孫冰

阿里巴巴集團(tuán)（BABA.N）中最低調(diào)、最神秘的部門，非阿里巴巴安全部莫屬，內(nèi)部稱其為阿里“神盾局”。這個從事“神秘”業(yè)務(wù)的部門一直非常低調(diào)，極少對外發(fā)聲。但是，它卻是保障全球最龐大電子商務(wù)生態(tài)系統(tǒng)安全的“網(wǎng)絡(luò)特工隊”，也是保障“雙十一”、“紅包大戰(zhàn)”順利進(jìn)行的幕后功臣，每天都服務(wù)著數(shù)億消費者和商家。

“要聽與黑客進(jìn)行正邪大戰(zhàn)的故事？那太多了，因為每天都在進(jìn)行。”阿里巴巴移動安全部負(fù)責(zé)人陳樹華在接受《中國經(jīng)濟(jì)周刊》記者獨家專訪時說，他是阿里聚安全、錢盾產(chǎn)品創(chuàng)始人，也是國內(nèi)最早的一批移動安全專家之一。

在陳樹華看來，黑客并不可怕?！斑^去我們面臨的安全問題只是來自于一個或者幾個黑客，他們‘作惡的動機也往往只是為了證明自己的技術(shù)能力;而今天，我們要面對的則是一個龐大的黑色產(chǎn)業(yè)鏈，他們受巨額利益回報所驅(qū)動。”他說。

“神盾局”藏龍臥虎，與淘寶等主營業(yè)務(wù)同等級別

阿里巴巴集團(tuán)移動安全部成立于2005年，主要職責(zé)包括保護(hù)知識產(chǎn)權(quán)，即打假;保護(hù)賬戶安全，主要防止虛假注冊和盜號;保護(hù)交易安全，主要防止交易欺詐、惡意差評、敲詐勒索和炒信;保護(hù)信息安全和禁限售排查;保護(hù)隱私防止信息泄露;保護(hù)數(shù)據(jù)安全;大數(shù)據(jù)風(fēng)控等。

在阿里巴巴內(nèi)部，“神盾局”被視為是一個大神匯聚的存在，這里藏龍臥虎，磨鐵、蒸米、潘愛民……這些都是在安全界響當(dāng)當(dāng)?shù)拿?，雖然對于大眾來說比較陌生?！八麄兲貏e像金庸小說里的掃地僧，是絕頂高手但江湖無名，一般人甚至連他們的真名都不知道?！币晃弧吧穸芫帧钡摹靶√毓ぁ备嬖V《中國經(jīng)濟(jì)周刊》記者。當(dāng)然，其中也有知名黑客“從良”變身為“白帽子”，那就更為神秘了，你甚至可能都不知道他其實也是“神盾局”的。

此外，神盾局中還有20多位原公檢法系統(tǒng)的刑偵、經(jīng)偵專家和網(wǎng)安、網(wǎng)監(jiān)精英，比如徐平，他曾從警16年，是國內(nèi)著名的刑偵專家，他加入阿里后，已協(xié)助警方打擊處理千余名網(wǎng)絡(luò)犯罪嫌疑人;也有法律專家，數(shù)量有數(shù)十位之多;以及外語天才，他們“潛伏”在團(tuán)隊里，保護(hù)著阿里巴巴在全球各地的交易安全。

“阿里巴巴安全部是一個完整的集團(tuán)部門，級別與天貓、淘寶屬于一個地位，在BAT當(dāng)中，只有阿里巴巴是這樣的。這種組織結(jié)構(gòu)就表明安全是被放在阿里巴巴戰(zhàn)略的最高級別來做的，和主營業(yè)務(wù)是一個高度，對于阿里來說，‘安全就是業(yè)務(wù)?！标悩淙A說。

攻擊短板是現(xiàn)在黑色產(chǎn)業(yè)鏈的重要思路

不提升整個行業(yè)的安全能力，沒有人能夠真正保護(hù)自己

“傳統(tǒng)的安全廠商主要是解決內(nèi)網(wǎng)問題，但現(xiàn)在的安全問題已經(jīng)沒有邊界了，沒有城墻可以守了。即使你的信息安全了，但如果其他平臺出現(xiàn)泄密，黑客用這個數(shù)據(jù)去撞庫，一樣會使得你的賬戶安全受到影響。這兩年大量的事件已經(jīng)證明了這一點。比如某郵箱出現(xiàn)賬號密碼泄露，其他公司的安全問題都隨之上升?！标悩淙A說。

