大量病毒和蠕蟲的攻擊。有可能破壞計算機硬件的CIH病毒、通過郵件傳播的“愛蟲”、造成大量網站數據丟失的“紅色代碼”、讓計算機自動關機的“沖擊波”“震蕩波”等等，成了一代代計算機用戶的共同回憶，而且都曾衍生出了數十至數百個不同變種。

在“愛蟲”這樣的蠕蟲里，包含了一個“特洛伊木馬”。木馬是一類特殊的程序，它會首先安裝一個軟件在計算機上，這樣木馬的主人就可以遠程控制這臺計算機。嚴格地說，木馬並不能算是病毒的一種，因為它一般並不會自我複制。然而，大量的病毒和蠕蟲結合了木馬的功能，讓病毒開始朝著獲取經濟利益的方向發展。

在2007年，全年發現的病毒種類有71萬種，而僅僅在2004年，這個數字還只不過是6萬而已。那時流行的病毒主要是木馬病毒和後門病毒，獲取用戶計算機的部分控制權、留出為將來攻擊做準備的通道。在2007年全國流行的10大病毒中，盜取用戶賬號和密碼的病毒占了4種，盜取QQ、《魔獸世界》、《傳奇》用戶名和密碼的病毒紛紛上榜。

根據360發布的《2016年中國互聯網安全報告》，2016年新增電腦惡意程序樣本已經達到了1.9億個，而全國至少有497多萬臺用戶電腦遭到了敲詐者病毒攻擊。360預計，在2017年敲詐者會增長10倍。

騰訊安全發布的《2016年度互聯網安全報告》顯示，2016年電腦上最常見的5種木馬病毒中，大都以收集用戶個人數據、用戶名和密碼為目的，除此之外還會惡意修改計算機設置、引入其他木馬病毒、改變默認瀏覽器頁面，甚至加密計算機中的文件以勒索贖金。每一項行為的背後，都有獨特的利益鏈條。

短短十幾年間，一條收割普通計算機用戶的黑色產業鏈，已經發展成了巨大的利益共同體。

網絡背後的黑色產業鏈

我們所生活的網絡世界表面看來資源豐沛、其樂融融，但事實上已經成了網絡犯罪的演練場。今天的網絡犯罪往往有組織成規模，不再是過去單槍匹馬獨行俠式的攻擊，而變成協同分工配合作案的團夥行徑。

通過控制用戶的計算機，來讓用戶打開特定的網站或者是屏幕上出現奇怪的廣告，只是互聯網網民們偶爾會碰到的惡意行為。這種行為叫做流量劫持，目的是為特定網站或廣告增加訪問量、收集用戶信息，或者投放木馬來讓使用者上鉤。

網絡犯罪活動往往要使用木馬盜取用戶的賬戶密碼，再進行更多的精細操作。而用戶機器中被植入木馬的方式無非幾種：下載並運行了帶有木馬的惡意軟件、被蠕蟲感染而被安裝木馬、使用盜版安裝操作系統時被帶入木馬。當用戶機器中被植入木馬後，木馬就會開始收集用戶對計算機的操作，篩選出其中可能有價值的信息再發送給網絡犯罪者——任何可以變成現金的信息都不會放過，無論是網絡遊戲、QQ、網銀賬號、郵箱賬號，甚至是個人通訊記錄或者個人資料——再將這些信息打包出售。

這些被出售的用戶名和密碼則會經過分類篩選，經過複雜的清理過程，提取出賬號內可以直接變現的部分，再根據價值不同分成小批，分別賣給有不同需求的買家。更精細一點的，還會將用戶在多個平臺的信息對照起來，來實現精準的詐騙或者惡意營銷。當我們在QQ上看到許久不亮的頭像突然亮了起來，並且很快就轉到借錢的話題上時，這個QQ往往就是已經經過層層轉包，落在網絡詐騙者的手中了。

近幾年流行起來的“撞庫攻擊”也遵循著類似的流程。大型網絡服務提供商都會存儲數千萬乃至數億的用戶資料，其中部分用戶可能在多個網站使用同樣的用戶名和密碼。當某個大型網站的用戶數據庫被盜取後，很快就會出現在黑市上。而購買者則會用現有用戶名和密碼去其他網站嘗試登錄。若是成功登錄，則“撞庫”攻擊成功。若是郵箱、電商網站或者其他擁有等同於現金資產的網站使用了同樣的用戶名和密碼，則可能給用戶帶來出乎意料的損失。

