社工库的地下暗战

社工库，传说互联网中的地下宝藏。盗取用户数据的黑客们组成了利益联盟，将各种渠道获取的数据进行汇总分析。姓名、身份证、银行卡、密码只是最基本的信息，这个底下地下数据库甚至能精细到征信、体检、病史、性格爱好等。这些数据可以素描勾勒出被盗用户的完整肖像。

互联网用户数据泄露从未消停，京东用户密码泄露，12306火车购票网站用户数据满天飞等，这些被曝光的数据只是地下社工库中的冰山一角。

只要搜索“社工库”，就能找到一些可查询泄露数据的网站。《创业家》的记者将自己常用的邮箱和用户名输入，发现密码早已泄露。同时又将几个朋友的邮箱输入，也均能查到外泄密码。

互联网上的用户信息已被扫荡成什么样子，业内有句话叫“十墓九空”，可见已然千疮百孔。

近几年，中国互联网金融兴起，P2P金融遍地开花，以每天新增一两家的速度急速发展。在K眼中，这些公司都是肥肉：有钱，创业型公司，对安全没有重视。他进入这些网站，比进后花园还容易。

横扫一片，无往不利。K进入互联网金融平台的后台，将有价值信息盗取出来，专业术语叫“脱库”。

如何从浩如烟海的数据中找到价值信息，K有一项超出常人的天赋。他的实战经验太多丰富，对于与他交过手的安全人员太多，什么的套路和战术，他全了然于胸。他能猜出他们下一步行动，甚至能猜出管理员密码。

他曾经入侵一家互联网金融公司，在几个G的后台数据中，一分钟内准确找到了备份系统的机密文件夹。

“我猜到了管理员可能设立的文件夹名字。”就是如此可怕的直觉。

K转手将用户数据卖给勒索机构，让他们拿着数据去威胁互联网金融公司。“一旦公布数据，公司会名誉扫地，甚至面临破产。，因此一般的公司都愿意掏钱，息事宁人。”

数据盗取的另一种合作方式是定制化服务。一些企业想购买竞争对手或合作伙伴的核心数据和用户资料，就会让黑客去盗取数据。

“了解黑产后，你会觉得，商业战场没有公平可言。如果你想买到对手的核心数据，只要找到靠谱的人，2万元就能搞定。”K说。

数据的沉淀，则形成了社工库。像K这样手头有大量数据的黑客，就会与一些类似的黑客们合作，将手头的数据汇总，积累越多，价值越大。

如果说互联网进入大数据时代，那么社工库就是地下非法大数据。现在整理社工库的黑客团伙，都在沉淀数据。其详尽已达到可怕的程度，可利用这些数据完整模拟出一个人。目前社工库数据的主要用途是高级金融诈骗。

未来的潜能？大数据有多大的潜能，社工库就有多大。

值得庆幸的是，这个世界像赵伟一样的卫道士人并不少。他们试图搭建起核心信息数据的安全城堡，守住网络的最后阵地。

青藤云安全的CEO张福，80后黑客。他在大学时代就表现出惊人的黑客天赋，毕业后进入盛大、昆仑万维等企业掌舵技术和业务安全部门。他是国内为数不多的，打通网络业务研发和安全体系两个领域的黑客。

2014年，张福放弃百万年薪和即将兑现的千万股票，与传奇黑客风宁一起组建了青藤云安全公司。他们正在开发一款SaaS模式的云端安全产品。这款产品的魅力之处就在于，会根据不同企业的需求，自适应构建安全体系。

某种意义上说，青藤云安全的产品也在试图扭转攻防之间的悬殊。传统互联网公司受到攻击，即便最终解决，这个经验也不会外传输给下一家别的公司，“所谓“家丑不可外扬”，其封闭性是导致防守方成长缓慢的重要原因。但如果100家企业用青藤云安全产品，只要其中一家企业挡住攻击，其他家也会免受同样威胁，“攻击者批量攻击，我们是批量防御。”

安全产品升级，加固城墙、提高壁垒是一种对战方案。而蔡晶晶提供了另外一种解决途径，他派来了更多的援军军队。

2014年11月，工信部电子科技情报所提出，目前我国中国网络安全人才缺口上百万。截止截至2014年，我国中国2500多所高校中开设“信息安全专业”的只有103所，其实博士点、硕士点不到40个，每年培养的大学的“信息安全专业”培养的人才不到一万1万人。

早在2012年，蔡晶晶就意识到了这一点，他离开“启明星辰”自己创业，试图将“启明星辰”积累的人才培养经验推广到更多企业，。他的公司推出了“e春秋”系统，专门用于企业内部的人才培养。今年6月份，他又推出了“i春秋”系统，用于培养民间安全人才。“i春秋”不仅找来业内大牛录制教学视频，还提供在线实战和比赛的竞技平台。

