石建兵

黑客市場與網(wǎng)絡(luò)安全產(chǎn)業(yè)具有典型的共生關(guān)系。作為交易網(wǎng)絡(luò)犯罪工具與被竊數(shù)據(jù)的場所，黑客市場的活動(dòng)范圍遍及全球各地且采用虛擬化或數(shù)字化的方式，各類網(wǎng)絡(luò)犯罪產(chǎn)品和服務(wù)的買方、賣方、中介均集中在此。由于黑客市場是違法和非公開的市場領(lǐng)域，因此專門針對(duì)黑客市場的研究非常困難稀缺。本文通過對(duì)蘭德公司《網(wǎng)絡(luò)犯罪工具與被竊數(shù)據(jù)的市場》（Markets for Cybercrime Tools and Stolen Data》等報(bào)告的編譯分析，從發(fā)展軌跡、主要特征、重點(diǎn)領(lǐng)域、趨勢展望四個(gè)方面，對(duì)最近十年來全球黑客市場進(jìn)行概述。

一、黑客市場近十年的發(fā)展軌跡

黑客市場的行為方式與傳統(tǒng)市場并無本質(zhì)區(qū)別，表現(xiàn)為利潤驅(qū)動(dòng)創(chuàng)新并與快速變化的技術(shù)發(fā)展保持同步，凡是創(chuàng)新的技術(shù)應(yīng)用（如移動(dòng)裝置、云解決方案、新的社交媒體平臺(tái)）都是新的攻擊入口，在黑客市場也都能找到匹配的攻擊工具。

一般來說，黑客市場有黑市和灰市之分，兩個(gè)市場存在一定的重疊。其中，黑市是完全出于信息犯罪目的而組織運(yùn)行的，它經(jīng)營著漏洞攻擊工具包、僵尸網(wǎng)絡(luò)、分布式拒絕服務(wù)攻擊、攻擊服務(wù)以及犯罪成果（如偷來的信用卡號(hào)、被攻破的主機(jī)）；灰市僅限于交換漏洞和缺陷，發(fā)現(xiàn)和開發(fā)系統(tǒng)漏洞本身并非不合法，例如公司往往會(huì)花錢購買自身產(chǎn)品漏洞的信息），但由于這些漏洞的交易通常會(huì)被用于非法目的，因此在大多數(shù)國家灰市也被禁止。

黑客市場自20世紀(jì)80年代誕生，至2005年開始進(jìn)入穩(wěn)定發(fā)展并趨于成熟，期間經(jīng)歷了連續(xù)十幾年的發(fā)展創(chuàng)新，吸引了幾代數(shù)字高手，才發(fā)展到今天的局面。如今它已與傳統(tǒng)市場或其他犯罪市場沒有多大區(qū)別，買賣雙方可以通過多種渠道溝通、下單并收貨。買方主要是個(gè)人、犯罪組織和商業(yè)販子，交易一般由中介人來確認(rèn)產(chǎn)品和交易雙方的有效性。

目前黑客市場上產(chǎn)品（黑客工具、數(shù)字資產(chǎn)）和服務(wù)（服務(wù)性黑客、數(shù)字資產(chǎn)處理）形形色色。產(chǎn)品包括幫助首次接觸目標(biāo)的工具、組成有效工具的部件和功能，以及影響目標(biāo)的工具組合。服務(wù)則包括幫助擴(kuò)大規(guī)模或交付工具的支持性服務(wù)，提供整個(gè)攻擊周期的完全服務(wù)。此外還有支持和確保黑客產(chǎn)品和服務(wù)擺脫障礙的一些產(chǎn)品和服務(wù)，包括基礎(chǔ)設(shè)施和密碼分析服務(wù)。數(shù)字資產(chǎn)是黑客行為或黑客服務(wù)的產(chǎn)物（如金融信息、數(shù)據(jù)記錄、賬戶、IP地址），包括網(wǎng)上洗錢和幫助銷贓。比如在2013年美國零售巨頭塔吉特的銷售終端遭黑客惡意侵入，造成至少7000萬用戶的記錄受損，包括姓名、卡號(hào)、期限及安全密碼，數(shù)天之后這些記錄就出現(xiàn)在黑客市場上。

黑客市場的規(guī)模和復(fù)雜程度也在日益發(fā)展。它在過去10年到15年間已經(jīng)從單獨(dú)行動(dòng)的個(gè)人活動(dòng)演變?yōu)橛旋嫶筘?cái)力推動(dòng)的有組織活動(dòng)。從某些方面來講，它可能比非法毒品交易更有利潤，因?yàn)樗c全球終端用戶的聯(lián)系更加直接，且以電子方式來實(shí)現(xiàn)，幾乎無需必備條件。比如，以漏洞攻擊工具包為基礎(chǔ)，越來越頻繁地使用飲水地攻擊（用戶在那里訪問流行而合法但缺乏抵抗力的網(wǎng)站）；嵌入在線廣告的流氓軟件越來越多，只要點(diǎn)擊就會(huì)感染電腦，并招來開啟另一個(gè)惡意軟件，數(shù)據(jù)由此被竊并在黑市出售；黑市出租的僵尸網(wǎng)絡(luò)對(duì)網(wǎng)站實(shí)施分布式拒絕服務(wù)攻擊。

