技術無罪論者往往以“殺人的不是槍����,而是持槍的人”這句極富哲學意味的話作為論據�,但他們往往忽略了這樣一個事實��,既槍是中立的工具����,它的屬性是具象化的物體����。
而技術則是科學的應用��,應用則伴隨著某種行動�。
行動必然有好壞之別�,那么技術也應該有善惡之分。
山東大學生徐玉玉之死再次掀開了網絡黑色產業鏈的一角,但這場人間悲劇并沒有讓這一罪惡的產業鏈條停止運轉����。
150萬網絡黑產從業者仍然隱匿在陰暗的角落里����,用日益先進的技術手段盜取����、販賣個人信息,產業下游的詐騙犯們則忙著設置各種騙局……在我看來��,黑客盜取數據的手段所反映出的正是技術“惡”的一面��,反之��,安全廠商不斷升級防御手段打擊網絡黑產則反映出技術“善”的一面。
隨著犯罪手段的高科技化趨勢加劇����,網絡安全廠商也不斷對防御技術進行升級�,一場善與惡的較量悄然展開����。
殺人于無形的黑色利益網一切產業背后都有巨大的利益驅使,網絡黑色產業鏈也不例外����。
互聯網協會發布的報告顯示�,截至目前網絡黑產從業者數量超過150萬人��,僅從2015年下半年到今年上半年的一年間��,因為個人信息泄露、詐騙信息等造成的經濟損失高達915億元����,換句話說這150萬黑產從業者從中獲取的利益已經接近千億規模��。
而這條黑色產業鏈上的從業者分工明確各司其職,上游黑客利用網站漏洞盜取用戶數據�,再將這些數據直接或間接出售給詐騙團伙或是有相關營銷需求的企業�。
編寫惡意代碼者�、出售網絡漏洞者、攻擊竊取用戶數據的黑客����、個人信息批發零售商連同詐騙團伙共同構成了這條充滿罪惡的黑色產業鏈����,而正值花季的徐玉玉則不幸淪為產業鏈的犧牲品����。
徐玉玉事件發生后,曾有白帽子黑客輕而易舉地進入當地教育部門的網站后臺����,下載考生信息����。
盡管根據目前的調查尚不能確定徐玉玉個人信息泄露確系黑客竊取所致��,但相關網站防御體系的脆弱著實讓人捏一把汗����。
另有媒體調查發現��,大量包括學生在內的公民信息在黑市上被明碼標價售賣,信息的售賣者既不參與信息盜取環節也不介入實施詐騙環節����,相當于二道販子����。
對于產業下游的詐騙分子而言����,其之所以鋌而走險原因在于個人信息的獲取成本很低,同時獲得的利益回報巨大�。
“5000塊8萬條數據��,你在哪里都買不到吧?”這是與一名個人信息販賣者的真實對話,平均下來一條個人信息價格僅為6分錢��。
另有調查顯示����,黑客實施攻擊行為竊取數據的成本也十分之低,幾百塊錢就可以購買5G的DDos攻擊流量。
這也是為什么近期DDos攻擊頻發的重要原因��。
那么�,面對肆虐的黑色產業鏈我們真的無計可施嗎?對它的打擊治理又難在何處?打擊網絡黑產究竟難在何處?理論上講��,任何接入互聯網的設備和系統都存在安全漏洞����,包括我們平時使用的智能手機,我們訪問的任何一個網站,使用的任何一個手機應用,隨著物聯網的發展����,家電��、汽車等生活設備都有可能成為黑客攻擊的對象。
這也就意味著��,信息泄露的渠道會越來越多����,信息泄露的幾率也隨之增加��。
從黑色產業鏈上游來看��,黑客竊取個人信息的行為很難被有效制止�,這就導致上下游的供需關系很難被掐斷����,而個人信息交易現象存在一天就意味著信息、電話詐騙現象會同時存在。
另外,犯罪分子竊取個人信息手段的科技含量越來越高��,這在客觀上為安全廠商的應對帶來了挑戰����。
就目前來看,無論是個人還是企業,使用的安全軟件僅能提供被動防御��,也就是說只有在遭受攻擊時才會發揮作用�,而如果病毒庫沒有升級或是遇到新型病毒,結果可想而知。
所以從技術層面來看��,技術“善”的一面難免會遭遇“道高一尺魔高一丈”的局面����。
而從管理層面來看,由于黑色產業鏈牽扯的環節太多,監管難度可想而知��,而在調查詐騙案件過程中��,責任的判定又是一道難題����。
以徐玉玉事件為例�,盡管最終四個詐騙犯落網,但信息泄露的渠道要不要追查,售賣信息的人要不要追責?更進一步講����,如果確因網站存在安全漏洞導致信息泄露,網站的負責人要不要追責�?這些都為打擊黑色產業鏈設置了障礙����。
所以目前治理網絡黑色產業鏈的最好方式仍然是從根源上降低信息泄露的幾率����,方式就是不斷提高防御能力優化防御體系,安全廠商也需要重新作出自我定位����,真正肩負起打擊黑色產業鏈的責任�。
安全廠商需要重新自我定位在剛剛結束的XCon2016安全焦點信息安全技術峰會上��,百度安全披露了這樣一組數據:2016年6月��,全國Android平臺新增手機病毒數量達到384.1萬個,較2015年下半年的274.4萬個��,環比上漲40%��。
如果不拿出有效的應對手段�,病毒的制造和傳播者只會更加肆無忌憚��,更多的人將面臨信息泄露和詐騙問題����。
更為值得擔憂的問題是隨著物聯網的發展����,汽車、家電等與我們生活息息相關的設備都存在信息安全隱患����,可以說信息安全問題已經成為一個全場景的問題�,那么在應對措施上自然也需要從全方位出發��。
也就是百度安全所提出的“全息安全生態”的概念。
所謂全息安全生態����,是指百度安全充分利用云計算��、大數據、人工智能等諸多前沿技術布局全息安全生態�,迎合安全行業由產品向能力升級�,功能向服務升級�,為不同行業、不同企業,甚至不同應用場景����,提供基于人工智能�、云計算、大數據等安全技術的個性化全息��、立體安全解決方案����,滿足“智能+”時代互聯網需求升級的新變化。
這個概念的提出要求傳統安全廠商必須跟上時代的腳步重新作出自我定位�,不能再局限于單純的互聯網殺毒��、防御,而是要針對不同的生活場景拿出相應的安全方案����,形成全息的安全生態��。
另外,殺毒軟件����、靜態防火墻等被動防御已經無法適應當前的互聯網需求�,安全廠商需要對防御技術做出升級����。
拿百度安全來說�,結合其在人工智能領域和大數據上的優勢,構建出面向安全領域的智能學習引擎,自動識別用戶存在的潛在威脅��,主動應對網絡犯罪的危害��,提高對抗黑客的能力��。
善與惡的較量仍然在不斷上演,這場戰爭才剛剛開始。
盡管百度安全這樣的安全廠商們面臨的挑戰巨大,但無論如何我們都應該相信,技術“善”的一面終將打敗其“惡”的一面。
