红与黑

公司和骇客打了一架，后者不断发来信息堵塞系统，并试图盗取用户信息，战争一直持续了一个星期，最后公司赢了。但是李苗却不愿多说，因为“只会招来更多的攻击”。

李苗所在的是一家互联网金融公司。黑客的目的很简单，想要盗取公司的用户信息。

“这样的故事太多了。”安塞副总裁杜东亮向《财经天下》周刊说道：“你给我任何一个电话号码，我们就可以查到他五大银行的所有存款信息。”

不过，你并不用担心安塞盗取信息或者资产，因为安塞是中国一些金融机构的安全合作方，他们的行为也需要接受相关部门的监督。

“他们(骇客)有些像强盗，有些像小偷。小偷可能会偷走你的钱，但强盗可能就是平白无故地打你一顿。”杜东亮说。2013年12月5日，中国央行发布《关于防范比特币风险的通知》，表明不支持比特币后，随即遭受到大量来自国外的黑客攻击，安塞作为央行的合作方，与这些入侵者较量了很长一段时间。

在这些入侵者的背后，是一条完整的黑色产业链，被简称为黑产。

陈树华所在的安全部，被称为阿里“神盾局”，这也是阿里最低调、最神秘的部门。“我们每天都要和黑产打交道，由于强大的利益驱动，黑产的反应速度非常快，对新技术手段的敏锐度非常高。”陈树华说：“因此，在与黑产的斗争中，传统安全更多的处于防守位置，但借助大数据和纵深防御体系，阿里就有能力做前置化的预防工作了。”陈树华是阿里聚安全、钱盾产品创始人，也是国内最早的一批移动安全专家之一。加入阿里之前，在腾讯负责安全工作。

传统的安全厂商主要是解决内网问题，但现在的安全问题，已经没有边界了。每一个互联网项目里都涉及到大量的资金和信息。“今天，你找出任何一个漏洞，带来的价值都将超过我们想象。”陈树华说。

2015阿里安全年报显示，在移动端，iOS系统的漏洞，2015年比2014年增长1.28倍。安卓系统更恐怖，当前应用市场中97%的应用都有漏洞，平均每一个应用上的漏洞达到87个，其中不少都是高危漏洞。

陈树华一直做移动互联网安全。他说，在这之前，手机感染病毒的几率非常的低，但随着整个互联网业务的高速发展，18%的手机感染过病毒，95%的移动热门应用是仿冒。

据不完全统计，目前中国网络黑色产业链的“从业者”已经超过了40万人，依托其进行网络诈骗产业的从业人数至少有160万人，“年产值”超过1100亿元。

2015年年初，腾讯曾针对网络黑色产业链进行了一次全面调研，并发布了首份《网络黑色产业链年度报告》。报告显示，在移动支付安全领域，目前已逐渐形成一条分工明确、作案手法专业的黑色产业链。从业者主要是分布在二三线城市、年龄介于15至25岁之间的无业年轻人。腾讯移动安全实验室数据显示，2015年上半年，手机支付木马病毒新增29762个，感染用户总数达到1145.5万，最高峰出现在6月，平均每天有6.8万名用户中毒。

黑色产业链的发展，也给各个公司的安全团队招人带来了困难。

“我的团队完全是社会招聘，现在发现一个好苗子实在太难了。”郑文彬说。很多黑客都被黑色产业卷走，剩下的这些人，有着一个比较统一的性格标签：道德洁癖。因此，吴石、郑文彬们愿意出现在各种黑客大赛上，甚至公开演讲，希望能够引导年轻人，走正确的路。

米特尼克是历史上第一个因网络犯罪而入狱的黑客，也是第一个被FBI通缉的电脑黑客。他在15岁的时候就入侵了北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，后来又先后入侵了太平洋电脑公司、联邦调查局等系统。2002年出狱后，他出版了畅销书《欺骗的艺术》，成了全球广受欢迎的计算机安全专家之一。

在接受媒体采访时，米特尼克曾说道，骇客是条错误的道路，如果能回到过去，他绝不会重蹈覆辙。

　　孤狼的尴尬

并不是所有的黑客都进了大公司。而那些单独作战的孤狼，有时也会面临尴尬的境地。

在一次安全大会上，一位父亲闯了进来，拿着一沓打印的资料，希望在参会的这些人里，有人能够帮到他的儿子——不久前，他的儿子破解了某婚恋网站的漏洞，并把这个漏洞发布到了乌云平台上，但是，他的儿子还是被这家婚恋网站起诉，并被批捕了。

《财经天下》周刊记者向该网站核实是否起诉了一名黑客，但没有得到答复。

更有名的案例是京东案。2011年12月30日，贾伟在陕西咸阳一家制药厂被警方带走，他的老父亲颤颤巍巍地在拘留证上签了字，然后整整一个月没睡着过。

2011年底，中国互联网爆发了一次大规模用户信息泄漏事件。当时天涯社区、技术开发网站CSDN、游戏门户多玩网、婚恋网站珍爱网等多家网站用户资料被泄露，被业内人士称之为“脱裤门”。京东商城也没有幸免。

京东漏洞的发现者正是贾伟。贾伟有一个常用ID：我心飞翔。在京东商城内部技术人员迟迟无法修复漏洞的情况下，贾伟表示只要聘请自己为高级技术顾问，并支付约240万元劳务费，就将为京东商城修复该漏洞。结果，京东商城以网络被入侵并被“敲诈勒索”为由，向北京朝阳区公安局报警。一个多月后，贾伟被保释。

“这就像我家有个后门，开着，但我没有允许你进来看啊。你不但进来了，还把我家房间的摆设都看了一遍。我当然不高兴了。”孙义在一家大型国产手机厂商做安全运维——负责与黑客接触，发现漏洞并作出响应。

孙义在那次安全大会上也看到了为黑客儿子求助的父亲，但却没有表现出同情。“就是乌云，也只是一个平台。你把信息发在上面，但是出了事，他们一样不管。”

每个月，孙义都能收几十起安全漏洞的报告。“我们会给他(发现漏洞的黑客)一些精神奖励，给他证书，甚至帮他申请国际漏洞编号。这些他都可以写在他的简历里，找工作好使啊。”至于金钱上的报酬，没有。

“我们鼓励‘白帽子’一起建设安全生态，会给漏洞发现者提供精神和物质上的双重奖励。”阿里巴巴安全总监陈树华说。

而京东也在贾伟事件之后，设立了应急响应中心。京东商城信息安全部经理李学庆说，作为一个安全应急响应中心，和腾讯的TSRC、百度的BSRC、阿里巴巴的ASRC一样，京东的JSRC有一个主要任务——堵住一切有可能产生破坏的漏洞。

不过，与国外的厂商相比，国内厂商给予的奖励仍然缺少竞争力。根据京东的数据，提交任何可以攻击京东的漏洞，大概能够获得1000元的京东购物卡奖励。在6.18之前，京东搞了一个双倍积分的活动，“白帽子”提交高危漏洞，最高可以得到折合价值12000元的奖励。

(责任编辑：安博涛)