网之暗面

叶平安

短短十几年间，一条收割普通计算机用户的黑色产业链，已经发展成了巨大的利益共同体，彼此紧密配合分工合作，还有更多的匿名工具，能够保护这些在黑暗中的犯罪者。交易这些信息的角落，就在难以追踪真实身份的暗网中。

当整个世界的目光被柯洁和AlphaGo的围棋比赛吸引时，当英国曼彻斯特又发生了暴恐袭击时，WannaCry（想哭）勒索蠕虫病毒攻击，就像是发生在上个世纪。除了受害者们和从业者们，少有人再会提及。

互联网永不遗忘，但是网民是健忘的。虽然逐渐淡出大众视野，但勒索病毒事件依然在发酵。现在基于“方程式组”武器库开发的勒索病毒已经出现了数十个变种，威胁依然还在。在这一系列事件中扮演重要角色的“暗影掮客”组织依然藏在幕后，身份成谜。就连这个名字的出处也不能确定。

真实世界中的“暗影掮客”也许是个黑客团体，也许是一个人——俄罗斯一位安全专家认为，此人是美国国家安全局（NSA）内部人员。有人说他们的英语太差，所以不应该是英语母语人士；但也有人认为这反倒证明他们尝试隐藏自己的出身。NSA最重要的泄密者斯诺登曾经分析，认为“暗影掮客”应该与俄罗斯政府有关；但路透社的分析文章认为并非如此。

曾经的互联网之光

“黑客”，曾经是个会带来复杂情感反应的名词。一些人喜欢这个词，一些人以能被称为黑客为荣；一些人讨厌这个词，认为它是破坏的力量。但是无论如何，互联网绕不开这个词。

我们今天互联网的很大一部分基础，都是基于黑客们的工作。在早期的用法中，黑客们往往是技术精英，乐于探索和展示自己的技术，并往往奉行分享和免费原则。他们也许会破坏些什么，也许会建设些什么。他们是混乱，也是生机勃勃的力量。

黑客们对传统的道德规范往往并不在意。他们可能开创一个新时代，也可能挡在旧时代巨头的路上。在互联网早期发展史上，到处可以看到他们的名字——名人堂里，或者耻辱柱上；在大众文化中，前者被叫做“黑客”，而后者往往被叫做“骇客”以示区别。

早期的骇客们，即使是以攻击和破坏为目的，也很少提出金钱上的诉求。曾经是美国头号计算机犯罪通缉犯、曾被称作“世界头号黑客”的凯文·米特尼克，在辉煌时期曾经攻进过大量电话和计算机科技公司，甚至攻破了圣迭戈超级计算机中心和联邦调查局的服务器，盗取了大量文件。虽然带来了大量恐慌并遭到追捕，但他并没有提出任何赎金要求。

以经济利益为诉求的骇客们，还只是近十几年来出现的新事物。虽然人们一般不会特别在意，但是骇客们正在给世界带来巨大破坏。雅虎曾在2013年和2014年两次遭遇骇客攻击。据2016年雅虎发布的声明，这两次攻击导致了超过15亿个账户信息泄露，其中包括姓名、电子邮箱等隐私资料，甚至可能还有电话号码、生日，以及加密或未加密的安全问题和答案。而盗取这些信息的骇客团体，在黑市上转让其中两亿条用户信息，开价却只有不到两千美元。

仅仅在2016年一年，就发生了许多骇客攻击事件。孟加拉国中央银行在美国纽约联邦储备银行开设的账户2月初遭黑客攻击，失窃8100万美元。2016年末，俄罗斯中央银行遭遇骇客入侵，被窃走了20亿卢布（约合3100万美元）。

公共设施也成为了攻击目标。德国一座核电站的计算机系统中发现了恶意程序，导致核电站关闭。美国旧金山地铁的电脑票价系统遭到攻击，攻击者开出的赎金要求是100比特币。旧金山地铁没有支付这笔费用，转而开放地铁允许乘客免费乘坐。

当然，还有2016年10月僵尸网络攻击导致的东海岸网站大宕机事件。甚至迪士尼证实即将上映的新片也被骇客盗取。攻击者要求比特币赎金，否则就在网上公开这些未上映的电影——这可能会给迪士尼带来数十亿美元的损失。