因為用戶在不同的平臺，信息和數(shù)據(jù)是有關(guān)聯(lián)性的，黑色產(chǎn)業(yè)鏈操作者只要攻破最弱的一個環(huán)節(jié)，就可以通過“撞庫”突破其他環(huán)節(jié)。比如很多用戶是使用同一組用戶名和密碼去注冊不同互聯(lián)網(wǎng)平臺的，淘寶、京東、網(wǎng)易郵箱、微信、攜程、美團(tuán)，也會有一些小網(wǎng)站和不太知名的App。而黑色產(chǎn)業(yè)鏈人員會先去攻擊那些安全防范相對薄弱的小網(wǎng)站，竊取賬戶信息和密碼之后，再用其去其他網(wǎng)站不停地嘗試登錄，這樣即使大公司的安全再嚴(yán)密，黑色產(chǎn)業(yè)鏈還是有機可乘。

再比如說，很多人以為自己不安裝、不使用支付寶，資金就安全了，其實不然。有些黑色產(chǎn)業(yè)鏈分子會通過手機木馬竊取你的手機驗證碼，然后幫你注冊一個支付寶，綁定你的銀行卡后，盜取你賬戶里的資金。當(dāng)然，針對這種行為，支付寶已經(jīng)有了應(yīng)對方案。

但作為用戶，專家也提醒：一是務(wù)必安裝手機安全軟件，長時間收不到短信及電話，馬上檢修手機;二是不要輕易點擊來歷不明的鏈接，防止中了木馬;三是不要透露短信驗證碼，轉(zhuǎn)賬前一定要電話確認(rèn)，尤其是大額轉(zhuǎn)賬。

“這個和木桶原理類似，攻擊短板是現(xiàn)在黑色產(chǎn)業(yè)鏈的重要思路。所以，如果不能幫助整個行業(yè)提升安全能力，沒有人能夠真正保護(hù)自己?！标悩淙A透露，也正是基于此，安全不再分你我，2016年，阿里巴巴會對全行業(yè)開放和大規(guī)模輸出自己的安全能力。

“比如某電商算是阿里巴巴的競爭對手，但現(xiàn)在這家電商企業(yè)正在使用的就是阿里巴巴提供的安全服務(wù)。我們沒有任何盈利指標(biāo)和KPI考核，主要還是希望全行業(yè)能夠有一個好的商業(yè)環(huán)境?！标悩淙A說。

“黑產(chǎn)從業(yè)者”超過了40萬人，“年產(chǎn)值”超過1100億

在互聯(lián)網(wǎng)上購物、訂餐訂票，用手機支付代替銀行卡和現(xiàn)金，這樣的方式方便、高效、實惠，但還是會有人因為安全問題而望而卻步。把我的身份信息留存在網(wǎng)上會被泄露嗎？手機遺失了，“手機里的錢”會不會被偷？而事實上，類似案例不時見諸報端，甚至發(fā)生在身邊。

類似這樣狗血的短信你或許也曾收到過?！斑@是我們的聚餐照片，趕快去看哦”、“這是您小孩的成績單”、“您的銀行密碼出現(xiàn)異常，請盡快修改密碼”、“這是我和你老公的開房視頻”……其實這些看起來仿佛是親友、老師、銀行客服發(fā)來的“重要”短信背后隱藏的是一個個手機木馬病毒，千萬不要點擊。

當(dāng)記者向一位安全專家請教“應(yīng)該如何提示普通用戶保護(hù)自己的信息安全”時，他說：“很多媒體希望我們做一些提示，但是每當(dāng)我們公布一類犯罪分子的不法行為的時候，都是一把雙刃劍。這是因為會有更多的不法分子知道，原來還可以這樣！于是，案例公布之后，反而會出現(xiàn)類似事件更大范圍地發(fā)生的后果，這種情況不止一次發(fā)生過?！?

據(jù)不完全統(tǒng)計，目前中國網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的“從業(yè)者”已經(jīng)超過了40萬人，依托其進(jìn)行網(wǎng)絡(luò)詐騙產(chǎn)業(yè)的從業(yè)人數(shù)至少有160萬人，“年產(chǎn)值”超過1100億元?？梢哉f，網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的商業(yè)化已經(jīng)非常成熟，組織也相當(dāng)嚴(yán)密。

他們虛假注冊賬號，用來發(fā)布推廣信息，很多分類信息網(wǎng)站充斥著大量水軍發(fā)送的這類消息，將有價值的信息淹沒其中，甚至實施詐騙和銷售假貨;他們盜取賬戶，進(jìn)行刷單、炒信、惡意差評、敲詐勒索。比如，本來一兩百元的視頻網(wǎng)站會員，有人5元、10元在兜售;他們還盜取賬戶中的虛擬財產(chǎn)和真實貨幣，比如，通過手機病毒截取驗證碼，盜刷用戶銀行卡……

但這些還不是全部。除了黑客攻擊、盜取賬號、釣魚網(wǎng)站……這些典型的網(wǎng)絡(luò)違法犯罪行為之外，還有一些游走在法律邊緣的灰色產(chǎn)業(yè)也正在大規(guī)模蔓延。陳樹華舉例說，很多黑色產(chǎn)業(yè)鏈從業(yè)者盜取用戶信息用來注冊垃圾賬號，只是用來刷榜或者散發(fā)推廣信息，龐大的“僵尸粉”產(chǎn)業(yè)鏈就是一例，但根本沒有法律能夠處罰他們，或者處罰力度很小。

