9月7日,《今日说法》主持人撒贝宁也没能幸免,接到了来自电信诈骗犯罪分子的电话,骗子在电话中称自己是北京市东城警局的警员,说小撒涉嫌拐卖儿童被通缉,需要交付一定款项才能免于获刑。小撒这时候充分发挥出了他的专业素养,不仅向他进行了普法教育,还很好奇地问那骗子难道就没看过自己的节目吗?骗子也真是天真,的的确确不认识小撒,不仅一个劲儿地在那用严厉的语气威吓小撒,到最后气急败坏了居然开口大骂。可咱小撒不卑不亢,依然在对他进行耐心的教育...哈哈哈哈!后来,骗子可能真的上网查了下《今日说法》,知道了撒贝宁的身份,还专门又换了个号给小撒打过电话去,承认自己是个诈骗犯,但很快又挂了。这骗子脑子里到底咋想的真是很难理解啊!看似啼笑皆非的事件不得不让我们再次深思网络安全,个人信息问题。
根据第38次《中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民规模达7.10亿。
伴随着互联网的高速发展,越来越多的网民接入互联网,尽情地享受着社交、电商、游戏、娱乐等互联网服务,孰不知,互联网在给人们的生活带来便利的同时,隐患与盲区的治理问题也逐渐暴露。
不法分子利用互联网的便利制造出恶意注册、虚假认证、诈骗、假冒伪劣等一系列网络乱象,严重影响了用户的上网体验,给网民带来了巨大的危害,同时也给各大互联网企业带来极大的挑战。有业内人士测算,中国“网络黑产”从业人员已经超过150万,市场规模已经达到千亿级别。
8月30日某网站曾报道:“只是通过搜索引擎打开了一家培训网站,没有注册、更没有登录,手机却很快接到了网站客服人员的推销电话,这是怎么一回事?谁泄露了我的隐私?”报道中指出,互联网上一系列利用电信运营商未做限制的接口或漏洞,窃取上网用户的手机号码予以牟利的隐私窃取行为非常猖獗,甚至已经形成的分工明确的黑色产业链。
技术无罪论者往往以“杀人的不是枪,而是持枪的人”这句极富哲学意味的话作为论据,但他们往往忽略了这样一个事实:枪是中立的工具,它的属性是具象化的物体。而技术则是科学的应用,应用则伴随着某种行动。行动必然有好坏之别,那么技术也应该有善恶之分。
近几天的电信诈骗案再次掀开了网络黑色产业链的一角,但这场人间悲剧并没有让这一罪恶的产业链条停止运转。150万网络黑产从业者仍然隐匿在阴暗的角落里,用日益先进的技术手段盗取、贩卖个人信息,产业下游的诈骗犯们则忙着设置各种骗局……
黑客盗取数据的手段所反映出的正是技术“恶”的一面,反之,信息安全人员不断升级防御手段打击网络黑产则反映出技术“善”的一面。随着犯罪手段的高科技化趋势加剧,信息安全运维人员也不断对防御技术进行升级,一场善与恶的较量悄然展开。
杀人于无形的黑色利益网
一切产业背后都有巨大的利益驱使,网络黑色产业链也不例外。相关部门发布的报告显示,截至目前网络黑产从业者数量超过150万人,仅从2015年下半年到今年上半年的一年间,因为个人信息泄露、诈骗信息等造成的经济损失高达915亿元。
而这条黑色产业链上的从业者分工明确各司其职,上游黑客利用网站漏洞盗取用户数据,再将这些数据直接或间接出售给诈骗团伙或是有相关营销需求的企业。编写恶意代码者、出售网络漏洞者、攻击窃取用户数据的黑客、个人信息批发零售商连同诈骗团伙共同构成了这条充满罪恶的黑色产业链。
徐玉玉事件发生后,曾有白帽子黑客轻而易举地进入当地教育部门的网站后台,下载考生信息。尽管根据目前的调查尚不能确定徐玉玉个人信息泄露确系黑客窃取所致,但相关网站防御体系的脆弱着实让人捏一把汗。
另有媒体调查发现,大量包括学生在内的公民信息在黑市上被明码标价售卖,信息的售卖者既不参与信息盗取环节也不介入实施诈骗环节,相当于二道贩子。
对于产业下游的诈骗分子而言,其之所以铤而走险原因在于个人信息的获取成本很低,同时获得的利益回报巨大。“5000块8万条数据,你在哪里都买不到吧?”这是与一名个人信息贩卖者的真实对话,平均下来一条个人信息价格仅为6分钱。
另有调查显示,黑客实施攻击行为窃取数据的成本也十分之低,几百块钱就可以购买5G的DDos攻击流量。这也是为什么近期DDos攻击频发的重要原因。
那么,面对肆虐的黑色产业链我们真的无计可施吗?打击网络黑产究竟难在何处?
理论上讲,任何接入互联网的设备和系统都存在安全漏洞,包括我们平时使用的智能手机,我们访问的任何一个网站,使用的任何一个手机应用,随着物联网的发展,家电、汽车等生活设备都有可能成为黑客攻击的对象。这也就意味着,信息泄露的渠道会越来越多,信息泄露的几率也随之增加。
从黑色产业链上游来看,黑客窃取个人信息的行为很难被有效制止,这就导致上下游的供需关系很难被掐断,而个人信息交易现象存在一天就意味着信息、电话诈骗现象会同时存在。
另外,犯罪分子窃取个人信息手段的科技含量越来越高,这在客观上为安全运维人员应对带来了挑战。就目前来看,安全运维人才短缺。安全运维的金钱和人力成本都非常高。现在一些企业是自己内部有专门的安全运维人员,但多数情况下是外包给第三方公司,而这些外包公司很多在系统建设上、系统提升上未必有高深的安全方面的能力。所以从技术层面来看,技术“善”的一面难免会遭遇“道高一尺魔高一丈”的局面。
而从管理层面来看,由于黑色产业链牵扯的环节太多,监管难度可想而知,而在调查诈骗案件过程中,责任的判定又是一道难题。 所以目前治理网络黑色产业链的最好方式仍然是从根源上降低信息泄露的几率,方式就是尽快建设起一支网络安全行业的人才梯队。
保障网络信息安全 人才是关键
为加强网络安全学院学科专业建设和人才培养,经中央网络安全和信息化领导小组同意,中网办、发改委、教育部等六部门近日联合印发《关于加强网络安全学科建设和人才培养的意见》,要求加快网络安全学科专业和院系建设,创新网络安全人才培养机制,强化网络安全师资队伍建设,推动高等院校与行业企业合作育人、协同创新,完善网络安全人才培养配套措施。
《意见》明确,在已设立网络空间安全一级学科的基础上,加强学科专业建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。
善与恶的较量仍然在不断上演,这场战争才刚刚开始。尽管由于我国现在网络安全市场人才严重稀缺,还面临着巨大的挑战,但无论如何我们都应该相信,技术“善”的一面终将打败其“恶”的一面。