骇客活动已经变成了见不得光的敛财途径，而且似乎只要跨过不高的门槛，人人都可以分一杯羹。哪怕是技术不那么过硬的骇客也有方便的赚钱渠道：通过开发和植入木马、病毒和蠕虫，也能获取非法收益。这就像是养蛊。

网络病毒有多毒

1940年代晚期，现代计算机领域的奠基人之一冯·诺依曼初步解决了“机器要怎样才可以自我复制”的问题。虽然直到今天我们依然没能设计出能真正完全自我复制的机器，但是使用他的思路的自我复制产品的确已经存在——电脑病毒就是其中最广为人知的一种。

在1960年代初，在美国电报电话公司的贝尔实验室，3位年轻人开发了一个叫做“达尔文”的游戏，模拟生物的进化过程。在这个游戲中，就应用了冯·诺依曼设想的自我复制理论。

1986年初，在巴基斯坦的拉合尔，两位开软件商店的兄弟编写了“巴基斯坦”病毒——也往往被称为“Brain”病毒。这是第一种具有破坏性的病毒。又过了两年，康奈尔大学研究生罗伯特·T·莫里斯写出了世界上第一个通过网络传播的病毒，在发作时迅速占据了当年互联网上大量磁盘空间、运算资源以及网络带宽，最终导致网络瘫痪和计算机死机，甚至让美国国防部马上成立了计算机应急行动小组来应对这次事件。人们从这时开始才真正意识到，病毒能够带来什么样的危害。

在之后的二十多年中，计算机用户受到了大量病毒和蠕虫的攻击。有可能破坏计算机硬件的CIH病毒、通过邮件传播的“爱虫”、造成大量网站数据丢失的“红色代码”、让计算机自动关机的“冲击波”“震荡波”等等，成了一代代计算机用户的共同回忆，而且都曾衍生出了数十至数百个不同变种。

在“爱虫”这样的蠕虫里，包含了一个“特洛伊木马”。木马是一类特殊的程序，它会首先安装一个软件在计算机上，这样木马的主人就可以远程控制这台计算机。严格地说，木马并不能算是病毒的一种，因为它一般并不会自我复制。然而，大量的病毒和蠕虫结合了木马的功能，让病毒开始朝着获取经济利益的方向发展。

在2007年，全年发现的病毒种类有71万种，而仅仅在2004年，这个数字还只不过是6万而已。根据360发布的《2016年中国互联网安全报告》，2016年新增电脑恶意程序样本已经达到了1.9亿个，而全国至少有497多万台用户电脑遭到了敲诈者病毒攻击。360预计，在2017年敲诈者会增长10倍。

腾讯安全发布的《2016年度互联网安全报告》显示，2016年电脑上最常见的5种木马病毒中，大都以收集用户个人数据、用户名和密码为目的，除此之外还会恶意修改计算机设置、引入其他木马病毒、改变默认浏览器页面，甚至加密计算机中的文件以勒索赎金。每一项行为的背后，都有独特的利益链条。

短短十几年间，一条收割普通计算机用户的黑色产业链，已经发展成了巨大的利益共同体。

一条网络黑色产业链

我们所生活的网络世界表面看来资源丰沛、其乐融融，但事实上已经成了网络犯罪的演练场。今天的网络犯罪往往是有组织、成规模、协同分工、配合作案的团伙行径。

通过控制用户的计算机，来让用户打开特定的网站或者是屏幕上出现奇怪的广告，只是互联网网民们偶尔会碰到的恶意行为。这种行为叫做流量劫持，目的是为特定网站或广告增加访问量、收集用户信息，或者投放木马来让使用者上钩。

网络犯罪活动往往要使用木马盗取用户的账户密码，再进行更多的精细操作。当用户机器中被植入木马后，木马就会开始收集用户对计算机的操作，筛选出其中可能有价值的信息再发送给网络犯罪者——任何可以变成现金的信息都不会放过，无论是网络游戏、QQ、网银账号、邮箱账号，甚至是个人通讯记录或者个人资料——再将这些信息打包出售。

这些被出售的用户名和密码则会经过分类筛选，经过复杂的清理过程，提取出账号内可以直接变现的部分，再根据价值不同分成小批，分别卖给有不同需求的买家。更精细一点的，还会将用户在多个平台的信息对照起来，来实现精准的诈骗或者恶意营销。

