看门狗你不要骗我:真实的黑客应该怎么当?
近日,一种利用系统漏洞迅速传播的电脑勒索病毒“想哭(WannaCry)”肆虐全球,据说有超过一百个国家中招,涉及医疗,教育等多个行业。“想哭”确实让很多中招人士想哭,这种病毒在侵入电脑之后,会自动给硬盘内文件加密,用户只有花钱才能“赎回”自己的文件。有趣的是,黑客这次要求的赎金支付方式是比特币——这是一种纯粹的虚拟货币。这不禁让人在恍惚间有种穿越到赛博朋克世界的感觉:牛逼哄哄的黑客,席卷全球的“超级病毒”以及数以百万级叫天不应叫地不灵的受害者,就差一个独裁政府与超级跨国企业就齐活了……
对于神秘的黑客,有不少游戏都有涉及——例如添加一些破解电脑偷窃机密的剧情让玩家体验一把当黑客的感觉,有不少厂商还专门开发了黑客题材的游戏——比如育碧的《看门狗》系列。在这款游戏中,玩家扮演的是一个无所不能,惩恶扬善的黑客,不仅能通过电脑入侵的形式获得城市的电子系统控制权(如监视器),还能随时随地获取任何你感兴趣的人物的信息。
那么,真实的黑客是不是这样呢?本期游戏科学为您瞎掰一下黑客的隐蔽人生。请注意,为避免那些专业术语理解晦涩,笔者尝试尽量用自己的语言理解表达,仅做科普之用,错漏之处请专业人士指正。
寂寞如雪的人生
一提起黑客,我们脑子里可能会出现这么一个印象:在一个阴暗的房间里,布满的密密麻麻线网与大小不一的电子屏幕,一个身着黑衣的家伙正盯着屏幕上如瀑布般流动的程序代码,飞快的敲击着键盘……
虽然这是诸多影视作品里面灌输给我们的印象,但或多或少还是有一定道理的。一方面,黑客的“工作”性质决定了他的身份必须要高度保密,所以深居简出、为人低调肯定是绝大多数黑客的特点。
当然,有玩家可能会质疑:谁规定黑客就要低调?比如上世纪80年代的天才黑客凯文·米特尼克在15岁的时候就破解了北美空中防务指挥系统,现在人家不也活的潇洒滋润?
凯文·米特尼克,第一个被FBI通缉的黑客,全世界黑客的偶像和英雄
笔者要说的是,像米特尼克这样的黑客只是个例,而且此君后来也是被政府“招安”之后才被释放。
那么,像蝙蝠侠布鲁斯韦恩那样行不行呢?白天当高富帅,晚上当蝙蝠侠,也没几个人怀疑这位城市首富吧。再比如冷战时期的间谍卧底,不也经常装扮成商人名流吗。黑客为啥不可能是企业CEO,政客,演员等名人呢?
这话看似有道理,但不要忘了:高调的身份固然有掩盖身份的作用,但这种身份本身就极易受各方关注和调查。这些调查者出于某种目的(探寻你的商业机密或者只是狗仔队偷拍你的私生活)对你展开的调查,无形间就会增大你暴露的风险。更何况,那些间谍装扮名流商人主要是为了有一个合法身份接近目标,而黑客根本没有这方面的需求,他的工作就是对着电脑,自然是越低调越好。
也有很多不知道低调的黑客就是了
另一方面,黑客的门槛比我们想象中要高得多,我们在现实或影视作品里看到黑客可以入侵电脑,制造病毒似乎无所不能,可实际上要达到这种境界是非常困难的(更不用说电影有美化)。
根据不完全的统计,作为一名黑客,要起码掌握熟悉的技术有这些:各个操作系统的特性(Windows、Linux、Mac os、安卓等);不同类型网站的制作(PHP、HTML、CSS等等);系统程序开发语言(汇编,C语言,C++,JAVA等);软件逆向工程(怎么破解软件,加密软件)。这还不算,还有如何调试数据库,如何寻找目标和漏洞(网络嗅探),如何攻击服务器窃取数据(比如SQL注入,跨站攻击)等等技巧。
要成为一个黑客,你首先要学习这些…
换句话说,要成为一名黑客,除了要在广泛掌握主流计算机技术外,还要根据自己的特长做重点的学习与钻研,比如有人擅长网络攻击,有的擅长软件破解与防御等。而这么多的计算机技术,能学精学透其中一门,就够难的了。更不用提计算机技术的发展日新月异,黑客们还得与时俱进的不停学习。在这种情况下,哪还有空去搞什么“角色扮演”。
当然,以这样的标准来衡量,符合条件的黑客自然少之又少。但这个世界永远不乏投机取巧的人,这些“低配版”的黑客虽不懂如何“制造”黑客武器,但懂得如何使用它们。同样,这些人也被主流舆论划分到黑客的范畴——虽然这让那些真正的黑客非常不爽。
事实上,如果按类型划分,专搞破坏的叫应该骇客(Cracker),而黑客(Hacker)相对中性一点。为了行文方便,这里就不对诸如黑骇或白帽黑帽进行区分,我们姑且按主流舆论的标准,将上述人群统称为黑客。
以“阿里巴巴”为黑客名的双叶,为怪盗团的改心事业贡献极大,算是个白帽
黑客中有“侠客”吗?