如果时间倒流回到19岁，蔡晶晶再次面对那位专家，他会说：“我们说得都对。，安全产品需要更人性化的设计，安全人才也同等重要。”

　　“我到底是谁？”

K最近专注的“生意”，是攻陷国外消费网站，获取用户信用卡数据。国外信用卡消费不需密码。他倒手将黑卡卖给盗刷团伙，月入千万。

他没日没夜地加班。以前每天只“工作”4小时的生活规律完全打破。

他有非干不可的理由。K说，他交往多年的女朋友最近查出身患绝症。治疗费用是一个天文数字，他要为她攒够救命钱。

在互联网上，K恣意妄为。在现实中，他也有无能为力的时候，只能抓住最后的救命稻草。说他残忍也好，说他幼稚也罢，他就是要用洗劫世界的方式，达到他的目的实现自己的目的。上帝给了他一把钥匙，他却把它变成吸金棒。K没有信仰，他唯一信仰的，就是金钱。当金钱也不是万能的时候，他就不知道该信仰什么了。

K有时也会困惑，不是来自道德的审判，而是对于自我价值的拷问。“我到底是谁？无疑我是自私的，我穷尽一生，无非是为了非法窃取别人的所得。我可能就是一个病毒，一个bug。”

K说，等女朋友病好了，挣到这辈子花不完的钱，“就退隐江湖，在国外买栋海边别墅，带着她面朝大海，春暖花开。”

“你会良心不安吗？”提这样的问题，K会嘲笑你。，可他并没有安宁。K一直用黑莓手机，据说黑莓拥有世界上最安全的系统，任何人都无法盗取其中信息。K的黑莓从来不联网，只用来打电话发短信。他把自己与网络完全隔离，躲在黑暗角落，谨小慎微地活。他是惶恐的，因为他没有找到“我到底是谁”的答案。

至于赵伟，他很明白自己是谁，他也深谙自己的使命，可是同样逃避不了现实的磕碰与研磨。

最大的困扰也是钱。创业初期，资金紧张，赵伟啃了一个月的馒头。他发现，自己一个月最低消费是3000元，其中2000元租房，1000元生活费，他就每个月只给自己开3000元工资。公司每年都要经历几次即将倒闭的窘境，赵伟不得不问不向朋友借钱。后来朋友借怕了，他就去借高利贷。借来的一百万100万现金在办公桌上垒成一座小山。转眼间小山就空了，变成员工的工资。

公司成立至今，开发的安全产品少说也有几十种，可被市场接受活下来的产品也就几种。“我们设计的安全产品都太过超前，很多企业根本无法理解。”赵伟说，他能做的，就是反复说服。

“做安全的人真的很苦，我们就是一个保安的角色。”张福说，目前阻碍中国网络安全发展的最大障碍，是安全意识不高，“创业型企业第一步就是活下来，安全的需求并不是最主要的。”

张福经过市场调研发现，一个公司建立安全系统，每年至少要投入100万。一两个安全人员，一些必要的安全产品，这还仅是最低配置。创业型企业基本属于“裸奔”状态，企业的管理者通常不愿意支付安全花销，而是抱着侥幸心理。但一旦被攻陷，其影响却是致命的，甚至面临破产。

“没有过切肤之痛，很难意识到安全的重要性，但真正意识到的时候，已为时已晚。”张福说。

赵伟的团队通过扫描曾经发现很多企业的安全漏洞，他们打电话去提醒企业时，对方的态度大都表现得无所谓，脾气暴躁点的，就开始谩骂。

市场在一点点吞噬赵伟的理想，但蔡晶晶倒比较乐观。斯诺登事件之后，中国领导人提出：“没有网络安全，就没有国家安全。”，对互联网安全的重视，已经上升到国家层面。蔡晶晶认为，这就是网络安全春天到来的号角。

2015年春天，北京高碑店一个没有路名、没有门牌的四合院内，葡萄藤缠绕着小桥流水。远离喧嚣，辟得一处清凉。

一个叫“神话”项目在这里启动，曾经的顶级黑客王英健，试图用真人秀的方式快速培养信息安全人才。学员们每天都在进行封闭式训练，白帽黑客的大牛们，来到这里将毕生所学技艺倾囊相授。除了技术，还有坚守良心和正义的执着。培养黑客的过程，就像在创造“神话”。

曾经的黑客教父、绿色兵团的创始人龚蔚告诉《创业家》的记者，属于第一批代黑客的世界已经改变，而新生的一代黑客，正在慢慢成长起来。

(责任编辑：安博涛)