青山綠水間，一艘小船蕩漾在湖中間。

一群警察帶著裝備尋信號(hào)而來，船上的人老遠(yuǎn)看到了湖邊的動(dòng)靜，一不做二不休，把船上的東西都扔進(jìn)了湖里。這不是電視劇剿滅毒梟的場(chǎng)景，而是警察最后對(duì)一伙黑產(chǎn)收網(wǎng)時(shí)遭遇的“功虧一簣”。船上的人扔到湖里的正是作案工具，被一湖水沖洗得一干二凈……

這是不久前雷鋒網(wǎng)宅客頻道編輯聽到的一起真實(shí)案件。

不過，不是每一位抗擊黑產(chǎn)的安全守衛(wèi)者都會(huì)碰到蕩漾在湖中的小船，但離奇的案件和復(fù)雜的案情像一團(tuán)團(tuán)籠罩在眼前的黑暗，應(yīng)該很多人都曾遇到。

黑暗常有，有時(shí)可以穿過，達(dá)到水落石出的彼岸。有時(shí)，只能一聲嘆息，在黑暗中摸索良久，卻終不能摧毀罪惡的花朵。

為什么打擊黑產(chǎn)這么難？最近雷鋒網(wǎng)和百度安全事業(yè)部副總經(jīng)理沈鵬飛聊了聊。

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，李勤。關(guān)注微信公眾號(hào)“宅客頻道”，獲取更多網(wǎng)絡(luò)安全內(nèi)容。

迷惑：有沒有完美的解決辦法

整個(gè) 2017 年里，百度安全其實(shí)協(xié)助警方完成了不少打擊黑產(chǎn)的大案子。至少，我看到的能夠?qū)ν馀兜牡湫桶咐陀?6 起。更多的是那些不能說的案子?；蛘呱形唇Y(jié)案，或者擔(dān)心后來者繼續(xù)模仿，再或者，由于各種阻礙，無疾而終。

我對(duì)這些不能說的案子更感興趣，就像文頭所說，到底是什么原因讓邪惡居然能擇路而逃？說好的正義終將勝利呢？

現(xiàn)實(shí)是，這條路很難。

沈告訴我，他曾遇到這樣的劫持黑產(chǎn)，明知道是違法的，可是抓不到黑產(chǎn)的現(xiàn)行證據(jù)，拿不到劫持的設(shè)備，只能等警察到運(yùn)營商那調(diào)證，但人還沒進(jìn)去，設(shè)備就不見了，大家知道是誰干的，就是處置不了。

他們還曾看到有人在貼吧里發(fā)布黃賭毒的信息，但不能因?yàn)檫@些人發(fā)了帖子就報(bào)案，警察只有真正抓到這些人實(shí)施了黃賭毒的行為，才能進(jìn)行有效的打擊。

有的企業(yè)網(wǎng)站被黑客攻擊，網(wǎng)站的內(nèi)容被替換成了賭博的內(nèi)容，恰好這時(shí)百度的蜘蛛發(fā)起了調(diào)度，把這種網(wǎng)頁抓回來了，現(xiàn)在的問題就成了：一個(gè)正規(guī)的企業(yè)網(wǎng)站上有違法違規(guī)的內(nèi)容。

面對(duì)這種情況，他們有這么幾種選擇：

1.把這個(gè)域名在檢索時(shí)的權(quán)重調(diào)低，因?yàn)槠鋬?nèi)容已經(jīng)不可信了；

2.在搜索結(jié)果中給他的網(wǎng)頁打上風(fēng)險(xiǎn)標(biāo)，網(wǎng)民點(diǎn)擊的展示中間過渡頁，警示網(wǎng)民網(wǎng)站已被黑客攻擊；

3.什么都不做。

第一種方案保護(hù)了網(wǎng)民，但是會(huì)引起站長的強(qiáng)烈反抗；第二種方案也保護(hù)了網(wǎng)民，但是站長會(huì)有不滿，有的站長甚至罵百度，這是怎么回事，怎么把他的網(wǎng)頁內(nèi)容改了賭博？第三種——什么都不做，會(huì)引起網(wǎng)民、政府的不滿，大家可能會(huì)抱怨“為什么百度又搜出了違法違規(guī)的內(nèi)容”。