最後看似沒有資產可以被榨取的賬號和密碼還能再次出售，用來編寫密碼詞典，或者用於群發廣告；甚至被植入了木馬的計算機也還有剩余價值。這些機器被稱作“肉雞”，可以在發動分布式拒絕服務（DDoS）攻擊時提供垃圾信息包作為武器。2016年10月，美國域名服務管理提供商Dyx遭受的就是這種攻擊。一臺“肉雞”的售價從幾角到幾十元不等。計算機用戶甚至完全意識不到自己的計算機已經換了主人。

在這些完善的流程下，每個環節都有專職人員操作，彼此緊密配合分工合作，儼然一副流水線般的樣貌。巨額利潤讓這套體系流暢運轉，而互聯網匿名的特性和分散且損失不高的受害者，讓這類事件往往難以根除。

而且，還有更多的匿名工具，能夠保護這些在黑暗中的犯罪者。交易這些信息的角落，就在難以追蹤真實身份的暗網中。

一個你不知道的“暗網”

我們所知的互聯網，是可以用搜索引擎查找到的網頁，是存在於每個人電腦和手機中的連接。而互聯網中的大部分信息，是無法被搜索引擎找到的。其中可能包括大量的公共攝像頭和私人拍攝的資料存檔，包括大量的各行業數據庫。互聯網黑暗的角落中存放著一些不會暴露在陽光下的內容。這片黑暗的角落，往往被叫做“暗網”。

沒有辦法像訪問其他互聯網網站那樣，通過瀏覽器輸入網址來訪問暗網的內容。暗網更像是一個都市傳說，它通過口耳相傳和竊竊私語傳播，撥開迷霧探探暗網的內容並不是正常網民的選項——只有執法部門和新聞調查者才往往是那些將暗網展示在我們面前的人。

傳說在暗網上能看到人類最惡劣的嘴臉，但這只是有意無意的誇大。暗網和其他互聯網之間的區別，僅僅是在於暗網需要通過特定的匿名軟件接入，難以追查到使用者的身份而已。暗網存在違法交易，就像地下世界的黑市。同樣，地上互聯網世界的規則在暗網中，也有所不同。

暗網最大的特征就是匿名性。人們需要特定的工具才能訪問。諷刺的是，這種工具最早是美國海軍開發的，用來避免網絡訪問被追蹤。當這個項目轉為民用時，網民們將它用在那些不希望被人知道真實身份的場合——暗網就是其中之一。

在暗網上和在公開的互聯網上的活動，並沒有什麽區別。發布信息、銷售商品、在線討論、電子郵件、社交活動，都能在暗網上找到對應的替代物。只是由於匿名性，暗網中的內容更趨向於非法、極端和恐怖主義。2013年，美國聯邦調查局抓捕了一位名叫羅斯·威廉姆斯·烏布利希的青年。烏布利希是暗網上最大的電子商務平臺“絲綢之路”的創始人，在這個網站上，人們可以以比特幣自由買賣違法商品，從槍支、毒品、偽造的身份證件到網站的用戶資料等等不一而足。但是和互聯網中類似網站不一樣的是，這個網站中的交易只能靠運氣：匿名性帶來的，只能是不負責任和不可信任。

雖然聽起來有點可怕，但暗網無論是規模還是流量都只占據非常小的互聯網份額。據估算，它大約只有數千到上萬個網站，以及占據匿名流量的0.03%。而且它雖然匿名，但並不是法外之地。每年都有數十到數百名暗網用戶被逮捕，從毒品和槍支經銷商、非法購買毒品的癮君子，到暗網網站的工作人員等等不一而足——臥底在虛擬世界中也同樣有用。

駭客、病毒和暗網的存在告訴我們，互聯網並不全是美好。它不是伊甸園，也不是所有人無憂無慮生活的天堂。我們每天在使用計算機時，都在打一場無聲的戰爭。在經濟利益的誘惑下，黑客曾經的光榮一去不返，我們談到病毒制造者時也不再會贊嘆他們的聰明才智。

互聯網世界和真實世界，並沒有多少不同。有明就有暗，有光就有影。互聯網的陰暗面必然會存在，並且將會永遠存在下去。在真實生活中需要遵循的規則，在互聯網世界中也同樣有效。