警惕“滲透性社工”現(xiàn)象

社工也稱義工，是指那些為社會(huì)提供無償服務(wù)、自我奉獻(xiàn)的自愿者，是社會(huì)文明的使者。在2012年9月12日的中國(guó)信息安全大會(huì)上，信息安全專家寧家駿在“當(dāng)前網(wǎng)絡(luò)信息安全保障問題初探”演講時(shí)，提到了“滲透性社工”一詞。其實(shí)，“滲透性社工”不是剛剛出現(xiàn)，但到目前為止，已經(jīng)形成了相當(dāng)?shù)囊?guī)模，“社工們”不僅在很多社交網(wǎng)絡(luò)里盛行，而且發(fā)展趨勢(shì)近乎指數(shù)性增長(zhǎng)，其力量不可小視。

滲透性社工是指某些組織或個(gè)人，利用社交網(wǎng)絡(luò)、開源社區(qū)召集樂于助人的“信息安全愛好者”，以交流技術(shù)為形式，建立松散的網(wǎng)絡(luò)組織，開展?jié)B透性入侵與攻擊一類的活動(dòng)，如收集信息，開發(fā)“特殊功能”的小工具，集中網(wǎng)絡(luò)資源，發(fā)起DDOS攻擊，組織APT入侵……這些愛好者或奉獻(xiàn)者，就稱為滲透性社工。

滲透性社工分為兩類：一類是業(yè)余的，自己不知道參與的具體攻擊事件，只是整個(gè)攻擊行動(dòng)中的一個(gè)小環(huán)節(jié)，掙不掙錢無所謂，只是參加技術(shù)實(shí)踐；另一類則是職業(yè)的，專門從事“網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈”業(yè)務(wù)的，他們有自己的組織與運(yùn)作方式，以贏利為目的，可以實(shí)施滲透的組織與策劃；說他們是社工有些不準(zhǔn)確，應(yīng)該是外包團(tuán)隊(duì)。

滲透性社工實(shí)際上是網(wǎng)絡(luò)安全事件的“勞動(dòng)力后備市場(chǎng)”，其性質(zhì)與“網(wǎng)絡(luò)水軍”、“木馬推廣者”差不多。#p#

滲透性社工出現(xiàn)的原因

我們還記得曾經(jīng)爭(zhēng)論不休的“人肉搜索”吧，虛擬網(wǎng)絡(luò)世界里的愛好者，他們的社會(huì)能量大得出奇，可以讓一個(gè)普通人很快就火起來，可以讓一個(gè)官員突然曝光而下臺(tái)，可以讓一個(gè)名人尷尬無語，可以讓一個(gè)普通人寢食難安……這種樂于共享的互聯(lián)網(wǎng)精神，曾經(jīng)讓很多人又愛又恨，其實(shí)，網(wǎng)絡(luò)表達(dá)百姓的愛與恨本來是件好事，只是魚龍混雜而已。因此，這些網(wǎng)絡(luò)“義工”為自己能提供對(duì)他人的“幫助”而沾沾自喜，就不足為奇了。

滲透性社工的存在，對(duì)組織入侵攻擊提供了極大幫助，有正面的黑客大戰(zhàn)，也有負(fù)面的大小姐木馬傳播。這種現(xiàn)象，我認(rèn)為這不是社工本身的問題，而是社會(huì)環(huán)境與制度造成的。我們簡(jiǎn)單分析一下“滲透性社工”大軍日漸壯大的原因：

1、 神秘力量的吸引：網(wǎng)絡(luò)是虛擬的，信息安全是神秘的，那些有著“傳奇”經(jīng)歷的“業(yè)界前輩”更是神秘的、令人敬仰的，很多人為自己能成為有著“黑客”色彩的社交網(wǎng)絡(luò)、開源社區(qū)的一員而驕傲不已，尤其是那些還在編織未來之夢(mèng)的青少年與剛踏入社會(huì)、急于被社會(huì)接納的年輕人。很多人認(rèn)為這不過是技術(shù)的探討與實(shí)踐，不過是課堂上的一個(gè)游戲而已。在神秘力量的感召之下，幫助收集信息、一同組織攻擊、開發(fā)滲透工具、協(xié)助數(shù)據(jù)搬移…