看上去有三種選擇，但對(duì)沈和同事們而言，每一種都需權(quán)衡利弊，小心翼翼。

更確切地說，每一種可能都不是最優(yōu)解。

有時(shí)，沈也會(huì)相當(dāng)疑惑：“當(dāng)數(shù)據(jù)、生態(tài)大到一定程度時(shí)，除了給安全檢測(cè)帶來的難度急速上升外，我們到底應(yīng)該選擇哪種處置策略，才能讓所有人滿意？”

這個(gè)困擾了百度安全很久的問題，難住了這位從業(yè)多年的安全老將。

遺憾：一己之力可能無法找到最終的答案

還有很多令人遺憾的結(jié)尾，讓他們?nèi)珲喸诤怼?/p>

有些黑產(chǎn)對(duì)網(wǎng)民造成了傷害，但是他們追尋過去，發(fā)現(xiàn)其服務(wù)器在境外。這意味著，他們沒法進(jìn)一步探究服務(wù)器上的內(nèi)容，還原完整的證據(jù)鏈條。

有時(shí)是相關(guān)系統(tǒng)留存的日志不足，有些產(chǎn)品在設(shè)計(jì)之初從來有想過它未來有一天其數(shù)據(jù)需要用做攻擊溯源，所以無法進(jìn)行打擊——沒有人可以預(yù)知未來，一個(gè)看似不經(jīng)意的結(jié)點(diǎn)可能造成巨大的影響。

還有的黑產(chǎn)案件等待臨門一腳的收網(wǎng)時(shí)，他們恰好突然不干了。沈不知，應(yīng)當(dāng)歡喜，還是憂愁。

另外，有些互聯(lián)網(wǎng)公司認(rèn)為的對(duì)網(wǎng)民、對(duì)企業(yè)傷害很大的團(tuán)伙的犯罪線索，由于沒有對(duì)應(yīng)的法條，當(dāng)前沒法處理。 

這種情況更折磨人——明明在眼前，明明知道，但看上去什么都做不了。

沈鵬飛想了想，也許還剩下一條路：“我們?cè)诒M力推動(dòng)警方，希望打一些如“濾網(wǎng)行動(dòng)”的首案、大案出來，讓全國公檢法未來可以依據(jù)案例參考?！?/strong>

這種“曲線打擊”也許能稍稍彌補(bǔ)人力、法律上的種種遺憾，但還有更現(xiàn)實(shí)的一種案件在眼前。

如果有的黑產(chǎn)在百度搜索上做一些事，但是其溝通平臺(tái)在其他公司的社交系統(tǒng)上，或者，他的錢款又通過網(wǎng)絡(luò)其他平臺(tái)流出去，整個(gè)案件的追蹤就會(huì)更復(fù)雜?？偛豢赡芮瞄_友商的門，直接說：“我們想調(diào)用你們服務(wù)器上的數(shù)據(jù)?！?/p>

一個(gè)典型的場(chǎng)景是嫌疑人在百度上看到了信息，在 QQ 上進(jìn)行信息交流，使用支付寶完成交易，所以在線索的發(fā)現(xiàn)、溯源、嫌疑人的定位上，各家的能力是不一樣的，雖然也會(huì)有數(shù)據(jù)、模型上的交換與合作，但沈覺得，就當(dāng)前這個(gè)狀態(tài)來說，這些合作還是遠(yuǎn)遠(yuǎn)不足。

再者，跨平臺(tái)、跨公司的合作從來不是一家公司的一廂情愿，在商業(yè)世界里，反擊黑產(chǎn)是大益，但總有許多因素會(huì)被考慮。而美好的理想是，要想追尋一個(gè)答案，需要大家拼盡全力，一起奔跑。

堅(jiān)持：想要試試，能否觸及光明

總有一些人，挫折對(duì)他們來說，只是養(yǎng)分。

他們或許有迷惑和遺憾，不能預(yù)測(cè)每一起案件將如何收尾，不知最終是否能穿過黑暗的甬道，不知是否每一次都有水落實(shí)出的真相，但總想往前走，想再試試看，能否觸及光明。

沈鵬飛始終相信，對(duì)于整個(gè)互聯(lián)網(wǎng)生態(tài)，就需要對(duì)抗的黑產(chǎn)灰類型而言，大家的目標(biāo)是一致的，百度遇到的問題，一般其它互聯(lián)網(wǎng)公司也會(huì)遇到，打掉黑產(chǎn)，震懾了黑產(chǎn)，對(duì)所有的互聯(lián)網(wǎng)公司都是有好處的。