在育碧开发的《看门狗》中,玩家扮演的是一名行侠仗义的黑客,行走在一个虚构的世界里。在这个世界中,信息已经高度互联,生活中多数物品都已被植入了数据网络(物联网),这些电子设备以及包含城市所有居民信息的数据都由城市一台超级电脑掌控。游戏讲述的是主角因为某次“行侠仗义”事败泄露身份,导致侄女被害,然后主角复仇的故事。
故事没有什么新意,但以这种黑客的方式游戏却颇具亮点。游戏中,主角靠一部手机就得以骇入周遭各式电子设备,并利用其达成目的(不再单纯依靠武力),这种新奇体验给许多玩家留下深刻的印象。
黑客之所以能被认为是反抗强权、行侠仗义的一种符号,还是因为其职业特性决定。比如他一个人就可以制造巨大的破坏,甚至要比一支军队造成的破坏还要大;比如黑客多是单枪匹马,且身份神秘,满足了人们对独行侠或英雄主义的幻想。
在这里笔者要说的是,这种愿景固然美好,但实际操作存在很多难题:
首先,黑客固然拥有巨大的破坏力,但经过各国政府几十年的渗透控制,这种破坏力已经被限制在一定范围内。
像各行各业基本已经建立了一整套应对黑客攻击的防范机制。例如像企业、政府都实现了内外网分离,一个与互联网物理隔离的内部网络,黑客要以传统方式入侵就相当困难。如果要再进一步破坏这种内部网络,需要的力量就要上升到国家层面了。比如2010年6月,美国利用西门子和微软操作系统的漏洞制作了“震网”病毒瘫痪了伊朗的核设施。这次行动固然震惊了世界,然而行动的关键还是美国和以色列的特工潜入伊朗核设施基地,通过U盘植入病毒。
可以想象即便是物联网无处不在的未来,可连接互联网的设备一定有更严格的限制与权限,极难存在“通用”的漏洞,更不用说入侵整个城市电子监控设备和居民个人信息的数据库了。
一张全球暗网黑客战的活地图,谁和谁掐一目了然
其次,行侠仗义针对的对象是谁?
在当今这个社会里,要找到合适的作案对象还真不容易。一方面是身份界定问题,黑客又不是侦探,那些坏家伙也不会把自己做的坏事写入电脑供黑客发掘。哪怕要劫富,这些人也不见得会把资金存入银行(比如黑帮),那黑客又该如何制裁他们?另一方面是要帮助对象如何确定?这可不像封建时期侠客,抢完大户对着一堆贫苦农民撒钱就能完事的。在现今这个乞丐可能都比普通人有钱的时代,如何分辨哪些人需要帮助哪些人不需要呢?就算是有,靠个人的力量帮的过来吗?
更何况,这个世界不是没有霸权存在,但有几个黑客在没有国家做靠山的情况下,胆敢单枪匹马旗帜鲜明的和美国对着干?就拿这次传播勒索病毒的黑客组织“Shadow Brokers”来说,在吸引全球注意力之后,这个组织在16日表示手头有新的入侵病毒程序、甚至还有俄罗斯、伊朗及朝鲜的核武及导弹计划资料出售。
有人说他们是病毒的幕后黑手,你信?