有業(yè)內(nèi)人士透露，互聯(lián)網(wǎng)黑色產(chǎn)業(yè)與灰色產(chǎn)業(yè)相互交織特點相當(dāng)明顯，產(chǎn)業(yè)規(guī)模保守估計過千億元，社會危害性巨大，亟待立法、執(zhí)法、司法有效應(yīng)對?！昂谏a(chǎn)業(yè)鏈并不是一家或幾家公司就能夠?qū)沟模切枰袠I(yè)、全社會共同努力。但至少要有人作為先行者，阿里希望做這個事情?！标悩淙A說。

“由于強大的利益驅(qū)動，黑色產(chǎn)業(yè)鏈的反應(yīng)速度非?？欤瑢π录夹g(shù)手段的敏銳度非常高，一旦有了突破，就可能瞬間賺取大量的錢。因此，在與黑色產(chǎn)業(yè)鏈的斗爭中，傳統(tǒng)安全更多處于防守位置，都是黑色產(chǎn)業(yè)鏈有動作了，再進(jìn)行快速反應(yīng)。但現(xiàn)在借助大數(shù)據(jù)，我們就有能力做前置化的預(yù)防工作了?！标悩淙A說，在“雙十一”之前，阿里巴巴就做了大量的模擬攻擊。

阿里巴巴移動安全部負(fù)責(zé)人陳樹華

2016年將是黑色產(chǎn)業(yè)鏈的“移動元年”

移動支付領(lǐng)域，作案者多為15至25歲的無業(yè)年輕人

隨著移動互聯(lián)網(wǎng)的普及，尤其是物聯(lián)網(wǎng)、智能化時代的到來，網(wǎng)絡(luò)安全正在進(jìn)入全新的時代，安全專家與黑客之間“道高一尺、魔高一丈”的正邪較量也因此在不斷升級。

2015年年初，騰訊曾針對網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈進(jìn)行了一次全面調(diào)研，并發(fā)布了首份《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報告》，該報告披露，在移動支付安全領(lǐng)域，目前已逐漸形成一條分工明確、作案手法專業(yè)的黑色產(chǎn)業(yè)鏈，犯罪團(tuán)伙具有很強的區(qū)域聚集性，分布在二三線城市，主要為年齡介于15至25歲之間的無業(yè)年輕人，他們在移動互聯(lián)網(wǎng)領(lǐng)域里能夠很敏銳地察覺到斂財?shù)臋C會，主要瞄準(zhǔn)網(wǎng)上購物、網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)游戲和聊天等用戶群體。

騰訊移動安全實驗室數(shù)據(jù)顯示，2015年上半年，手機支付木馬病毒新增29762個，感染用戶總數(shù)達(dá)到1145.5萬，最高峰6月平均每天6.8萬名用戶中毒。

有中國“黑客教父”之稱的元老級黑客、IDF實驗室創(chuàng)始人萬濤（網(wǎng)名為“黑客老鷹”）表示，網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈經(jīng)歷了十余年的發(fā)展后，在社交網(wǎng)絡(luò)、網(wǎng)絡(luò)存儲、電子支付和各種基于網(wǎng)絡(luò)而興起的全新商業(yè)模式中無孔不入。

“今天，百分之七八十的業(yè)務(wù)都已經(jīng)移動化了，人們的購物、出行等生活方式也大部分通過移動端來解決，黑色產(chǎn)業(yè)鏈也從PC往移動端轉(zhuǎn)移。所以，我們也要提前布局?！标悩淙A說，于是，2014年1月，阿里巴巴移動安全部把移動安全業(yè)務(wù)變成一個完整的部門，并開始按照體系化去做移動安全業(yè)務(wù)。

“因為整個產(chǎn)業(yè)、業(yè)務(wù)都在移動化，而事實上，黑色產(chǎn)業(yè)鏈已經(jīng)開始切換到移動端了。”陳樹華判斷，“2016年將成為黑色產(chǎn)業(yè)鏈的‘移動元年。”

而移動安全不僅僅針對智能手機，未來會越來越復(fù)雜，比如智能穿戴設(shè)備、智能家居甚至智能汽車，很多場景可能比手機更為復(fù)雜。而且很多時候安全往往也意味著繁復(fù)和打擾，不停地進(jìn)行各種驗證。陳樹華認(rèn)為，未來DT時代的安全會有更多的可能，可以做到無形和零打擾。“驗證碼就是為了識別操作手機的到底是不是機主，而未來進(jìn)化到智能時代，完全可以通過聲音、使用習(xí)慣、走路的頻率和速度等來完成人機識別的過程?！标悩淙A說。