2、 社會(huì)腐敗的推動(dòng)：現(xiàn)實(shí)社會(huì)的信譽(yù)體系越來越差，沒有誠(chéng)信、不守承諾已經(jīng)成為通病，幾乎快要突破人類的忍耐極限。商人沒有誠(chéng)信，人們吃什么都像是毒藥；政府沒有誠(chéng)信，人們干什么都誠(chéng)惶誠(chéng)恐，這對(duì)于年輕人來說，是茫然不知所歸的?；ヂ?lián)網(wǎng)的“共享與互助”、社交網(wǎng)絡(luò)的親人問候，讓他們感到了“社會(huì)的溫暖”，這里“人人奉獻(xiàn)，人人互助，沒有索取”，成為一名“社工”就成了很多人的“第二職業(yè)”；這份工作可以釋放自己對(duì)社會(huì)的不滿情緒，可以打擊貪官污吏，可以幫助弱小無助的人，可以維護(hù)世界和平…

3、 學(xué)習(xí)知識(shí)的無奈：加入這些社區(qū)的人多數(shù)是源于技術(shù)學(xué)習(xí)、提高自己能力的。因?yàn)樾畔踩翘厥獾男袠I(yè)，學(xué)校的老師想講，又不敢多講，多數(shù)是基礎(chǔ)理論；信息安全企業(yè)更是“猶抱琵琶半遮面”，害怕自己技術(shù)的泄密，害怕競(jìng)爭(zhēng)對(duì)手的復(fù)制；更為重要的是：學(xué)生沒有實(shí)踐的環(huán)境，安全是一門實(shí)踐課，不進(jìn)行實(shí)際的實(shí)彈練習(xí)，紙上談兵的結(jié)果大家都知道。所以，對(duì)信息安全有濃厚興趣的人，直接把互聯(lián)網(wǎng)上作為練習(xí)的課堂，但隨著國(guó)家管制的嚴(yán)格，避免自己“淪陷”，加入社區(qū)，參加“組織”，就成為學(xué)習(xí)道路上的必選之路。組織是協(xié)同作戰(zhàn)的，有安全感；組織是有“黑客前輩”技術(shù)指導(dǎo)的，提升自己的能力很給力…

4、 政府的私下推動(dòng)：互聯(lián)網(wǎng)逐漸成為國(guó)家間信息戰(zhàn)的主戰(zhàn)場(chǎng)，如果只是網(wǎng)絡(luò)軍隊(duì)在表演，顯然不是政府官員想要的，利用“滲透性社工”，形成一個(gè)網(wǎng)絡(luò)攻防的第三方力量，不僅儲(chǔ)備了國(guó)家的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)人才，而且增加了和平外衣下的網(wǎng)絡(luò)間諜戰(zhàn)的隱蔽性。從美國(guó)“愛因斯坦計(jì)劃”的方式看，大量采用了民間企業(yè)、個(gè)人社團(tuán)，不僅僅是瞞天過海，而且是政治需求。因此，很多國(guó)家的政府近幾年，把大批的國(guó)家網(wǎng)絡(luò)安全組織民間化、學(xué)院化，給予充分的開放政策。從這幾年的重大信息安全事件的統(tǒng)計(jì)中，近三分之一的重大安全事件都不是由個(gè)人黑客、民間黑客的所為。在這種背景下，推動(dòng)、資助建立一個(gè)龐大的“滲透性社工”社會(huì)階層就是非常有必要的了。

滲透性社工就如同一個(gè)巨大的信息安全勞動(dòng)力培訓(xùn)學(xué)校，提供了信息安全技術(shù)普及的強(qiáng)大社會(huì)基礎(chǔ)。這些社工終究是要“畢業(yè)”的，他們以后的出路值得關(guān)注，如果不為社會(huì)正常渠道所接納，勢(shì)必被推向網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈里的“待業(yè)大軍”。#p#

滲透性社工的出路問題值得關(guān)注

從對(duì)技術(shù)的愛好，到職業(yè)工作者，很多人的經(jīng)歷都在重復(fù)這個(gè)過程。滲透性社工團(tuán)隊(duì)的形成，很大因素是年輕人對(duì)技術(shù)的興趣，或?qū)χ诳偷某绨?。一旦成為職業(yè)的滲透性工程師，考慮的問題就不僅僅是技術(shù)了，金錢的誘惑，生活的壓力，社會(huì)的失衡…都有可能讓他們成為黑色產(chǎn)業(yè)鏈的勞動(dòng)力大軍。

