查看: 1931|回复: 25

警惕“渗透性社工”现象

[复制链接]
发表于 2012-9-21 05:04:43 | 显示全部楼层 |阅读模式
社工也称义工,是指那些为社会提供无偿服务、自我奉献的自愿者,是社会文明的使者。
在2012年9月12日的中国信息安全大会上,信息安全专家宁家骏在“当前网络信息安全保障问题初探”演讲时,提到了“渗透性社工”一词。其实,“渗透性社工”不是刚刚出现,但到目前为止,已经形成了相当的规模,“社工们”不仅在很多社交网络里盛行,而且发展趋势近乎指数性增长,其力量不可小视。

渗透性社工是指某些组织或个人,利用社交网络、开源社区召集乐于助人的“信息安全爱好者”,以交流技术为形式,建立松散的网络组织,开展渗透性入侵与攻击一类的活动,如收集信息,开发“特殊功能”的小工具,集中网络资源,发起DDOS攻击,组织APT入侵……这些爱好者或奉献者,就称为渗透性社工。

渗透性社工分为两类:一类是业余的,自己不知道参与的具体攻击事件,只是整个攻击行动中的一个小环节,挣不挣钱无所谓,只是参加技术实践;另一类则是职业的,专门从事“网络黑色产业链”业务的,他们有自己的组织与运作方式,以赢利为目的,可以实施渗透的组织与策划;说他们是社工有些不准确,应该是外包团队。

渗透性社工实际上是网络安全事件的“劳动力后备市场”,其性质与“网络水军”、“木马推广者”差不多。

渗透性社工出现的原因:

我们还记得曾经争论不休的“人肉搜索”吧,虚拟网络世界里的爱好者,他们的社会能量大得出奇,可以让一个普通人很快就火起来,可以让一个官员突然曝光而下台,可以让一个名人尴尬无语,可以让一个普通人寝食难安……这种乐于共享的互联网精神,曾经让很多人又爱又恨,其实,网络表达百姓的爱与恨本来是件好事,只是鱼龙混杂而已。因此,这些网络“义工”为自己能提供对他人的“帮助”而沾沾自喜,就不足为奇了。
渗透性社工的存在,对组织入侵攻击提供了极大帮助,有正面的黑客大战,也有负面的大小姐木马传播。这种现象,我认为这不是社工本身的问题,而是社会环境与制度造成的。我们简单分析一下“渗透性社工”大军日渐壮大的原因:

1、 神秘力量的吸引:网络是虚拟的,信息安全是神秘的,那些有着“传奇”经历的“业界前辈”更是神秘的、令人敬仰的,很多人为自己能成为有着“黑客”色彩的社交网络、开源社区的一员而骄傲不已,尤其是那些还在编织未来之梦的青少年与刚踏入社会、急于被社会接纳的年轻人。很多人认为这不过是技术的探讨与实践,不过是课堂上的一个游戏而已。在神秘力量的感召之下,帮助收集信息、一同组织攻击、开发渗透工具、协助数据搬移…

2、 社会腐败的推动:现实社会的信誉体系越来越差,没有诚信、不守承诺已经成为通病,几乎快要突破人类的忍耐极限。商人没有诚信,人们吃什么都像是毒药;政府没有诚信,人们干什么都诚惶诚恐,这对于年轻人来说,是茫然不知所归的。互联网的“共享与互助”、社交网络的亲人问候,让他们感到了“社会的温暖”,这里“人人奉献,人人互助,没有索取”,成为一名“社工”就成了很多人的“第二职业”;这份工作可以释放自己对社会的不满情绪,可以打击贪官污吏,可以帮助弱小无助的人,可以维护世界和平…

3、 学习知识的无奈:加入这些社区的人多数是源于技术学习、提高自己能力的。因为信息安全是特殊的行业,学校的老师想讲,又不敢多讲,多数是基础理论;信息安全企业更是“犹抱琵琶半遮面”,害怕自己技术的泄密,害怕竞争对手的复制;更为重要的是:学生没有实践的环境,安全是一门实践课,不进行实际的实弹练习,纸上谈兵的结果大家都知道。所以,对信息安全有浓厚兴趣的人,直接把互联网上作为练习的课堂,但随着国家管制的严格,避免自己“沦陷”,加入社区,参加“组织”,就成为学习道路上的必选之路。组织是协同作战的,有安全感;组织是有“黑客前辈”技术指导的,提升自己的能力很给力…

