在人們的生活已愈發離不開網絡的當下，網絡卻似乎越來越不安全了。

近來，互聯網安全問題一再爆發。彈幕網站AcFun、摩拜、優酷、前程無憂，甚至中國鐵路總公司的12306，相繼被傳有上千萬用戶數據泄露，包括用戶的郵箱、密碼、真實姓名、身份證號碼、電話等被人瞬間擺上“貨架”兜售。

更早些時候，暗網上甚至出現了一個高達41GB的數據文件，涉及Gmail、Hotmail、Sina、qq、163等共14億個郵箱地址，堪稱“暗網史上最大的數據庫”。

也就是說，若有人想以此牟利，普通消費者在網上的一切信息都可能被瞬間曝光，你的手機、網絡銀行、股票賬戶隨時都可能被入侵。

工具的使用促進了人類的進化，為人類提供了便利，互聯網更是在徹底改變人類生活。然而，在另一面，網絡安全正日益捉襟見肘，風險不斷上升。相關數據顯示，自2015年開始，全球的數據泄露規模便成幾何式增長。2015年，7.07億條數據泄露；2016，14億條；2017年，50億條……

風險在上升，技術也會進化。如今，全新的開放式網絡安全理念正在悄然崛起，這能否成為挽救網絡安全的一劑良方？

“裸奔”時代

互聯網，拉近了人與人之間的距離，也撕碎了人類的遮體布。在網上“裸奔”的網民，不僅被“畫了像”，這些“畫像”甚至還被出售牟利。

截自暗網的圖片顯示，近日被兜售的數據庫除涉及AcFun網站外，還有優酷、摩拜、12306、前程無憂以及各大郵箱網站。其中AcFun數據的價格從7000元到12000元不等；摩拜單車的用戶數據整體標價40萬，12306的3000多萬條數據售價10個比特幣（發稿時每比特幣約6500美元），5000萬條優酷數據則被黑客要價80個比特幣。

算下來，一個普通消費者的全部信息，還不到1分錢。我們所有的信息，似乎一文不值。可當這些數據落入違法者的手中，對個人造成的損失或以萬計。

暗網出售的這些信息并沒有被完全證實來源于其所宣稱的各大網站或平臺。即便如此，面對這些打著各自旗號的所謂泄露信息，各大網站的反應各不相同。

AcFun的態度最誠懇。該網站承認被泄露的用戶數據包括用戶ID、用戶昵稱、加密存儲的密碼等。“根本原因在于我們沒有把AcFun做得足夠安全。”有意思的是，在AcFun發布公告后，有黑客即發帖表示，“出于A站客服態度誠懇”，他們將無條件刪除這次數據庫資料，也不會出售任何相關數據和漏洞。

同樣被卷入數據泄露風波的摩拜則稱，公司在收到情報后第一時間啟動全量排查，暫未發現數據泄露和入侵的現象。中國鐵路總公司官方微博則表示，網傳“12306數據疑似泄露”，經核查，該網站未發生用戶信息泄露。

前程無憂在回應中說，樣本數據中只有部分賬戶密碼能夠成功登錄，因此網站數據庫被入侵或整體泄露的可能性不大。“釋放出來的樣本數據，都是在2013年之前注冊，大部分來自此前遭泄露的郵箱賬戶和密碼。”

傳言和回應，普通的網民真假難辨，但這種不安全的環境卻越來越明顯。普通消費者至少有權了解，自己在互聯網上是如何被變成“裸奔者”的。

“裸奔者”的誕生

和進化中的人類一樣，進化中的互聯網也并不完美。從技術派黑客到安全從業者，從政治上的中心權威主義到去中心化的無政府主義，互聯網幾乎就是現實人性與社會的映射體。

“裸奔者”的誕生，正是這些矛盾的衍生品。比如，網站管理者認為，用戶數據是隱私，必須嚴加保護。而著名的黑客埃里克·雷蒙德卻認為，所有的信息都應該是免費的，要打破電腦特權，計算機才會使生活更美好。雙方于是產生了進攻和防守，攻防之間，用戶數據的泄露在所難免。

在技術上，用戶數據的泄露并不神秘。網絡安全專家、“漏洞銀行”CTO張雪松認為，排除內鬼因素，黑客一般是利用漏洞入侵網站服務器，直接將用戶數據庫導出偷走，這叫“拖庫”。

完成“拖庫”之后，黑客還會進行“撞庫”攻擊，就是黑客在獲得甲網站的用戶賬戶和密碼之后，再用這些賬戶密碼嘗試登錄乙網站。“多數網民會在不同網站上注冊相同的賬號和密碼，通過撞庫，黑客無需入侵乙網站，就能獲得一系列可以登錄乙網站甚至更多網站的用戶數據，而且這一過程是通過程序自動批量來進行的。”

完成“撞庫”后，部分無效或者重復的數據將被剔除，只剩下有效的用戶數據。這些在不同網站上注冊的用戶信息相互補充，可以形成更加豐滿的“裸奔者畫像”，然后再轉賣黑產進行價值變現，這個過程就叫“洗庫”。“比如傳言被泄露的14億郵箱數據，應該是在過去數年中不斷地撞庫、洗庫而累積起來的。”