滲透性社工的學(xué)歷多數(shù)不高，這將為他們直接社會(huì)就業(yè)的直接障礙，這一現(xiàn)象應(yīng)該越來越受到社會(huì)的關(guān)注。

我們分析了一下滲透性社工出路的去向可能性，正向的出路如下：

1、 國(guó)家網(wǎng)絡(luò)部隊(duì)：這也許是大部分滲透性社工最希望成為的，職業(yè)與興趣融為一體，前途無量。然后，國(guó)內(nèi)這種招聘很少，也沒有美國(guó)那種公開的招聘渠道，所以只能是很多人的一個(gè)夢(mèng)而已；

2、 信息安全公司：從滲透入侵轉(zhuǎn)向安全防御，到信息安全公司為政府、企業(yè)提供安全服務(wù)。打工雖然辛苦，總算可以養(yǎng)家糊口。若是你善于與人溝通，關(guān)系網(wǎng)到位，或許可以自己成為老板，從技術(shù)轉(zhuǎn)型為商人；

3、 安全管理部門職員：應(yīng)聘到一個(gè)企業(yè)或政府的IT的運(yùn)維管理部門，負(fù)責(zé)企業(yè)的信息安全建設(shè)，技術(shù)上應(yīng)該問題不大，主要是取得領(lǐng)導(dǎo)的信任，一份穩(wěn)定的工作，平淡而樸實(shí)，很多有名的黑客都選擇了這個(gè)出路；

4、 技術(shù)推廣者：喜歡技術(shù)，也喜歡帶新人，開個(gè)技術(shù)網(wǎng)站或者論壇，依托互聯(lián)網(wǎng)給自己建個(gè)“小家”，利用自己的傳奇經(jīng)歷，教授新人入門的技術(shù)知識(shí)，生活得也算是安逸。#p#

黑客的所謂負(fù)向的出路

1、 專業(yè)黑客：執(zhí)著于技術(shù)，有逆向思維的天賦，自己對(duì)錢沒有概念，但從不為生活而發(fā)愁，愿意接受極端的挑戰(zhàn)，一不小心成為職業(yè)的黑客，當(dāng)然也很可能成為政府、社會(huì)關(guān)注的焦點(diǎn)；

2、 黑色產(chǎn)業(yè)鏈：自己的技術(shù)能力有限，做不了驚天動(dòng)地的大事件，但成為各種網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的關(guān)鍵環(huán)節(jié)還是富富有余的；靠技術(shù)拿錢，即使良心上閃過一絲的不安，但面對(duì)缺吃少穿、無力維持技術(shù)愛好的現(xiàn)實(shí)生活壓力，一切都是浮云了；

3、 網(wǎng)絡(luò)黑社會(huì)成員：信息安全是個(gè)特殊的行業(yè)，光明地掙錢不是很容易，私下地交易卻容易得很。虛擬社會(huì)很快就擁有了現(xiàn)實(shí)社會(huì)中的所有污垢，網(wǎng)絡(luò)黑社會(huì)不僅壟斷黑色產(chǎn)業(yè)鏈的各種“生意”，而且需要各種技術(shù)“打手”，維護(hù)他們建立起來的網(wǎng)絡(luò)社會(huì)“正常秩序”。

小結(jié)：

無論是受技術(shù)的吸引，還是對(duì)名人的崇拜，都在社會(huì)壓力之下變得如此之扭曲。但滲透性社工的團(tuán)體正在壯大，成為政治團(tuán)體、黑色產(chǎn)業(yè)鏈、網(wǎng)絡(luò)黑社會(huì)爭(zhēng)先利用的“勞動(dòng)力市場(chǎng)”。

給他們一個(gè)光明的培訓(xùn)環(huán)境，合理引導(dǎo)他們對(duì)技術(shù)的癡迷，讓他們的智慧真正為互聯(lián)網(wǎng)的“互助、共享、平等”提供服務(wù)，才是信息安全業(yè)界的管理者、工作者應(yīng)該做的。