1、網絡攻擊初期
這個時候不得不提的一個名詞就是C/S架構。為了便於非IT行業的人員理解,所有的專業詞彙我們都先解釋一下。
那麼什麼是C/S呢,C就是英文Client的縮寫,S是英文Server的縮寫。這個詞彙描述的就是客戶端/服務器的意思。C/S在線下也有很多類似的場景,比如打麻將,這個80%中國人都愛的體育運動,一般需要4個選手和1副麻將組成,每位參賽選手不停地與服務端交互,獲取和打出自己想要的麻將牌,並獲取到其他選手打出的麻將牌的內容,並且判斷自己是否獲勝。
這個典型的場景如果按照C/S架構來劃分,那麼選手就是C,麻將以及麻將桌等整個環境就是S,每一個打出的麻將牌都是存儲在S中的數據。在沒有網絡互聯的時候,所有的軟件都安裝在自己的電腦上,所有的數據和內容也都保存在電腦的硬盤上,比如我們小的時候玩過的很多經典遊戲仙劍奇俠傳、三國群英傳等。
這種單機的程序帶來最大的問題就是數據的孤島,每個主機直接的數據無法共享,而互聯網的發展帶來的就是多人數據之間的互相不停交換,21世紀初,C/S架構是主流架構,當時典型的應用有騰訊公司的QQ、聯眾的棋牌遊戲、CS真人對戰遊戲等。
從那時起,QQ開始風靡各大網吧,那時候的互聯網還不像現在這麼發達,騰訊的QQ號碼的申請需要很久,成功率還不高。2001年,我的關係很好的大學同學在一下午逃課的奮鬥後,成功為我申請到人生的第一個QQ號碼,而這個號碼在我手上的壽命也僅存活了2個月。丟失的過程很簡單,在我們學院的機房裡,在點擊桌面的QQ圖標後輸入了用戶名和密碼沒能登陸,我以為是網絡慢,於是就離開了,後來就再也沒能登陸那個QQ。後來經高手指點,我也第一次清楚了快捷方式和可執行程序到底有什麼區別。
回想起來,這個盜號的木馬做的粗製濫造,就偽裝了一個跟QQ一樣的圖標,放在桌面上,刪除掉原來的快捷方式,誘導點擊以後把輸入的口令保存到電腦的某個位置,下次盜號者可以自己過來偷偷清理。
這個時候,人們的信息還很少放在網上,上網的人也很少,但是QQ號作為稀有資源,已經成為了網絡攻擊者的目標。這個階段的攻擊人員大多沒有太多技術含量,這種攻擊手法或者方式也都是通過搜索引擎或者是朋友相互傳播介紹,攻擊基本不需要任何成本,一個人單槍匹馬就可以搞定。當然這種攻擊也不需要太多技術手段,這種級別的盜號木馬如今已經不復存在,一是QQ號碼不在那麼難以申請,同時,這種木馬也極易被殺毒軟件識別和清理。
2、黑產萌芽的出現
C/S階段成熟的後期,人們不停地在電腦上安裝各種軟件,越來越多,電腦負荷越來越大的同時也越來越不方便使用。
如果只安裝一個軟件就能使用很多功能,這種瘦客戶端的需求越來越凸顯出來。隨著網絡技術的發展和Web技術的不斷成熟,B/S 這種軟件體系結構出現了。
B/S(Browser/Server)架構也被稱為瀏覽器/服務器體系結構,這種體系結構可以理解為是對 C/S 體系結構的改變和促進。用戶只需安裝瀏覽器即可,不用再一個一個地在電腦上安裝各種應用。
比如,中國傳統的零售模式是店面式,不同的店鋪銷售不同的商品,如水果店、蔬菜店、各種服飾店、鐵匠鋪等,人們想購置自己需要的物品需要去很多店鋪購買東西,如果是過年需求量大,那麼光是購買年貨就需要很長的時間,以下的歌謠也大致反應了過年的時候正常的購買年貨的流程:
