从暗网谈隐蔽信道对网络执法的威胁*

陈 莹 赵子竣 狄 珂 张若凡

江苏警官学院，江苏 南京 210031

随着互联网的技术不断发展，暗网这一带有神秘色彩的名词逐渐走进普通公众视野。广为传播的网络“冰山理论”扩大解读暗网的数据量概念之余，聚焦黑暗禁忌性内容的媒体报道也引来社会关于暗网中的个体自由与公共秩序之争的广泛讨论。客观认识暗网作为隐蔽信道存在的合理意义，直面现有非法活动为各国网络空间治理带来的挑战，是实现网络执法有效应对的重要前提。

一、暗网简述：技术发展与自由意志催生隐匿空间

(一)意涵分析

如果将互联网世界比作无边无际的信息宇宙，那么搜索引擎就是人们握在手中的探照灯，用以检索所需的web化信息。能够以简单搜索引擎抓取信息特征的网络部分为“表层网络”(Surface Web)，未被搜索引擎探照到的为“深层网络”(Deep Web)，是存在于网络冰山水面之下的部分。暗网(Dark Web)是深网的子集，特指仅能通过特殊软件或加密动态网络技术才能访问的网络集合，是利用加密传输、多点中继混淆、P2P对等网络等技术，为用户提供匿名的互联网信息访问的一类技术手段[1]。本质上来说，暗网是为用户提供匿名网络访问的一种隐蔽信道。

(二)内在机理

明网向暗网纵深演化的动态过程，是网络用户匿名保护呼声下的产物。匿名表达权作为一项被美国等多国以宪法判例形式确认的宪法权利，在政府管理层对明网接入的条框限制中有所窄化。不愿时时被窥探监测的网民在保护隐私的正当需求下发起网络技术革命，想要在网络的更深处满足匿名保护的刚需，找寻人性复杂面的宣泄出口。加之洋葱路由(The Onion Router，TOR)、隐形互联网计划(Invisible Internet Project，12P)以及自由网(Freenet)等技术的推波助澜，暗网应运而生。

如果说，匿名性是暗网的灵魂，那么，暗网技术的灵魂在于洋葱路由(TOR)。TOR是一套匿名系统，因数据在系统中被密码犹如洋葱皮瓣般层层保护得名，最初只作为美国海军控制情报通信、避免敌国监控应用研究项目，后来在军用走向民用的去中心化推广中普及“隐藏服务”(Hidden Services)。作为一个三重代理，Tor客户端先与目录服务器通信获得全球活动中继节点信息，然后再随机选择三个节点组成电路(circuit)，用户流量跳跃这三个节点(hop)之后最终到达目标网站服务器[2]。得益于每一跳由不同的密钥进行加密，每一分钟的请求都被赋予新的线路，没有任何一个节点拥有完整的通信元信息。

因此，TOR通过加密技术下的层层转发，在多用户对同一套匿名基础设施的复用混淆下切断流量分析的正常路径，真正实现隐蔽通信。当用户使用以onion服务器接入网络时，互联网服务的匿名浏览和部署都将成为可能。目前，洋葱路由的中继点在全球范围内不断扩大，在全球有超过1600个中继节点。[2]

(三)特质阐述

1.接入便捷性

“暗网”技术看似复杂，但是对于广大用户来讲接入“暗网”的难度并不是太大，尤其是计算机技术普遍的当今社会，用户只要掌握一些基本的“翻墙”技术，下载相应的翻墙软件(例如VPN)，再经过一些简单的设置，就可以通过TOR(洋葱路由)接入“暗网”。在此基础上，暗网技术的开发者还研发了暗网接入的辅助工具，使得暗网的广泛接入更为水到渠成。

2.超强隐匿性

普通的网络访问中，用户与服务器之间的记录皆可回溯，一切浏览活动可凭借网站系统内部流量监视程序锁定IP地址。“暗网”基于所采取TOR技术为代表的层层包裹的“暗网”算法，保护着人们在互联网上的行迹不被追踪和定位，畅通自由表达渠道。