请问,他们用来勒索全球用户的病毒是从美国安全局那里偷的(官方说法是泄露),那么他们手里会没有美国方面的黑材料吗?为啥不敢卖美国的?不就是欺软怕硬嘛。
当然,要说黑客之中一个侠客都没有也不尽然,比如自二战以后就有不少反抗美国的英雄黑客。在这些年间也没少有一些黑客组织或个人曝光美国干的那些龌龊事,最典型的就是阿桑奇的维基解密,背后的许多资料都是那些默默无闻的“黑侠客”提供的。
客观的讲,这种黑客行为还是缺乏足以威胁到强权的能力,像斯诺登曝光的窃听计划给美国制造了不少麻烦,但对美国而言无非就是从暗处到明处,以前是偷偷摸摸,现在干脆明目张胆。阿桑奇的维基解密虽隔三差五的爆出一点猛料,但阿桑奇本人却被困在厄瓜多尔大使馆,特朗普明确表态抓住他就要处以死刑或其他重刑。
被称为“黑客罗宾汉”,成为《时代》封面人物的阿桑奇
斯诺登的故事还被拍摄成电影
可以想象,如果不是真的有理想主义的情怀和操守,有几个黑客会冒着生命危险,默默无闻的做这些事情?
换句话说,如果早期黑客群体还带有点理想主义色彩的话,那么现在这种理想主义精神基本所剩无几了。随着计算机产业(包括互联网等)日益膨胀也间接催生了一个庞大的地下黑(灰)色产业,在这种情况下,无论当初的黑客理念有多么高尚,无论入行的新人理想有多么坚定,在这种情况下,也难逃利益的腐蚀。
最后,行侠仗义的黑客比较多的出现在赛博朋克的科幻世界里,在这个世界中,贫富差距极大,人民不仅受极权政府的控制,同样受一些超大型跨国企业的剥削压迫。这时候,黑客实际上代表的是一种反抗强权的符号,他有针对的特定目标(超大型的跨国企业),有足以威胁强权的武器(技术),同样也有一群志同道合的伙伴(几乎没有独行侠)。甚至还有可能隶属某个反抗组织,代表了对现行秩序不满的人群。在现实中,显然不可能有这样的个人——至于组织就更少了。
一切向钱看
黑客产业的形成有其明显的时代特征,早期黑客的破坏力还是有限的,比如当年CIH病毒在国内爆发主要还是通过盗版光盘传播。
也就是说在用户有防范的情况下,黑客要对电脑产生破坏(窃取资料),就得像《碟中谍》里特工阿汤哥一样,亲自潜入目标的住所——这风险实在太大,对黑客的要求也太高了(能文能武)。
《碟中谍》中阿汤哥潜入基地窃取机密
互联网的普及实际上大大增强了黑客的破坏力,黑客在入侵网站、电子邮箱、论坛盗取帐号密码、控制普通用户电脑(俗称肉鸡)时,要制造破坏真是一念之间。一个不受控制的权力,仅依靠黑客自身的道德约束,其效果可想而知。不可避免,一些心怀叵测的黑客开始利用这种方式对企业进行勒索,从而催生了最早的灰色产业。
拿门户网站来说,每一个漏洞都可能导致网站的瘫痪或者用户的流失,进而损失收入。可作为企业,显然不可能第一时间发现并封堵这些漏洞(无论网页还是操作系统,都依赖相关厂商和技术人员)。
况且哪有千日防贼的道理?只要软件是人类设计的,就必然有意想不到的漏洞。拿最简单的DDOS攻击为例,这种攻击就是利用多个地区的IP模拟远超网站承载数量的假用户不停的访问网站,从而导致网站的瘫痪,你说这怎么防?总不能不让所有人登录网站吧?所以,面对这些黑客的勒索,许多企业多采取宁事息人的态度,给一笔钱了事。
不要钱,要比特币,是不是是太机智了
但是,这种行为毕竟还是有风险的,万一被警察抓到了肯定要坐牢,坐牢不仅意味着失去自由,还意味着余生很可能在监视中度过(一有事警察就上门)。那么一些技术高超的黑客既想赚钱,但又不想犯罪怎么办呢?由此,一个新市场就衍生出来了——漏洞交易市场。
顾名思义,漏洞交易由某些黑客负责寻找网站/操作系统/软件的漏洞,然后在特定交易平台出售这些漏洞。在影片《黑客帝国》中,就有这么一批“黑客”,通过寻找到的虚拟世界矩阵的漏洞,来偷渡那些非法的居民(被销毁的AI或病毒)。
可能有观众会好奇,为什么近乎全知全能的矩阵AI不封杀这些利用漏洞的“黑客”呢?