“小孩小孩你別饞,過了臘八就是年,臘八粥,喝幾天;哩哩啦啦二十三,二十三,糖瓜粘;二十四,掃房子,二十五,磨豆腐;二十六,去買肉,二十七,宰只雞;二十八,把面發,二十九,蒸饅頭;三十晚上熬一宿。初一、初二,滿街走”
這種模式的商店現在已經很少了,超級市場的概念進入中國後,迅速打敗了傳統的店面銷售模式。人們可以在超市一次性購買自己所需的所有物品。這就是比較典型的C/S架構取代B/S架構的案例。B/S的根本目的是為用戶提供更加方便的服務,一個瀏覽器可以訪問許多不同的網站,滿足不同的需求,所以瀏覽器也逐漸成為了互聯網的最大入口。
時至今日,B/S架構依然是IT行業開發的主流方向之一。中國互聯網有名的公司大多是B/S架構的服務模式,如搜狐、新浪、網易、阿里巴巴等等。而相應地,Web滲透測試工程師也是網絡安全裡一個專門的職位,時至今日,需求量還是非常龐大,就是因為有太多的B/S架構的網絡需要安全性檢查和防護加固。
B/S發展的早期,萬維網上存放的大多是靜態頁面,而個人主機的主要用途是打字和單機遊戲,那時候的攻擊大多以惡作劇為主,目的也主要是炫耀技術和一種作弄心理。首先最重要的一條是,當時的程序員還不像今天這麼多,程序員或者IT從業者身上雖然有一層神秘的面紗,但是程序員本身的收入並不像今天這麼高,信息產業在整個社會佔的比重比製造業差的很多,程序員的地位並沒有製造業從業者重要,更別提當時的熱門專業——通信行業。這裡多提一句,為什麼20世紀初的時候互聯網行業遠不如通信行業重要,是因為網絡速度還非常慢,很多我們現在看起來習以為常的網絡應用在當時是無法實現的,正因為如此,當時的通信行業發展迅猛,從有線到無線,從3G到現在的5G,解決了互聯網很多關鍵的問題,如果是網絡安全的發展離不開互聯網的發展,那麼互聯網的發展是不能離開通信的發展的。
我們在互聯網上搜索或者以前的老新聞上看到的炫耀各種技術的黑客,經常要麼是10幾歲的孩子,要麼就是學歷比較低的人員,如知名的“熊貓燒香”的製作者李俊等。其實炫耀技術的不止是這類人,現在的元老級別的黑客或者知名大神程序員大師們,都有過類似的經歷,以前的程序經常被人放各種彩蛋,遊戲經常有各類秘籍,其實很多也都是他們的自我炫耀的表達形式。年輕時我們會覺得自己聰明過人,什麼活都會,幹什麼都行,總喜歡在聚光燈下展示自己的才華,幼稚的想法,出格的行為,還有衝動的表現欲。雖然你慢慢也會發現這些並不會給你帶來渴望的成就與地位,還總認為自己生不逢時、懷才不遇。
時過境遷,當你成為更成熟的自己,兢兢業業地做著原本不屑一顧的瑣碎工作,一步步趨向成功的時候,你才會明白踏實才是愛耍小聰明的你所最需要的東西,黑客們也是普通人,他們也有很多一部分人的心理會經歷這個變化。這種炫技的行為如果沒有給用戶帶來特別大的不便,其實是無可厚非的。而如果炫耀的是極具傳播感染和破壞性的病毒,比如1999年的Melissa蠕蟲病毒、2006年的“熊貓燒香”等、就會給整個互聯網社會帶來極大的震動,如同非典之於中國社會一樣。
靜態網頁是無法滿足人們在網上衝浪的需求的,人們去超市購買是去購買物品的,不是去參觀物品的。隨著通信技術、程序開發技術等多種技術的發展,B/S架構也愈發成熟,動態網站逐漸發展起來,這裡說的動態網站裡的動態不是動畫的意思,而是指網站內容可根據不同情況動態變更的網站,一般情況下動態網站通過數據庫進行架構。動態網站除了要設計網頁外,還要通過數據庫和編程序來使網站具有更多自動的和高級的功能。網頁只是我們看到的展現形式,而數據庫才是B/S架構中最有價值的東西,也是可以帶來經濟利益的東西。
