【腾讯科技编者按】10月份出版的《名利场》杂志通过对一位黑客大师的采访，揭露了“暗网”鲜为人知的发展历史，并揭示出在其中不断酝酿，甚至一触即发的全面网络战争。以下为原文主要内容。阅读本文需要14分钟，介于内容的精彩程度，我们向你推荐。

1.后门

他的真名不是Opsec，但为了保护他的隐私，我还是用这个化名来称呼他。在网络世界，他最著名的身份是黑客艺术大师。他是一批小型精英人群中一员——可能只有100人，也可能更少。

他们的行踪都很诡秘，他们也都十分着迷于网络安全。他们不会跟家人谈论自己的工作。他们通常也不会接受媒体采访。然而，通过朋友的朋友的介绍，Opsec还是愿意接受我的采访，把他们的世界介绍给我。

他们行内的人都把现实世界称作“物质世界”（meatspace），在这里，Opsec住在某个大城市铁路旁的一间小木屋里。他30多岁，身材壮实，不像极客。他经常光顾当地的一家酒吧，在那里，常客们模模糊糊地知道他从事与计算机有关的工作。

一旦勾起他的兴趣，他就会滔滔不绝，语速极快。他的脑子似乎总是不停地运转。他目前正在设计一套基于机器学习和人工智能的自动化系统，用于探测网络攻击，并采取相应的行动。

他像平时一样语速飞快地说：“但这套系统本身也可能被黑。人工智能是否会被愚弄？是你在教电脑，还是它在自己学习？如果它在自己学习，那就可能被愚弄。如果是你在教他，你的数据有多么清晰？你是否使之脱离了一个已经存在漏洞的网络？假如我是一个要攻破人工智能防御系统的攻击者，如果我能进入底层，并将攻击流量插入到学习内容中，那么电脑就会认为这些事情是正常的，完全可以接受。”

“我会教给机器人：‘没事，尽管我拿着AK-47向军队开火，但我其实并不是攻击者。除此之外。如果机器变得足够聪明，甚至决定背叛你，那又会发生什么事情？’”他问道。

Opsec明白，尽管网络世界和物质世界存在联系，但二者在很大程度上仍然相互隔离。只要动机充足、时间充裕，Opsec几乎可以在不触发警报的情况下攻入任何一个安全网络。

曾几何时，他会因为成功入侵而激动不已，因为一旦进入这些网络，他便可以为所欲为。但现在，成功对他来说太过简单：要发动这种攻击，只需要找到一种入侵方式即可。相比而言，防御者则必须面面俱到地考虑所有攻击方式。这勾起了他的兴趣，也正因如此，他才决定研究防御技术。

通常而言，网络防御意味着要防止企业网络遭到犯罪分子的攻击，或者在遭到破坏后对攻击做出反应。Opsec并没有采取传统的方式。他并不准备处理常规事宜，而是专门着眼于严重事件。他曾经见过很多重大的攻击活动。然而，当他去年末偶遇一起黑客攻击时，就连他这种见多识广的人都感觉震惊，因为当时的事件充分表明，黑客们正在为一起史无前例的网络攻击做着准备。

我把他的客户称作Company，那是一家互联网巨头。它通过互联网提供娱乐内容，全世界经常与其直接连接的PC超过7000万台。Company并不直接收取连接费，而是针对它所提供的服务收费。它很赚钱，但也经常在各地遭到频繁攻击。多数的攻击都是小打小闹，不会对Opsec参与设计的防御设施造成破坏。但有的攻击却是精心策划的，甚至对Company的生存构成了威胁。

他第一次介入是在6年前，当时有一座数据中心被黑了，情况很严重。入侵者冲着关键系统而来，包括中央支付处理器和CEO的电脑，而且窃取了信用卡和财务数据，以及Company的专有源代码——这是该公司得以建立的机密所在。

Opsec用了6个月时间收拾残局，最终找到了背后的主谋。他不仅确定了对方的位置，甚至还挖出了一些人员的信息，包括他们的照片。你或许认为他干的很漂亮。但由于种种原因，他们并没有采取进一步的行动，只能不了了之。