《黑客帝国》中矩阵空间
其实原因很简单,封杀了这个漏洞和交易平台不一定能抓到这些黑客,他们迟早会在矩阵的另一处空间重建。而留着它们好处多多,至少可以将漏洞的危害控制在一定范围内。
现实也是如此,那些漏洞交易平台能保留下来,大多有政府以及企业默许的因素——甚至像微软这样的企业还会参与“购买”这些漏洞(然后封杀)。美国政府除了自己专门研究储备各种漏洞(以备战争时期使用)外,还经常到漏洞交易黑市购买其他黑客发现的漏洞,据路透社报告,漏洞交易黑市的最大买家就是美国政府。你说,有这么多土豪大户在,黑客能不趋之若鹜,这个市场能不“蓬勃兴旺”吗?
同样,随着互联网、软件、游戏等产业的迅速发展,新的需求也随之出现:例如,针对商业软件/游戏的破解,针对某些特定系统病毒程序的制造(以窃取资料),针对特定企业的攻击等等。正如上文所说,资深的技术型黑客基本不愿意以身犯险,但市场的需求又那么大,怎么办呢?这时候那些低配版的黑客就登场了。
通过购买漏洞、病毒等工具,这些低配版黑客负责满足雇主诸如勒索企业,窃取资料甚至“安保公司”的职责——这么分工的好处也很明显:更有效的规避风险,增加警方取证的难度。
比如,游戏业里厂商深恶痛绝的外挂产业就是个中典型:首先由雇主(打金工作室)提出特殊要求,然后代理商负责寻找资深黑客制作。这种“定制版”外挂能有效的屏蔽厂商监测(因为使用人数少,样本难识别,价格也最昂贵),但只用在利润极大,人气极高的游戏中,比如当年暴雪的暗黑3,金币和装备价值很高,因此有大量工作室购买“定制版”的外挂。
黑客领域早已形成一个产业链
这只是外挂产业的一部分,毕竟定制版外挂制作门槛高,需求虽大但市场相对固定,所以就有一些技术不那么强的黑客会尝试制作一些花几十上百块能买到的外挂。
这些外挂制作者基本抱着捞一笔就走的心态,比如老外研发的一些外挂就有被国内黑客重新破解汉化后售卖的山寨本地版。
至于那些免费的外挂/破解软件,基本靠智商税盈利了。这些外挂无论能不能用,里面肯定有木马病毒,只要下载安装后就会被盗号。由于多数互联网用户的安全意识低的惊人,所以这种软件的开发门槛很低。低配版黑客获得这些软件(不仅是游戏外挂,还有其他,比如黄色视频软件)后会传播到各个网站论坛,自然有大量用户上钩。自然,黑客们就靠这些帐号获利——也就是所谓的盗号产业。
盗号产业的迅速发展又进一步催生了新的群体。这些“黑客”专门负责“黑吃黑”。水平高一点的,会在出售病毒软件时植入木马,又或者与后者联系业务的时候,入侵对方电脑。等后者“收获果实”的时候,这些黑客就出来割一波韭菜……水平差一点的,就混迹在一些黑客论坛,专骗某些期盼着利用黑客技术赚钱的初学者,或者宰宰那些啥都不懂送上门的雇主。
高手都到哪里去了?