熱衷於炫耀技術的老一代黑客已歸隱山林成為過去,經濟利益正在改變著這個隱秘領域的遊戲規則。隨著人們對於互聯網的依賴越來越深,網上訂房,網上購物等形式開始出現。2005年淘寶的成交額破80億元,超越沃爾瑪。這類企業涉及到大量個人用戶隱私的數據可以賣給很多廣告公司、電話/網絡詐騙者、其他不法分子等,針對網上訂房、電商等精準數據的盜取開始演變成為攻擊的重點。由此也專門誕生了一個詞彙“社工庫”。
如果說之前攻擊者大多是針對個人的一些簡單賬號的獲取,那麼這個時候就變成了針對互聯網企業的數據庫的盜取。而這個時候的互聯網開始國際化,國內外的數據都成為地下產業鏈交易的重點。數據庫的販賣最初的時候在地下市場其實並沒有明碼標價,在這條產業鏈形成之前,拿到數據庫的黑客們可能自己都沒意識到這些數據的貨幣價值,這個時候呈現的是明顯的買方市場,電信詐騙的市場在此時其實比較成熟,他們獲取數據的方式很多,最直接的是向廠商直接購買,比如車管所、論壇主、電商等公司的網絡管理員有很多都參與過這類交易。而網絡黑客的出現打破了部分平衡,這個時候網站的防護能力較弱,還沒出現WAF這類應用防火牆產品,一個SQL注入漏洞就可以直接拖走所有網站數據。
由於數據到手容易,被牽涉到的可能性不大,黑客願意以比較低的價格進行大批數據的售賣,逐漸地將數據售賣的市場在地下形成。由於數據量越大帶來的利益就越豐厚,交易次數越多暴露的風險就越高。有一小部分聰明的黑客或者說高手在出售自己的數據之前,與其他黑客進行數據直接交換,互補有無,互相擴大自己的數據量,然後迅速交易,達到自己的心裡預期後洗白進入早期的網絡安全公司或其他行業。這個時候的攻擊者比起之前的攻擊者來說,具備了一定的技術含量。
經濟利益的驅動是一件事情能否行業化的關鍵,在網絡防護出現之前,網絡攻擊行業逐漸開始產業化。同樣地,這個行業初期一定是藍海市場,進入這個行業的大多數人都享受到了暴利,有些人洗白了,而有的人留戀這個行業的暴利,有的部分被抓,剩下的人開始成為構建黑色產業鏈的螺絲釘。1776年3月,亞當·斯密的《國富論》中第一次提出了勞動分工的觀點,並系統全面地闡述了勞動分工對提高勞動生產率和增進國民財富的巨大作用。黑產進入了萌芽階段,一如資本主義萌芽階段一樣,他們也開始有了分工。黑產產業化後,會逐漸出現市場的導向,那麼這個時候的甲方乙方開始出現,甲方一般不是從事具體工作的而是具有明確需求的人員,他們中有為了獲取競爭對手秘方、圖紙、技術的公司,也有股市期貨操盤人員,有為了獲取他國情報的政府機構,也有想直接獲取現金的人員。乙方的發展也經歷了一個人單打獨鬥到多人聯合作戰的過程,20世紀初的互聯網上出現的各種網絡安全團隊,大多參與的人員都有黑產的經歷。這個時候的黑產產業鏈比較簡單,主要就是甲方——乙方構成。
3、黑產行業的成熟
現在看來,貌似最賺錢的公司如騰訊,如阿里,都是平臺提供者,但是在商業社會早期,中間商才是一個行業裡最大的受益者。
