親歷者揭秘：為什么搞掉黑產這么難

青山綠水間，一艘小船蕩漾在湖中間。

一群警察帶著裝備尋信號而來，船上的人老遠看到了湖邊的動靜，一不做二不休，把船上的東西都扔進了湖里。這不是電視劇剿滅毒梟的場景，而是警察最后對一伙黑產收網時遭遇的“功虧一簣”。船上的人扔到湖里的正是作案工具，被一湖水沖洗得一干二凈……

這是不久前雷鋒網宅客頻道編輯聽到的一起真實案件。

不過，不是每一位抗擊黑產的安全守衛者都會碰到蕩漾在湖中的小船，但離奇的案件和復雜的案情像一團團籠罩在眼前的黑暗，應該很多人都曾遇到。

黑暗常有，有時可以穿過，達到水落石出的彼岸。有時，只能一聲嘆息，在黑暗中摸索良久，卻終不能摧毀罪惡的花朵。

為什么打擊黑產這么難？最近雷鋒網和百度安全事業部副總經理沈鵬飛聊了聊。

本文作者：雷鋒網網絡安全專欄作者，李勤。關注微信公眾號“宅客頻道”，獲取更多網絡安全內容。

迷惑：有沒有完美的解決辦法

整個 2017 年里，百度安全其實協助警方完成了不少打擊黑產的大案子。至少，我看到的能夠對外披露的典型案例就有 6 起。更多的是那些不能說的案子?；蛘呱形唇Y案，或者擔心后來者繼續模仿，再或者，由于各種阻礙，無疾而終。

我對這些不能說的案子更感興趣，就像文頭所說，到底是什么原因讓邪惡居然能擇路而逃？說好的正義終將勝利呢？

現實是，這條路很難。

沈告訴我，他曾遇到這樣的劫持黑產，明知道是違法的，可是抓不到黑產的現行證據，拿不到劫持的設備，只能等警察到運營商那調證，但人還沒進去，設備就不見了，大家知道是誰干的，就是處置不了。

他們還曾看到有人在貼吧里發布黃賭毒的信息，但不能因為這些人發了帖子就報案，警察只有真正抓到這些人實施了黃賭毒的行為，才能進行有效的打擊。

有的企業網站被黑客攻擊，網站的內容被替換成了賭博的內容，恰好這時百度的蜘蛛發起了調度，把這種網頁抓回來了，現在的問題就成了：一個正規的企業網站上有違法違規的內容。

面對這種情況，他們有這么幾種選擇：

1.把這個域名在檢索時的權重調低，因為其內容已經不可信了；

2.在搜索結果中給他的網頁打上風險標，網民點擊的展示中間過渡頁，警示網民網站已被黑客攻擊；

3.什么都不做。

第一種方案保護了網民，但是會引起站長的強烈反抗；第二種方案也保護了網民，但是站長會有不滿，有的站長甚至罵百度，這是怎么回事，怎么把他的網頁內容改了賭博？第三種——什么都不做，會引起網民、政府的不滿，大家可能會抱怨“為什么百度又搜出了違法違規的內容”。

看上去有三種選擇，但對沈和同事們而言，每一種都需權衡利弊，小心翼翼。

更確切地說，每一種可能都不是最優解。

有時，沈也會相當疑惑：“當數據、生態大到一定程度時，除了給安全檢測帶來的難度急速上升外，我們到底應該選擇哪種處置策略，才能讓所有人滿意？”

這個困擾了百度安全很久的問題，難住了這位從業多年的安全老將。

遺憾：一己之力可能無法找到最終的答案

還有很多令人遺憾的結尾，讓他們如鯁在喉。

有些黑產對網民造成了傷害，但是他們追尋過去，發現其服務器在境外。這意味著，他們沒法進一步探究服務器上的內容，還原完整的證據鏈條。

有時是相關系統留存的日志不足，有些產品在設計之初從來有想過它未來有一天其數據需要用做攻擊溯源，所以無法進行打擊——沒有人可以預知未來，一個看似不經意的結點可能造成巨大的影響。

還有的黑產案件等待臨門一腳的收網時，他們恰好突然不干了。沈不知，應當歡喜，還是憂愁。

另外，有些互聯網公司認為的對網民、對企業傷害很大的團伙的犯罪線索，由于沒有對應的法條，當前沒法處理。 

這種情況更折磨人——明明在眼前，明明知道，但看上去什么都做不了。

沈鵬飛想了想，也許還剩下一條路：“我們在盡力推動警方，希望打一些如“濾網行動”的首案、大案出來，讓全國公檢法未來可以依據案例參考。”