4、 政府的私下推动:互联网逐渐成为国家间信息战的主战场,如果只是网络军队在表演,显然不是政府官员想要的,利用“渗透性社工”,形成一个网络攻防的第三方力量,不仅储备了国家的网络战争人才,而且增加了和平外衣下的网络间谍战的隐蔽性。从美国“爱因斯坦计划”的方式看,大量采用了民间企业、个人社团,不仅仅是瞒天过海,而且是政治需求。因此,很多国家的政府近几年,把大批的国家网络安全组织民间化、学院化,给予充分的开放政策。从这几年的重大信息安全事件的统计中,近三分之一的重大安全事件都不是由个人黑客、民间黑客的所为。在这种背景下,推动、资助建立一个庞大的“渗透性社工”社会阶层就是非常有必要的了。

渗透性社工就如同一个巨大的信息安全劳动力培训学校,提供了信息安全技术普及的强大社会基础。这些社工终究是要“毕业”的,他们以后的出路值得关注,如果不为社会正常渠道所接纳,势必被推向网络黑色产业链里的“待业大军”。

渗透性社工的出路问题值得关注:

从对技术的爱好,到职业工作者,很多人的经历都在重复这个过程。渗透性社工团队的形成,很大因素是年轻人对技术的兴趣,或对著名黑客的崇拜。一旦成为职业的渗透性工程师,考虑的问题就不仅仅是技术了,金钱的诱惑,生活的压力,社会的失衡…都有可能让他们成为黑色产业链的劳动力大军。

渗透性社工的学历多数不高,这将为他们直接社会就业的直接障碍,这一现象应该越来越受到社会的关注。
我们分析了一下渗透性社工出路的去向可能性,正向的出路如下:

1、 国家网络部队:这也许是大部分渗透性社工最希望成为的,职业与兴趣融为一体,前途无量。然后,国内这种招聘很少,也没有美国那种公开的招聘渠道,所以只能是很多人的一个梦而已;

2、 信息安全公司:从渗透入侵转向安全防御,到信息安全公司为政府、企业提供安全服务。打工虽然辛苦,总算可以养家糊口。若是你善于与人沟通,关系网到位,或许可以自己成为老板,从技术转型为商人;

3、 安全管理部门职员:应聘到一个企业或政府的IT的运维管理部门,负责企业的信息安全建设,技术上应该问题不大,主要是取得领导的信任,一份稳定的工作,平淡而朴实,很多有名的黑客都选择了这个出路;

4、 技术推广者:喜欢技术,也喜欢带新人,开个技术网站或者论坛,依托互联网给自己建个“小家”,利用自己的传奇经历,教授新人入门的技术知识,生活得也算是安逸。

所谓负向的出路如下:


1、 专业黑客:执着于技术,有逆向思维的天赋,自己对钱没有概念,但从不为生活而发愁,愿意接受极端的挑战,一不小心成为职业的黑客,当然也很可能成为政府、社会关注的焦点;

2、 黑色产业链:自己的技术能力有限,做不了惊天动地的大事件,但成为各种网络黑色产业链的关键环节还是富富有余的;靠技术拿钱,即使良心上闪过一丝的不安,但面对缺吃少穿、无力维持技术爱好的现实生活压力,一切都是浮云了;

3、 网络黑社会成员:信息安全是个特殊的行业,光明地挣钱不是很容易,私下地交易却容易得很。虚拟社会很快就拥有了现实社会中的所有污垢,网络黑社会不仅垄断黑色产业链的各种“生意”,而且需要各种技术“打手”,维护他们建立起来的网络社会“正常秩序”。

小结:


无论是受技术的吸引,还是对名人的崇拜,都在社会压力之下变得如此之扭曲。但渗透性社工的团体正在壮大,成为政治团体、黑色产业链、网络黑社会争先利用的“劳动力市场”。

给他们一个光明的培训环境,合理引导他们对技术的痴迷,让他们的智慧真正为互联网的“互助、共享、平等”提供服务,才是信息安全业界的管理者、工作者应该做的。
发表于 2012-9-21 09:35:04 | 显示全部楼层
我也来顶一下..  
发表于 2012-9-21 21:14:05 | 显示全部楼层
不要等到人人都说你丑时才发现自己真的丑。  
发表于 2012-9-21 21:22:00 | 显示全部楼层
呵呵,明白了  
17459 该用户已被删除
发表于 2012-9-22 08:44:43 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2012-9-22 23:01:45 | 显示全部楼层
世界上那些最容易的事情中,拖延时间最不费力。  
发表于 2012-9-23 14:36:40 | 显示全部楼层
似曾相识的感觉  
356672205 该用户已被删除
发表于 2012-9-23 15:02:56 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2012-9-23 19:22:15 | 显示全部楼层
就为赚分嘛  
listyym210 该用户已被删除
发表于 2012-9-24 06:34:09 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
高级模式
B Color Image Link Quote Code Smilies

本版积分规则