近几年流行起来的“撞库攻击”也遵循着类似的流程。大型网络服务提供商都会存储数千万乃至数亿的用户资料，其中部分用户可能在多个网站使用同样的用户名和密码。当某个大型网站的用户数据库被盗取后，很快就会出现在黑市上。而购买者则会用现有用户名和密码去其他网站尝试登录。若是成功登录，则“撞库”攻击成功。若是邮箱、电商网站或者其他拥有等同于现金资产的网站使用了同样的用户名和密码，则可能给用户带来出乎意料的损失。

最后看似没有资产可以被榨取的账号和密码还能再次出售，用来编写密码词典，或者用于群发广告；甚至被植入了木马的计算机也还有剩余价值。这些机器被称作“肉鸡”，可以在发动分布式拒绝服务（DDoS）攻击时提供垃圾信息包作为武器。一台“肉鸡”的售价从几角到几十元不等。计算机用户甚至完全意识不到自己的计算机已经换了主人。

在这些完善的流程下，每个环节都有专职人员操作，彼此紧密配合分工合作，俨然一副流水线般的样貌。巨额利润让这套体系流畅运转，而互联网匿名的特性和分散且损失不高的受害者，让这类事件往往难以根除。

而且，还有更多的匿名工具，能够保护这些在黑暗中的犯罪者。交易这些信息的角落，就在难以追踪真实身份的暗网中。

你不知道的“暗网”

我们所知的互联网，是可以用搜索引擎查找到的网页，是存在于每个人电脑和手机中的连接。而互联网中的大部分信息，是无法被搜索引擎找到的。其中可能包括大量的公共摄像头和私人拍摄的资料存档，包括大量的各行业数据库。互联网黑暗的角落中存放着一些不会暴露在阳光下的内容。这片黑暗的角落，往往被叫做“暗网”。

没有办法像访问其他互联网网站那样，通过浏览器输入网址来访问暗网的内容。暗网更像是一个都市传说，它通过口耳相传和窃窃私语传播，拨开迷雾探探暗网的内容并不是正常网民的选项——只有执法部门和新闻调查者才往往是那些将暗网展示在我们面前的人。暗网和其他互联网之间的区别，仅仅在于暗网需要通过特定的匿名软件接入，难以追查到使用者的身份。暗网存在违法交易，就像地下世界的黑市。同样，地上互联网世界的规则在暗网中，也有所不同。

匿名性也是暗网最大的特征，讽刺的是，这种工具最早是美国海军开发的，用来避免网络访问被追踪。当这个项目转为民用时，网民们将它用在那些不希望被人知道真实身份的场合——暗网就是其中之一。

在暗网上和在公开的互联网上的活动，并没有什么区别。发布信息、销售商品、在线讨论、电子邮件、社交活动，都能在暗网上找到对应的替代物。只是由于匿名性，暗网中的内容更趋向于非法、极端和恐怖主义。

2013年，美国聯邦调查局抓捕了一位名叫罗斯·威廉姆斯·乌布利希的青年。乌布利希是暗网上最大的电子商务平台“丝绸之路”的创始人，在这个网站上，人们可以以比特币自由买卖违法商品，从枪支、毒品、伪造的身份证件到网站的用户资料等等不一而足。但是和互联网中类似网站不一样的是，这个网站中的交易只能靠运气：匿名性带来的，只能是不负责任和不可信任。

虽然听起来有点可怕，但暗网无论是规模还是流量都只占据非常小的互联网份额。据估算，它大约只有数千到上万个网站，以及占据匿名流量的0.03%。而且它虽然匿名，但并不是法外之地。每年都有数十到数百名暗网用户被逮捕，从毒品和枪支经销商、非法购买毒品的瘾君子，到暗网网站的工作人员等等不一而足——卧底在虚拟世界中也同样有用。

骇客、病毒和暗网的存在告诉我们，互联网并不全是美好。它不是伊甸园，也不是所有人无忧无虑生活的天堂。我们每天在使用计算机时，都在打一场无声的战争。在经济利益的诱惑下，黑客曾经的光荣一去不返，我们谈到病毒制造者时也不再会赞叹他们的聪明才智。

互联网世界和真实世界，并没有多少不同。有明就有暗，有光就有影。互联网的阴暗面必然会存在，并且将会永远存在下去。在真实生活中需要遵循的规则，在互联网世界中也同样有效。