说到这里,可能诸位心里“黑客”形象有些幻灭了,其实大可不必如此。黑客这个群体有点像绿林好汉,其中固然有行侠仗义,劫富济贫的个体。但更多的还是占山为王,为祸一方的败类。
和现实一样,当土匪的规模达到一定程度时,必然会引起政府的注意,此时他们面临的选择往往只有两个:要么散伙(无论被政府打击还是自行解散),要么招安(入职政府或企业,调转枪头来对付其他“土匪”)。
无论这些土匪(黑客)基于什么原因“占山为王”,有一点是肯定的,他们的山头一定能给他们带来足够的收益(或拦路抢劫,或下山劫掠)。同理,灰色产业越能赚钱,聚集的黑客数量自然越多。
比如游戏行业早期盗版横行,一方面固然有正版游戏加密技术不强的缘故,但主要还是因为盗版有利可图——盗版商通过售卖盗版光盘可以赚取庞大的利润。这一点,无论主机市场还是PC市场都不例外,早期的主机频繁遭破解就有盗版商的利益驱动。
同理,现今游戏破解的日趋减少固然有数字加密技术进步的缘故,但数字化下载的盛行使盗版变得“无利可图”才是更主要的原因。毕竟网络下载如此发达,破解已经不能给盗版商带来直接的收益,这些群体自然也没动力雇佣黑客搞破解。那些采取全程正版验证的单机游戏,至今鲜有遭破解并不意味着这种验证方式是天衣无缝的,还是那句话,成本和收益不对等罢了。
包括主机游戏也是如此,虽说封闭系统与硬件使黑客破解的难度大幅度增加,但这类系统并非完美无瑕全无漏洞,像过去破解主机就有增加芯片进行硬破解的方式,使其能运行盗版光盘——哪怕像微软的XB1就采取虚拟机运行游戏等丧心病狂的防破解也并非牢不可破。
游戏破解圈不少“大神”确实不为利益,只是为了证明与磨练自己的技艺
既然如此,那些黑客都到哪里去了?
很简单,人总要生活的,年少轻狂的日子过去后总要考虑将来,总要想想老婆孩子,天天游走在法律边缘的黑客,迟早有一天得进牢房。虽说被抓的倒霉鬼可能只占黑客总数里的一小部分,但常在河边走哪有不湿鞋的道理。所以在主观上,黑客都想“金盆洗手”,无非如何权衡利弊罢了(比如赚够钱就不干)。
在客观上,这些黑客虽说搞破坏有一手,但他们本身也拥有扎实的计算机知识与实践经验。这样的人才,各大安全公司,企业乃至政府特殊部门都趋之若鹜。比如奇虎360的安全部门就网罗了一堆国内顶尖的“黑客”,这些黑客转型网络安全专家后对付其自己的“前同行”自然更有经验。
当然,在吸纳这些黑客人才方面,各国政府也不甘落后。美国在这方面尤其积极:早在上世纪,美国政府就开始着手招募黑客,比如上文提及的凯文.米特尼克在被捕之后就与政府部门达成协议(所以判缓刑),2000年它成立了一家网络安全公司,主要服务于各大企业以及政府机构,至于怎么服务……你懂的。
到布什当政时期,美国更是砸下重金大肆网罗国内外黑客高手,组建了一支“黑客部队”,这支部队的规模足以傲视全球——比如今年3月,维基解密曝光的CIA(美国中情局)重大机密数据显示了CIA的黑客部门的庞大规模:针对不同操作系统和不同场景,组建了分工精细的部门与小组,并拥有大量病毒、木马、基于0day(漏洞)的黑客工具……
这些是CIA黑客部门的划分:部门既多且庞大,有编制的黑客就这么多,那些编外黑客数量想必更可怕
可以想象,光是美国一个情报部门就需要这么多的黑客,那其他政府部门、其他企业、其他国家呢?所以说,黑客不是在逐渐减少而是供不应求,以至于人家根本用不着在公众面前刷存在感。
总而言之,黑客并不像我们想象中那样,是游走在黑夜中的侠客。事实上,能称为英雄的黑客远比我们想象要少,以至于游戏界也只有拿凯文·米特尼克反复做文章——例如在《杀出重围》、《侠盗猎车手》等游戏中,将其当成一种反体制反霸权反政府的符号,仅此而已。
欢迎参加——爱玩网百万稿费征稿活动:当金牌作者,开本站专栏,领丰厚稿费,得专属周边!
游戏专栏投稿信箱:otaku@vip.163.com
欢迎关注爱玩APP【精选】板块,更多精彩等着你!