“冰山”底部的黑產

在信息即商機的今天，圍繞著網絡用戶數據，已經形成了一個完整的、極其成熟的網絡黑色產業鏈（簡稱“黑產”）。根據2017年的測算，中國“網絡黑產”從業人員已超過150萬，市場規模達千億級別。

在這個黑產中，有單個的黑客，也有黑客組織，他們通過網絡技術明確分工。比如有人專門負責入侵網站，實施“拖庫”，盜取用戶數據。有人負責“撞庫”或者“洗庫”，還有人專門做暗網兜售，將這些數據變現。

在黑產的下游，有政治或者商業競爭對手，也有利用這些數據進行電信詐騙的團伙。2016年的“徐玉玉被詐騙案”，正是由于騙子掌握了徐玉玉完整的錄取信息、手機號碼等個人信息，才能夠精準實施詐騙。

黑產離不開暗網。所謂暗網，是一個完全匿名的、不能被搜索引擎檢索、IP地址很難被跟蹤的網絡。黑產交易絕大部分都是通過暗網完成的，而且使用的是隱匿性很強的數字貨幣。正是因為有極強的隱蔽性，暗網成了犯罪者的天堂。

令人吃驚的是，在暗網上收購用戶數據的，不僅有黑客、黃牛、詐騙犯以及政商競爭對手，也有正規的網絡安全公司和大數據公司。

“網絡安全公司主要是購買漏洞技術，為客戶提供補漏服務。大數據公司則需要原始數據，比如他們想做網購行為分析，自己沒有電商平臺，又無法從大的電商平臺獲取，那就只能從暗網購買。這種購買肯定不符合法規，但是因為其隱蔽性，很難被查處。”張雪松還透露，現在暗網上賣得最火爆的，已經不是郵箱賬號、密碼之類的數據，而是外賣、快遞、購物、理財類的信息。這些信息不僅包含有個人的物理定位，還能反映出個人的消費和資金等情況。

在這些大數據面前，人人都是“裸奔者”，而這卻是商家實現精準營銷所急需的。

漏洞的價值

暗網和表層網相互交織，加上黑色產業背后的巨大利益，導致要想徹底鏟除黑產，幾乎不大可能。

人類最美好的健康，是不生病、不吃藥，不需要龐大的醫療產業。同樣的，大家期待的網絡安全，是“夜不閉戶、路不拾遺”，不需要任何的防護。

“在紛繁復雜互聯網世界里，這樣的理想狀態幾乎就是幻想。就像木桶存在短板一樣，任何網站都無法做到固若金湯，肯定有薄弱之處和漏洞。所以，漏洞本身是非常有價值的。”張雪松解釋說，所有詐騙電話、釣魚郵件、欺詐短信，都和個人信息泄露有關。假如金融網站漏洞被黑客掌握，上億資金瞬間就會被轉走；如果城市電力系統的漏洞被掌握，整座城市可能會陷入黑暗。在黑市上，微軟的漏洞交易價格從1萬美元到30萬美元不等，而各國國防安全系統的漏洞，其價值更是無法預估。

“與其讓惡意黑客掌握這些潛在漏洞，流入黑產市場，不如鼓勵擁有黑客技術的人發現漏洞，提供給企業和機構，并幫助他們建設更安全的網站。”正是基于這樣的理念，才有了漏洞平臺的誕生，而這些發現漏洞幫助企業的“黑客”被稱為白帽子。白帽子和企業之間的有效合作，可以幫助企業將安全隱患扼殺在萌芽時期。”

“開放安全”的理想

道高一尺，魔高一丈，網絡安全技術在提高，但黑客技術也在不斷發展。特別是借助近年來出現的大數據、互聯網、人工智能和區塊鏈前沿技術，黑客和白帽子同樣都在不斷進化，雙方對漏洞的爭搶更加激烈。

面對如今惡劣的網絡環境，企業又該如何應對呢？“漏洞銀行”CTO張雪松表示，目前的網絡環境復雜，安全事故無法避免，很多企業還固守著傳統的“防火墻”式的安全思維，只注重防御攻擊和防護建設，卻忽略了更重要的事故影響。一旦黑客入侵成功，企業和個人就損失慘重。

張雪松認為，轉變觀念是第一要義。首先，企業不應該執行“閉門造車”式的安全，而應對IT系統進行整體性的、開放式的、大范圍的“黑客攻擊”測試，從“黑客攻擊”測試中發現問題進行及時修補。

其次，企業要構建動態免疫能力。因為傳統的規則式防護體系已經無法防御先進的黑客攻擊，必須具備動態防護免疫能力，根據后果影響產生相應的防護策略，更多的抵御零時差攻擊。

第三，企業應構建風險敞口管控機制。即使黑客入侵成功也無法獲得核心數據和權限，把傳統的風險管理思想升級為風險敞口管控。

第四，構建關鍵行為損失中斷機制、購買安全保險、建立反入侵追查、聯動應急響應等措施，確保安全事故的范圍在可控范圍內并能從中不斷升級形成免疫能力。

“如果有一天，漏洞變得毫無價值了，互聯網也就真正安全了。”張雪松說。