《國富論》的作者亞當斯密認為:人們在經濟活動中追求個人利益,正因為每個人都有利己主義,所以,每個人的利己主義又必然被其他人的利己主義所限制,這就迫使每個人必須顧及他人的正當利益,由此而產生了社會利益,社會利益正是以個人利益為立腳點的。薛兆豐老師也曾經說過,“金融的核心問題是解決人際之間非常基本的約束,就是信息不對稱,世界上沒有任何一個人是絕對信得過的,哪怕是你最親密的人,但是必須打交道,會有更好的產出。”這一點在黑產中體現的尤為明顯,黑產初期,雖然沒有專門的網絡安全法規治理,但這種數據的販賣依然會受到公安機關的關注,很多乙方最怕碰到的就是釣魚執法或者自己的行為被暴露。而甲方出於個人不可告人的目的,同樣有著這種隱蔽身份的需求,因此甲乙雙方的信任成為了阻礙行業發展最大的難題,但是人性都是逐利的,只要有利益存在的地方,就會自然地出現解決問題的人,黑產的中介由此生。
這種中介自己不從事具體工作,他們最初可能是甲方,由於自己的需求不足,而其他的朋友知道自己有這一方面的技術資源進行中介,也有可能是乙方,由於擔心攻擊行為被發現,或是像安全圈子裡的很多大佬一樣,年紀大了以後技術過時只能靠人氣吸引市場。總而言之,中介不斷地形成。同樣,由於行業見不得光,整個銷售的鏈條中,甲乙雙方的價格都是不透明不規範的,這就導致中介在交易中的抽水是巨大的,一份機密文件,甲方也許出了幾百萬,給到最終攻擊者手上可能就幾萬甚至幾千元,巨大的利潤吸引著更多能瞭解到信息的相關人士加入到黑產中介中來,形成了龐大的中介利益群體。幾年以後,由於中介人數太多而形成了競爭,真實的買賣價格逐漸被乙方瞭解到,黑產各條目的具體價格開始規範化起來,例如販賣數據、DDOS攻擊、針對個人攻擊、人員定位等都開始有了自己的明確的價格體系標準,當然這種價格體系依舊在地下市場的潛規則中執行。我無法準確判斷黑產的形成時間,這些也都是通過接觸到的一些大佬們和小黑們的行為中自我判斷,每個人入行和悟道的時間有長有短,有早有晚,只能說軌跡上大多相似。
這個時候的黑產市場由於價格體系的穩定也逐漸趨於穩定,不同於傳統商品交易市場的是,黑產中還有一個額外的也是最重要的環節,就是資金的洗白,或者說洗錢。
洗錢(Money Laundering)是一個金融行業專業術語,是一種將非法所得合法化的行為。主要指將違法所得及其產生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。為了防止洗錢,一般政府的做法是在源頭上進行監控,也就是通過銀行來監控個人資金的動向,在出現大額交易的時候進行預警和檢查。當資金較少的時候,甲乙和中介等通過現金或者轉賬的方式進行交易就行了,不會引起關注。(之前是因為技術能力不足,無法對每筆交易都進行檢查分析,隨著大數據的到來,每筆交易的檢查分析也會成為現實)隨著行業的發展,黑產規模的不斷擴大,洗錢成為了制約行業發展的最大問題。洗錢的需求,也使得網絡攻擊者開始積極瞭解網絡匿名技術、黑市身份證、博彩業等行業。一種最典型的洗錢技術就是在賭場中兌換代幣後,再兌換成現金帶出,在賭博合法的地方,這種金錢可以偽裝成賭博的合法賺取洗白。網絡攻擊者大多都知道賭的危害性,所以一般不會參與真正的賭博,這種需求也使得很多賭場專門出現地下中介,為黑客們提供洗錢的一整套服務並收取中介費。當然可能還有很多更先進更好用的洗錢手法,在刑法中大抵都能查得到,這裡就不再深入研究了。
這個時候的粗的黑產鏈條形式基本上是甲方——中介——乙方——洗錢中介——洗錢操盤手。這種模式現在還存在,而這種模式雖然穩定,但是所有的過程都建立在人與人之間的溝通合作上,因此網絡攻擊者依然存在很大的暴露的風險,隨著現在大數據技術的發展,這種模式也會逐漸變少或者在中間採取更為隱蔽的方式。
