警惕“滲透性社工”現象

社工也稱義工，是指那些為社會提供無償服務、自我奉獻的自愿者，是社會文明的使者。在2012年9月12日的中國信息安全大會上，信息安全專家寧家駿在“當前網絡信息安全保障問題初探”演講時，提到了“滲透性社工”一詞。其實，“滲透性社工”不是剛剛出現，但到目前為止，已經形成了相當的規模，“社工們”不僅在很多社交網絡里盛行，而且發展趨勢近乎指數性增長，其力量不可小視。

滲透性社工是指某些組織或個人，利用社交網絡、開源社區召集樂于助人的“信息安全愛好者”，以交流技術為形式，建立松散的網絡組織，開展滲透性入侵與攻擊一類的活動，如收集信息，開發“特殊功能”的小工具，集中網絡資源，發起DDOS攻擊，組織APT入侵……這些愛好者或奉獻者，就稱為滲透性社工。

滲透性社工分為兩類：一類是業余的，自己不知道參與的具體攻擊事件，只是整個攻擊行動中的一個小環節，掙不掙錢無所謂，只是參加技術實踐；另一類則是職業的，專門從事“網絡黑色產業鏈”業務的，他們有自己的組織與運作方式，以贏利為目的，可以實施滲透的組織與策劃；說他們是社工有些不準確，應該是外包團隊。

滲透性社工實際上是網絡安全事件的“勞動力后備市場”，其性質與“網絡水軍”、“木馬推廣者”差不多。#p#

滲透性社工出現的原因

我們還記得曾經爭論不休的“人肉搜索”吧，虛擬網絡世界里的愛好者，他們的社會能量大得出奇，可以讓一個普通人很快就火起來，可以讓一個官員突然曝光而下臺，可以讓一個名人尷尬無語，可以讓一個普通人寢食難安……這種樂于共享的互聯網精神，曾經讓很多人又愛又恨，其實，網絡表達百姓的愛與恨本來是件好事，只是魚龍混雜而已。因此，這些網絡“義工”為自己能提供對他人的“幫助”而沾沾自喜，就不足為奇了。

滲透性社工的存在，對組織入侵攻擊提供了極大幫助，有正面的黑客大戰，也有負面的大小姐木馬傳播。這種現象，我認為這不是社工本身的問題，而是社會環境與制度造成的。我們簡單分析一下“滲透性社工”大軍日漸壯大的原因：

1、 神秘力量的吸引：網絡是虛擬的，信息安全是神秘的，那些有著“傳奇”經歷的“業界前輩”更是神秘的、令人敬仰的，很多人為自己能成為有著“黑客”色彩的社交網絡、開源社區的一員而驕傲不已，尤其是那些還在編織未來之夢的青少年與剛踏入社會、急于被社會接納的年輕人。很多人認為這不過是技術的探討與實踐，不過是課堂上的一個游戲而已。在神秘力量的感召之下，幫助收集信息、一同組織攻擊、開發滲透工具、協助數據搬移…

2、 社會腐敗的推動：現實社會的信譽體系越來越差，沒有誠信、不守承諾已經成為通病，幾乎快要突破人類的忍耐極限。商人沒有誠信，人們吃什么都像是毒藥；政府沒有誠信，人們干什么都誠惶誠恐，這對于年輕人來說，是茫然不知所歸的。互聯網的“共享與互助”、社交網絡的親人問候，讓他們感到了“社會的溫暖”，這里“人人奉獻，人人互助，沒有索取”，成為一名“社工”就成了很多人的“第二職業”；這份工作可以釋放自己對社會的不滿情緒，可以打擊貪官污吏，可以幫助弱小無助的人，可以維護世界和平…

3、 學習知識的無奈：加入這些社區的人多數是源于技術學習、提高自己能力的。因為信息安全是特殊的行業，學校的老師想講，又不敢多講，多數是基礎理論；信息安全企業更是“猶抱琵琶半遮面”，害怕自己技術的泄密，害怕競爭對手的復制；更為重要的是：學生沒有實踐的環境，安全是一門實踐課，不進行實際的實彈練習，紙上談兵的結果大家都知道。所以，對信息安全有濃厚興趣的人，直接把互聯網上作為練習的課堂，但隨著國家管制的嚴格，避免自己“淪陷”，加入社區，參加“組織”，就成為學習道路上的必選之路。組織是協同作戰的，有安全感；組織是有“黑客前輩”技術指導的，提升自己的能力很給力…