如果没有法律约束，你会干什么？对抗网络攻击听上去很引人入胜，但也蕴含着危险。要知道，俄罗斯黑帮可没有幽默感，哥伦比亚毒贩也绝不会跟你开玩笑。更何况，在独立黑客中，心理变态的人也不在少数。多年以来，Company经历过死亡威胁、强奸威胁和炸弹恐吓。在一个没有隐私的世界里，家庭住址以及配偶和子女的名字都可以轻而易举地找到。所以，最好还是不要被黑——这也是美国民主党全国委员会给出的建议。

在上述的攻击事件发生后，Opsec建议Company的管理层建立一个灵活的信息安全项目。于是，他们在世界各地的数据中心里建立了3个像美国国家航空 航天 局（NASA）的控制室一样的房间。他们可以通过倒班的方式实现全天候监控。唯一的目的就是尽快抓住入侵者。

平均而言，整个行业都会在恶意攻击发生后188天才会发现问题。而在Company，Opsec希望将这一延迟控制在几分钟，甚至几秒钟内。但到了去年末，当运营经理给他打电话，让他赶紧前往20英里外的Company总部时，他才知道这些防御措施失效了。令人尴尬的是，入侵警报并不是由安全团队发出的，而是来自一位普通技术人员——一位从事单调评估工作的系统管理员。

Opsec来到总部后了解到很多详细信息。那位系统管理员是他的朋友，他当时正在查看前一周的事件日志。事件日志会逐行排列在屏幕上，显示一个电脑网络接收的每一项新任务的摘要，上面配有时间戳，并通过绿色或红色的点来表明事件成功与否。

看到一个红点后，这位管理员决定仔细查看详细信息。那项失败的任务是来自Company内部的一次尝试，目的是在全公司范围内安装一个软件。有时候的确会出现给整个网络安装软件的情况——例如安装系统更新——但关键问题在于：在正常情况下，发送者很少犯错误。而在此次事件中，发送者漏掉了域名里的一个字母，导致了错误。相关的软件包与这位系统管理员之前看到的任何软件都不一样。于是，他通知了运营经理。

Opsec立刻意识到这个软件包很可疑。里面的.exe可执行程序的文件名都没有内在规律，而是采用了随机字符。他通过一个反汇编器运行了其中的内容，并很快证实，他的客户的确遭到了恶意攻击。

不到1个小时，他发现此次攻击的目的是渗透Company的网络，窃取并加密其所有数据，之后便会向其索要赎金。如果勒索不成，攻击者便会拒绝返还数据。这个恶意软件里面甚至已经包含了一个海外银行的账号。

Opsec不肯告诉我那家银行的位置，也不愿透露对方索要的赎金金额。他只是表示，那是一款很激进的勒索软件。在类似的事件中，被盗数据永远无法恢复。

勒索攻击已经成为互联网的流行病。攻击者会锁定受害人的电脑，向其索要一笔不高的赎金，而且要求其通过难以追踪的比特币进行支付，之后便会恢复所有数据。迄今为止针对企业发动的最大规模的勒索攻击索要的赎金达到数百万美元。然而，由于受害人往往保持沉默，所以详细信息鲜为人知。

索尼影业2014年遭到的大范围攻击就是一起勒索攻击，但攻击者的身份至今仍是一个谜。外界认为，索尼可能并没有支付赎金，因为该公司的内部邮件和其他信息都被公之于众。去年2月，黑客还从洛杉矶的好莱坞长老教会医学中心窃取了病例信息。该医院支付赎金后要回了数据。而这一次，因为黑客输错了一个字母，使得Opsec的客户幸免于难。但关键问题并没有解决：Company的网络显然被攻破了。

于是，轮到Opsec出场了。软件包现在已经没用了，但黑客活动几乎肯定已经发生了。有人入侵了Company的核心网络，然后消失了。目前仍不清楚黑客利用了哪个漏洞，他很有可能再次使用这个漏洞：他已经建了一个后门。有的后门是永久性的，但多数都很短命。

更有甚者，这个后门可能已经在黑市上出售。在Opsec找到并封锁后门前，Company将始终面临严重威胁。Opsec与Company的管理者一同评估了此次攻击的基本情况。他说：我们是做互联网的，所以肯定会发生攻击。我们应该随时假设自己的网络已经被他人攻破。关键是要保持镇定。我们很快就会知道如何锁住后门，以及何时能够锁住后门。我们稍后还要决定是否需要采取更多措施。