這種“曲線打擊”也許能稍稍彌補人力、法律上的種種遺憾，但還有更現實的一種案件在眼前。

如果有的黑產在百度搜索上做一些事，但是其溝通平臺在其他公司的社交系統上，或者，他的錢款又通過網絡其他平臺流出去，整個案件的追蹤就會更復雜?？偛豢赡芮瞄_友商的門，直接說：“我們想調用你們服務器上的數據?！?/p>

一個典型的場景是嫌疑人在百度上看到了信息，在 QQ 上進行信息交流，使用支付寶完成交易，所以在線索的發現、溯源、嫌疑人的定位上，各家的能力是不一樣的，雖然也會有數據、模型上的交換與合作，但沈覺得，就當前這個狀態來說，這些合作還是遠遠不足。

再者，跨平臺、跨公司的合作從來不是一家公司的一廂情愿，在商業世界里，反擊黑產是大益，但總有許多因素會被考慮。而美好的理想是，要想追尋一個答案，需要大家拼盡全力，一起奔跑。

堅持：想要試試，能否觸及光明

總有一些人，挫折對他們來說，只是養分。

他們或許有迷惑和遺憾，不能預測每一起案件將如何收尾，不知最終是否能穿過黑暗的甬道，不知是否每一次都有水落實出的真相，但總想往前走，想再試試看，能否觸及光明。

沈鵬飛始終相信，對于整個互聯網生態，就需要對抗的黑產灰類型而言，大家的目標是一致的，百度遇到的問題，一般其它互聯網公司也會遇到，打掉黑產，震懾了黑產，對所有的互聯網公司都是有好處的。

這意味著，對他們而言，這是一件不會放棄的事情。

這更是嚴峻的網絡安全形勢所迫。不久前，百度安全發布了一份研究報告，統計顯示，百度安全 2017 年攔截全網惡意網頁總量超 202.9 億，與 2016 年幾乎持平。

沈一直深刻的體會到，最早的攻擊手段從 Web 端進入，一直存在到現在。最終流量在哪兒，大家習慣用哪個平臺，它就會遷移到哪兒，因為利益在哪里，黑產就會在哪里。做安全，實際要有前瞻性，甚至是防患于未然。“所以，隨著這種用戶行為特征和使用平臺的遷移，我們就要做好不同平臺的規劃與預警，做好技術儲備?！?/strong>

比如，當 AI 時代到來時，黑產可能利用 AI 的能力讓機器學習識別出錯誤的結果，未來無人駕駛的汽車、放在家里看上去人畜無害的智能音箱、餐館里打招呼的機器人都可能成為黑產的武器。

但擺在眼前的依然是挑戰，沈從業多年，始終堅持這兩個觀點：

“第一，安全這件事，攻防本身是防不勝防。

第二，我們處理了大量的這種問題，但是網民看到的只是冰山的一角，我們所能披露的也是少之又少。”

我始終覺得，這話含有些許心酸。我想到另外一個故事。

2017 年 12 月，百度安全披露一起重大的侵犯公民隱私的案件“濾網行動”。這起案件的起源是，大量網友舉報，手機通過運營商網絡瀏覽某些網頁后會很快收到該公司的推銷電話。

沈鵬飛和他的同事現場講解了該黑產利用的技術原理，試圖跟大家解釋到底是怎么回事。

一位媒體同行在海淀公安的發布會現場提問：“在這起案件中，公民應該如何保護自己的隱私。”警察蜀黍沉默了一會，建議大家不要點擊小網站。事實上，當時在場的專家明確指出來，這事不是個人用戶的鍋，也不是搜索引擎的鍋。

到底是誰的鍋？沒人好明說。當時，我了解到的信息是，案件在持續收尾中，不是“百分百鐵證”，你就是不能說。

但誤解可能如影隨形。百度安全技術團隊有個安全研究員特別郁悶，他告訴我，雖然他們已經將技術原理說得清清楚楚，但是還是有人不分青紅皂白就把帽子扣給了他們。他很傷心，也不明白，為什么自己做的明明是好事，可還是會被誤解，甚至遭到謾罵。

這位安全研究員的話和沈有那么一絲相似。

對他們而言，或許打擊黑產中的無奈和挫折不算什么，因為各種原因，很多做過的努力不能公開也無所謂，但面對誤解，始終還是有一些不甘。

但終究只是這樣了，拋開這些，他們還是會繼續協助一次次黑產打擊案件，甚至會更努力地爭取警方資源，希望能夠對一些案件不舍追擊。

這群安全研究員告訴我，邪惡不會永遠有路可逃，唯有“不放棄”，正義的一方才有獲勝的希望。

本文作者：雷鋒網網絡安全專欄作者，李勤。關注微信公眾號“宅客頻道”，獲取更多網絡安全內容。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。