4、 政府的私下推動：互聯網逐漸成為國家間信息戰的主戰場，如果只是網絡軍隊在表演，顯然不是政府官員想要的，利用“滲透性社工”，形成一個網絡攻防的第三方力量，不僅儲備了國家的網絡戰爭人才，而且增加了和平外衣下的網絡間諜戰的隱蔽性。從美國“愛因斯坦計劃”的方式看，大量采用了民間企業、個人社團，不僅僅是瞞天過海，而且是政治需求。因此，很多國家的政府近幾年，把大批的國家網絡安全組織民間化、學院化，給予充分的開放政策。從這幾年的重大信息安全事件的統計中，近三分之一的重大安全事件都不是由個人黑客、民間黑客的所為。在這種背景下，推動、資助建立一個龐大的“滲透性社工”社會階層就是非常有必要的了。

滲透性社工就如同一個巨大的信息安全勞動力培訓學校，提供了信息安全技術普及的強大社會基礎。這些社工終究是要“畢業”的，他們以后的出路值得關注，如果不為社會正常渠道所接納，勢必被推向網絡黑色產業鏈里的“待業大軍”。#p#

滲透性社工的出路問題值得關注

從對技術的愛好，到職業工作者，很多人的經歷都在重復這個過程。滲透性社工團隊的形成，很大因素是年輕人對技術的興趣，或對著名黑客的崇拜。一旦成為職業的滲透性工程師，考慮的問題就不僅僅是技術了，金錢的誘惑，生活的壓力，社會的失衡…都有可能讓他們成為黑色產業鏈的勞動力大軍。

滲透性社工的學歷多數不高，這將為他們直接社會就業的直接障礙，這一現象應該越來越受到社會的關注。

我們分析了一下滲透性社工出路的去向可能性，正向的出路如下：

1、 國家網絡部隊：這也許是大部分滲透性社工最希望成為的，職業與興趣融為一體，前途無量。然后，國內這種招聘很少，也沒有美國那種公開的招聘渠道，所以只能是很多人的一個夢而已；

2、 信息安全公司：從滲透入侵轉向安全防御，到信息安全公司為政府、企業提供安全服務。打工雖然辛苦，總算可以養家糊口。若是你善于與人溝通，關系網到位，或許可以自己成為老板，從技術轉型為商人；

3、 安全管理部門職員：應聘到一個企業或政府的IT的運維管理部門，負責企業的信息安全建設，技術上應該問題不大，主要是取得領導的信任，一份穩定的工作，平淡而樸實，很多有名的黑客都選擇了這個出路；

4、 技術推廣者：喜歡技術，也喜歡帶新人，開個技術網站或者論壇，依托互聯網給自己建個“小家”，利用自己的傳奇經歷，教授新人入門的技術知識，生活得也算是安逸。#p#

黑客的所謂負向的出路

1、 專業黑客：執著于技術，有逆向思維的天賦，自己對錢沒有概念，但從不為生活而發愁，愿意接受極端的挑戰，一不小心成為職業的黑客，當然也很可能成為政府、社會關注的焦點；

2、 黑色產業鏈：自己的技術能力有限，做不了驚天動地的大事件，但成為各種網絡黑色產業鏈的關鍵環節還是富富有余的；靠技術拿錢，即使良心上閃過一絲的不安，但面對缺吃少穿、無力維持技術愛好的現實生活壓力，一切都是浮云了；

3、 網絡黑社會成員：信息安全是個特殊的行業，光明地掙錢不是很容易，私下地交易卻容易得很。虛擬社會很快就擁有了現實社會中的所有污垢，網絡黑社會不僅壟斷黑色產業鏈的各種“生意”，而且需要各種技術“打手”，維護他們建立起來的網絡社會“正常秩序”。

小結：

無論是受技術的吸引，還是對名人的崇拜，都在社會壓力之下變得如此之扭曲。但滲透性社工的團體正在壯大，成為政治團體、黑色產業鏈、網絡黑社會爭先利用的“勞動力市場”。

給他們一個光明的培訓環境，合理引導他們對技術的癡迷，讓他們的智慧真正為互聯網的“互助、共享、平等”提供服務，才是信息安全業界的管理者、工作者應該做的。