3.交易独特性

在我国，非法资金流动案件的侦查突破点在于资金流动路线追踪。但“暗网”中以虚拟货币比特币(Bit Coin)进行“金钱往来的隐蔽”。比特币作为基于对等网络中种子文件达成的网络协议，以数字编码形式存在，可通畅快捷实现与美元、英镑、人民币在内的世界主流货币的兑换机制。不依赖于国家政府发行，不受制于实名信用担保，且兼具电子货币与支付系统功能，无需任何转账中介便可实现货币对价交换过程，无法通过资金交易记录来追查资金动态。

二、双面视角：隐蔽非法活动催生安全监管威胁

基于上述特质，“暗网”技术结构决定其具有合理运用的意义。对普通公众而言，暗网是使用者基于保护个人隐私需求下选择的加密通道；在正常的电子商务中，是企业用户为逃避商业巨头压制寻求自由发展的新型平台；军事领域更不必说，自诞生起就对保密指挥起着重要的保护意义。

但匿名服务可以用来保护隐私，也可能被用于规避审查。尽管暗网购物以常规物品为主，但比特币便利洗钱的特点也会促进各种各样的罪行。基于合理目的产生的暗网，作为相对自由的监管灰色地带，也可能为违法犯罪根植提供土壤。

(一)实害性违法交易丛生

当暗网成为法外之地，不法分子在隐私保护失控下的“买密卖密”中发现非法牟利商机。暗网中有赌博网站，盗贼与刺客出租，还有儿童色情片。毒品、武器、异国动物、赃物以及被盗信息等非法货物被全部出售获利。[3]乌布利希成立的“丝绸之路”黑暗帝国，依托比特币进行的非法交易不胜枚举，仅靠收取佣金便让创始人两年成为亿万富翁。英国模特Chloe惊险逃脱性奴交易，让主营世界范围内贩卖女性业务的“黑色死亡集团”(Black Death)揭开黑暗一角。即便中国用户曾因文化隔阂及落后网络环境并无身影，2016年我国第一例“暗网”媒介传播儿童色情淫秽信息案的破获也宣示我国网络在这一全球化威胁中再无净土。可想而知，在看不见的暗网世界里，非法活动是何等的猖獗。

更糟糕的是，2016年8月17日，联合国专家组在向安全理事会提交的反恐报告中严正指出，随着加密效能不断提高，暗网早已成为“达伊沙”“基地”等极端恐怖组织招募成员，煽动部署袭击的秘密传声筒，水平最高的安全机构也无法一一洞穿海量的信息。此言为各国政府的网络执法工作敲响警钟。

(二)无边界意识形态攻击

暗网中纯粹的枪支毒品等在内的实害性非法交易固然恐怖，但精神污染性质的危害亦不容小觑。2017年，我国访美学者章莹颖校园失踪案中，犯罪嫌疑人勃兰特·克里斯坦森(Brendt Christensen)的犯罪行径被推断与其浏览的暗网完美绑架幻想帖有着千丝万缕的关联。我国首例暗网传播儿童淫秽案中，嫌疑人孙某也因登陆隐蔽网络发现了合癖的儿童淫秽视频论坛而打开潘多拉宝盒。在主流文化占主导地位的表层网上，异见分子所持有的文化倾向往往受到排斥和消解，而在暗网中，由于匿名服务的保护，违背社会主流文化和正常秩序的越轨行为(deviant behavior)得到了更多的生存空间。[4]犯罪激进分子在Tor网络中使用安全电子邮件及网络论坛随意谈论敏感话题，沟通设立活动，对每一位好奇涉猎的用户形成意识形态攻击。

