哪些是互联网灰产呢?市场上曝光率较高的比如外挂、某些爬虫、蓐羊毛工具,各个IT接单赚职群里所谓地破解、JS加密分析、验证码自动识别等,都可以归类为灰产。
灰产从业人员在行业中扮演的角色
本文不讨论什么是灰产,也不讨论灰产所涉及的法律问题,而是讨论灰产对网络安全地影响,以及正规IT从业人员(以下简称专业人员)对灰产的态度。那什么是专业人员呢?自然是指有正规工作,从事合法IT事业的人员。专业人员有一个自认为很明显的特点:使用C、C++、java甚至是python等主流编程语言。
作为灰产项目,往往与“破解”二字密不开分,而支撑灰产的,便是傍大的市场需求和网络灰产从业人员(以下简称灰产人员)。灰产人员的主要工作,就是分析和“破解”专业人员的产品,他们掌握的知识面比较广,但这些知识,也只是为“破解”产品而服务,并不需要深入掌握。灰产人员与专业人员的角色,与网络安全中的白帽、黑帽很相近,事实上,灰产人员中多数可以归类为黑帽或者灰帽。
灰产人员与专业人员似乎属于对立面,一个攻一个防?如此解释当然很片面,专业人员并不只是对应灰产人员,做出防破解无BUG的完美产品,他们的工作涉及到软件工程中的方方面面,需要掌握地核心知识面更深更广,对社会起到得也是正面效应,远不是灰产从业人员所能比拟的。也正因为如此,专人业员面对灰产人员,似乎天生的就高出一等。
但掌握的知识深、技术高,从事的工作正规、合法,并不是鄙视他人的理由。
灰产对网络安全的影响
灰产人员利用互联网技术进行偷盗、诈骗、敲诈等各类违法犯罪案件频繁发生,他们更是新型犯罪产业链条的罪魁祸首,其所带来的安全挑战愈加严峻。互联网灰产出现的初期,一大批学历低、不具备专业IT知识、并未掌握计算机原理的编程爱好者,反而通过自学开启了编程的经历,而也正是这类人员,破解了专业人员的产品,营造了灰产“大神大牛人才济济”的现象。
灰产地出现,严重威胁网络安全,无论是国家,还是各企业,对灰产的犯罪行为都进行了严历打击。面对灰产的攻势,网络安全方面也有了长足的进步。多年前,即便无任何编程知识的人员,只需会一点点抓包软件,也可修改商品的支付金额,以0.01元的价格购买100元话费充值卡。这样的漏洞被利用的案例,不一而足,而对于这样的犯罪行为,也多以盗窃罪论处。虽然犯罪份子得到了应有的惩罚,但是对于IT行业来说,这个罪名多少有点“不搭嘎”。近年来,随着网络安全技术的不断升级,再如上述简单的漏洞已很难找到,而没有编程知识的灰产人员,再难对网络安全构成威胁。
专业人员对灰产人员技术的评价
但是,光就技术来讲,灰产人员并未得到IT专业人员的重视。对于灰产发现的漏洞,专业人员很有信心去解决,他们认为这些漏洞都很简单,灰产制作的漏洞利用软件也都是低级产品或者说是不入流的。
灰产每推出一个项目,就说明某个产品已被“破解”,这是对产品制作者的一次“打脸”。作为专业人员我们首先应该感觉自己的脸疼不疼或者说是否感觉到了羞耻,而不是厚着脸皮指责别人。所以,我们不应该只是嘲笑别人的水平低劣。专家们除了对病毒有所评价,更多的应该反思自己;可能专家们都忽略了一点,所谓的漏洞,并不是灰产人员制造的,而正是鄙视灰产人员的我们自己制造的;我们不应该像外人一样漠视自己产品的缺点,不思考自己的技术缺陷,反而去鄙视别人发现的漏洞简单。
编程语言并不是区分灰与白的标准
灰产行业第一大编程语言——易语言,如同灰产人员一样,该语言也受到专业人员的极大鄙视。他们认为这款语言除了简单易学,并没有什么优点;之所以能在灰产如此流行,正是因为灰产人员学历低下,只能学习这么简单的东西;而如C、C++这些高端的语言,灰产人员根本不可能掌握。然而,病毒、外挂这些对于技术要求很高的东西,为什么又都是用易语言制作的呢?因为易语言有很多可以直接调用的函数库,这些库便是由专业人员才能掌握的C、C++所写,“如果没有这些库解决内存、指针等问题,易语言根本就写不出外挂”。
事实也确实是如上所述。然而,掌握C、C++的程序员编写可以调用的库,并不是没有理由的,他们制作出这样的库,就是为了给易语言写外挂、病毒服务的。在某论坛,看到这样的评价:高端的人才写库,给不入流的易语言调用,违法写外挂的只是易语言程序员。其实,这是掩耳盗铃、自欺欺人,语言只是工具,关键是人,用C、C++做灰产项目就不是灰产人员了?编程语言并不是区分灰和白的标准。
当然,面对灰产的技术提升,专业人员也不用妄自菲薄。有《网络安全》这把利刃,灰产只能行走在黑暗之中,黑暗永远战胜不了光明。即便灰产人员的技术再突出,它也只是我们前进路上的常见坎坷。我们应该从灰产技术中得到启发,正确看待他们给我们带来的胁威,也应理性看待他们对我们技术进步提升起到的推动作用,让我们能更好的守护网络安全。