這意味著，對(duì)他們而言，這是一件不會(huì)放棄的事情。

這更是嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)所迫。不久前，百度安全發(fā)布了一份研究報(bào)告，統(tǒng)計(jì)顯示，百度安全 2017 年攔截全網(wǎng)惡意網(wǎng)頁總量超 202.9 億，與 2016 年幾乎持平。

沈一直深刻的體會(huì)到，最早的攻擊手段從 Web 端進(jìn)入，一直存在到現(xiàn)在。最終流量在哪兒，大家習(xí)慣用哪個(gè)平臺(tái)，它就會(huì)遷移到哪兒，因?yàn)槔嬖谀睦?，黑產(chǎn)就會(huì)在哪里。做安全，實(shí)際要有前瞻性，甚至是防患于未然。“所以，隨著這種用戶行為特征和使用平臺(tái)的遷移，我們就要做好不同平臺(tái)的規(guī)劃與預(yù)警，做好技術(shù)儲(chǔ)備。”

比如，當(dāng) AI 時(shí)代到來時(shí)，黑產(chǎn)可能利用 AI 的能力讓機(jī)器學(xué)習(xí)識(shí)別出錯(cuò)誤的結(jié)果，未來無人駕駛的汽車、放在家里看上去人畜無害的智能音箱、餐館里打招呼的機(jī)器人都可能成為黑產(chǎn)的武器。

但擺在眼前的依然是挑戰(zhàn)，沈從業(yè)多年，始終堅(jiān)持這兩個(gè)觀點(diǎn)：

“第一，安全這件事，攻防本身是防不勝防。

第二，我們處理了大量的這種問題，但是網(wǎng)民看到的只是冰山的一角，我們所能披露的也是少之又少?！?/strong>

我始終覺得，這話含有些許心酸。我想到另外一個(gè)故事。

2017 年 12 月，百度安全披露一起重大的侵犯公民隱私的案件“濾網(wǎng)行動(dòng)”。這起案件的起源是，大量網(wǎng)友舉報(bào)，手機(jī)通過運(yùn)營商網(wǎng)絡(luò)瀏覽某些網(wǎng)頁后會(huì)很快收到該公司的推銷電話。

沈鵬飛和他的同事現(xiàn)場(chǎng)講解了該黑產(chǎn)利用的技術(shù)原理，試圖跟大家解釋到底是怎么回事。

一位媒體同行在海淀公安的發(fā)布會(huì)現(xiàn)場(chǎng)提問：“在這起案件中，公民應(yīng)該如何保護(hù)自己的隱私?！本焓袷虺聊艘粫?huì)，建議大家不要點(diǎn)擊小網(wǎng)站。事實(shí)上，當(dāng)時(shí)在場(chǎng)的專家明確指出來，這事不是個(gè)人用戶的鍋，也不是搜索引擎的鍋。

到底是誰的鍋？沒人好明說。當(dāng)時(shí)，我了解到的信息是，案件在持續(xù)收尾中，不是“百分百鐵證”，你就是不能說。

但誤解可能如影隨形。百度安全技術(shù)團(tuán)隊(duì)有個(gè)安全研究員特別郁悶，他告訴我，雖然他們已經(jīng)將技術(shù)原理說得清清楚楚，但是還是有人不分青紅皂白就把帽子扣給了他們。他很傷心，也不明白，為什么自己做的明明是好事，可還是會(huì)被誤解，甚至遭到謾罵。

這位安全研究員的話和沈有那么一絲相似。

對(duì)他們而言，或許打擊黑產(chǎn)中的無奈和挫折不算什么，因?yàn)楦鞣N原因，很多做過的努力不能公開也無所謂，但面對(duì)誤解，始終還是有一些不甘。

但終究只是這樣了，拋開這些，他們還是會(huì)繼續(xù)協(xié)助一次次黑產(chǎn)打擊案件，甚至?xí)Φ貭?zhēng)取警方資源，希望能夠?qū)σ恍┌讣簧嶙窊簟?/p>

這群安全研究員告訴我，邪惡不會(huì)永遠(yuǎn)有路可逃，唯有“不放棄”，正義的一方才有獲勝的希望。

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，李勤。關(guān)注微信公眾號(hào)“宅客頻道”，獲取更多網(wǎng)絡(luò)安全內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。