(三)此消彼长中承继接力

正如美国乔治·华盛顿大学网络与国土安全中心主任弗兰克·克卢福在铲除全球最大暗网平台“Alpha Bay”(阿尔法湾)后所言，“铲除‘阿尔法湾’意义重大，但它有点儿像打鼹鼠的游戏，罪犯会不断涌向其他地方。”事实上，不论打击过程多么艰苦卓绝，每实现一次对暗网“大鱼”的捕捞，那些漏网之鱼就迅速转移战场，展示着“春风吹又生”的屡禁不绝之势。当“丝绸之路”帝国随着乌布利希被捕宣布坍塌，仅仅一个月后其2.0版便横空出世。当丝绸系列几经浮沉走进暮年黄昏，阿尔法湾迅速蹿升暗网中的夺目新星，非法交易数额、条目罪恶程度比前者更甚。

甚至仅仅交易工具而言，在美国国家税务局宣布政企联合成功研制监测比特币所有者信息与洗钱活动的有效工具时，也迅速被以太币和门罗币为代表的其他数字货币取而代之，比特币使用率大幅下降，网络犯罪营收却丝毫不减。

一言以蔽之，暗网市场并没有因为执法部门的打击行动而销声匿迹，用户的需求正通过平台转移，持续着这个产业生态链条的发展[5]，作恶者永远有隐匿于暗处的方式。

三、监管思路：互联网背景下的执法手段多元设计

(一)技术对垒

虚拟网络并非法外之地。罪恶无论在何处，都不能姑息。追根溯源，暗网、比特币、洋葱路由均是借力网络技术发展衍生，加快网络安全技术投入与研发步伐，是应对隐蔽信道监管困境的治本之策。美国国防部高级研究计划局(DARPA)门针对暗网开发了搜索引擎Memex加大政府对暗网网站情况的摸排程度[6]。FBI也尝试对数据无加密的网络出口节点进行监控，致力于研究对Tor用户“去匿名化”的方法。百度作为目前世界上少数掌握搜索引擎技术核心公司之一，于2008年启动了“阿拉丁计划”[7]，旨在将探照灯照进所有现有引擎无法抓取和检索的暗网信息，从企业技术层面为我国实现暗网可控化提供可期途径。

但不可否认的是，纯粹的技术对垒难免在暗网技术相应的发展中仍旧成为“猫捉老鼠”的游戏。同时，执法机构面对暗网的高技术门槛和终端应用程序下载的普及，追踪成本也不断增加。DEA(美国缉毒局)、ATF(美国烟酒枪炮及爆裂物管理局)和NSA(国家安全局)等都花费数千万美元试图攻入其中为攻入“暗网”中的非法网站，实用效果却杯水车薪。

(二)基于APT应用的综合治理

APT(Advanced Persistent Threat，高级持续性威胁)网络攻击，一般是指针对政府机关、研究机构或特定企业的连续不间断入侵渗透，利用软硬件缺陷和社会工程学原理进行的持续攻击。[8]表现方式主要为长期性潜伏于特定对象网络，持续性情报收集后主动挖掘安全漏洞，针对性定向侵入窃取敏感信息，多见于黑客攻击。笔者认为，网络监管手段可借鉴这一技术，合理利用ATP对暗网进行隐蔽性持续攻击，长期渗透暗网的运作情况寻求系统漏洞完成打击行动。理论上而言，APT可以在进入非法活动暗网服务器后，通过密码破解或发送欺诈邮件方式获取管理员账号，最终突破AD服务器或核心开发环境。[9]但APT的攻击特性不排除关键时刻的破坏性爆发，加之过程具长期性，依赖线上技术的同时势必要与传统线下执法手段相结合，实现综合治理。

1.源头禁止

在暗网非法化的全球化威胁中，每个国家都在探测路径。俄罗斯顶着网民上街抗议压力通过法案，强制要求日均访问量超过3000人的网站向政府报备放弃匿名权，甚至赋予俄罗斯政府关闭全国网络的权力。美国则全力推进政府监听合法化，扩大国家安全部门共享信息的范围，力求实现对每一次点对点暗网活动的监控追踪。通过强势的法律体系加强对互联网用户的网络活动监管本身并无问题，政府全面干预网络自由的粗暴低效尚有争议。

1996年起，我国便在禁止自行组建入口信道接入国际网络作出特别规定；2017年我国公布了《网络安全法》，规定网络产品和服务提供者不得设置恶意程序，明确赋予有关主管部门处置阻断违法信息传播的权力。我国可继续贯彻立法稳健性，通过GFW(中国长城防火墙)这一网络审查系统对出现政治敏感、色情等关键词境外网站的过滤监控，把好限制非法外部链接关，从国家法律层面加以打击。

2.传统侦查

在丝绸之路和阿尔法湾平台的打击中，警方都采取了伪装成市场销售非法物品的买家普通用户的方式在交易过程中通过邮戳等蛛丝马迹寻找突破口，卧底侦查这一传统方式在暗网打击中将继续得到沿用。此外，两个平台的管理者都曾在明网留下招聘信息，结合暗网中的邮箱定位暴露踪迹，再由行政手段锁定目标，因此，实现暗网犯罪空间的可视化也应当打好明网监管基础，“内外兼修”。更多增加分析工作，提升信息价值。

除交易方式外，收货渠道也不失为一种监管途径。目前，暗网非法案件中涉及到枪支毒品等违禁品交易的主要送货方式还是物流快递。贯彻我国现有的快递市场管理办法，加速《快递暂行条例(草案)》正式发布进程，以加强对快递邮寄途径上的验视内件、违禁品内容检查及用户实名制监督，对暗网产业链中专司运送非法物品的快递公司进行取缔，都是防患未然的有效举措。

3.国际合作

全球最大暗网平台阿尔法湾的关闭打击中，出动了美荷等八国警方及欧洲刑警组织。所谓网络无边界，技术有国界。“暗网”中的灰黑地带作为境外隐蔽网络犯罪的无国界庇护所，各国都无法独善其身，对社会和经济造成的威胁需要上升国际合作层面共同应对。以第三次中美打击网络犯罪及相关事项高级别联合对话为重要成果，我国已经与美国英国在内的30多个国家建立了双边警务合作关系，与日本、韩国等14个国家建立了亚洲计算机犯罪互联网络(CTINS)。我国可以现有务实合作资源为基础，及时评估网络犯罪协助请求，交换网络犯罪动态，不断提升自身侦查取证技术。同时，继续推大国际利用网络实施犯罪的合作范围，实现对暗网非法行为的共同打击，为推动形成全球性暗网治理规则作出努力。

四、结语

暗网网络监管的剑锋所指从来都不是暗网技术本身，而是打着自由的幌子、进行非法行径却又蓄意隐匿身份逃避追责的作恶者。公民隐私保护需求与公共安全保卫能力的博弈既不能沦为公民滥用隐私权的纵容，也不能当做政府滥用技术优势的借口。在互联网作为双刃剑的发展过程中，兵来将挡是网络执法永恒的主题。正如美国司法部长塞申斯所宣誓的那样，“暗网并非法外之地，我们终将找到你。”一场针对暗网上隐蔽罪恶的全球行动，才刚刚开始。

[ 参 考 文 献 ]

[1]陈海强.暗网：生存还是死亡?[J].中国信息安全，2017(11)：61-64.

[2]暗网的养成：Tor(洋葱路由)的故事[J].中国信息安全，2017(11)：65-68.

[3]马可.美国国会研究服务局暗网报告摘要[J].中国信息安全，2017(11)：81-82.

[4]张伟伟，王万.暗网恐怖主义犯罪研究[J].中国人民公安大学学报(社会科学版)，2016，32(04)：13-18.

[5]王丹娜.暗网治理需各国执法协同联动[J].中国信息安全，2017(11)：77-80.

[6]梁晓轩.揭开暗网的神秘面纱[J].检察风云，2017(23)：12-14.

[7]王尧，梁秀娟.从百度“阿拉丁平台”谈搜索引擎的发展方向[J].情报探索，2010(05)：11-13.

[8]糜旗，朱杰，徐超，宗俊珺.基于APT网络攻击的技术研究[J].计算机与现代化，2014(10)：92-94

[9]中国代表团在联合国打击网络犯罪会议上的发言集萃[J].中国信息安全，2011(10)：59-61.DOI：10.3969/j.issn.1674-7844.2011.10.030.