從參與者數(shù)量、交易數(shù)量和黑客報(bào)道的數(shù)量和規(guī)模等角度來看，可以說黑客市場經(jīng)過近十年來的發(fā)展正在趨于成熟。這種成熟表現(xiàn)在以下幾個(gè)方面：一是高度的應(yīng)變力，能根據(jù)市場當(dāng)前趨勢進(jìn)行快速適變；二是方便的可達(dá)性，進(jìn)入成本低，介入相對(duì)容易，尤其在較低層次；三是高度的專門化，有著獨(dú)特的定制化的產(chǎn)品、場所、參與者以及分工（見圖1：黑客市場的參與者成分）；四是頑強(qiáng)的修復(fù)力，外部事件不影響市場，即使有影響也能快速恢復(fù)。

圖1：黑客市場的參與者成分

二、黑客市場呈現(xiàn)的新特征

當(dāng)前，全球黑客市場呈現(xiàn)出如下新的特點(diǎn)：

1.產(chǎn)品和服務(wù)使用率穩(wěn)步上升

盡管黑客市場分多個(gè)接觸層次，較高層次在進(jìn)入前需經(jīng)詳細(xì)核查，甚至想知道它的存在也需要經(jīng)資格認(rèn)定，但點(diǎn)擊工具和專題報(bào)告的日益廣泛使用使新手更容易使用這些產(chǎn)品和服務(wù)。黑客市場的渠道原先主要是布告欄形式的網(wǎng)絡(luò)平臺(tái)、電子郵件以及支持私人通信或公開聊天室的即時(shí)通信平臺(tái)，現(xiàn)在的重點(diǎn)已經(jīng)轉(zhuǎn)到了買家能選擇所需產(chǎn)品、用數(shù)字貨幣支付、無需與賣方協(xié)商就能得到產(chǎn)品的在線商店。黑客市場向合法電子商務(wù)的轉(zhuǎn)變，說明黑客市場的業(yè)務(wù)交易方式已日益成熟，買賣雙方在渠道內(nèi)的互動(dòng)經(jīng)驗(yàn)越來越豐富，方式也越來越創(chuàng)新，更多的使用匿名、加密和隱蔽方法。

2.服務(wù)類型日趨高級(jí)和專業(yè)

2005年之前，黑客市場主要是提供信用卡數(shù)據(jù)的產(chǎn)品和服務(wù)，隨后擴(kuò)展到電子商務(wù)賬戶、社交媒介等，現(xiàn)如今市場已經(jīng)呈現(xiàn)多樣化，有的仍專注于一個(gè)產(chǎn)品或一種服務(wù)，有的則為整個(gè)攻擊期提供系列產(chǎn)品和服務(wù)；有的提供多種產(chǎn)品但不從事一站式銷售。有的在多種產(chǎn)品和服務(wù)市場做廣告；有的專盯幾個(gè)在線平臺(tái)。有些組織據(jù)稱多達(dá)7到8萬人，全球銷售額達(dá)幾億美元（如曾經(jīng)專門進(jìn)行信用卡欺詐carder.su）。此外，市場溝通方式更為創(chuàng)新和安全，廣泛使用加密和隱私機(jī)制，如信息不留記錄和數(shù)字加密貨幣。交易平臺(tái)的組織是高度結(jié)構(gòu)化的，角色和責(zé)任普遍專門化。

3.產(chǎn)品和服務(wù)更有創(chuàng)意

這是技術(shù)高手越來越多的結(jié)果。賣方往往保證所售產(chǎn)品的使用壽命或價(jià)值——例如，保證某惡意軟件運(yùn)行10小時(shí)后才會(huì)被殺毒產(chǎn)品發(fā)現(xiàn)，或者保證信用卡內(nèi)有一定數(shù)量的金額。有些甚至能夠跟蹤客戶用產(chǎn)品在干什么，確保不違反“使用條款”。例如，買方如果侵襲太多電腦并產(chǎn)生太大影響，賣家就能鎖住產(chǎn)品。此外，針對(duì)移動(dòng)裝置的惡意軟件一直在發(fā)展，其中原因是攻擊移動(dòng)裝置比攻擊個(gè)人電腦賺錢更快。短信服務(wù)木馬和虛假安裝成為近年來最流行的移動(dòng)惡意軟件，占到2013年3月移動(dòng)惡意軟件的70%，而在2011年只有56%。

4.交易方式走向多樣化

例如，買家可購買某軟件或工具的精簡版或者獲得免費(fèi)贈(zèng)品，如果喜歡則可以加錢升級(jí)到完全版——所謂的“免費(fèi)增值定價(jià)”。由于很難評(píng)估不同產(chǎn)品的發(fā)展走勢，市場的產(chǎn)品/價(jià)格關(guān)系非常微妙，取決于諸多因素，如品牌、服務(wù)質(zhì)量、租與買的比較。雖然價(jià)格范圍很廣，例如按照賬戶類型侵入賬戶的價(jià)格可以從16美元到325美元，但同類產(chǎn)品往往索取相同價(jià)格。漏洞攻擊工具包價(jià)格的不同，取決于是直接購買還是臨時(shí)租用、什么漏洞以及服務(wù)和產(chǎn)品的質(zhì)量等。品牌的認(rèn)可度也開始起作用。服務(wù)包括租賃服務(wù)器、發(fā)現(xiàn)通道、創(chuàng)建個(gè)性化工具組合和建立基礎(chǔ)設(shè)施等。

5.買賣活動(dòng)越來越謹(jǐn)慎

早期的黑客市場很少進(jìn)行自我核查；市場參與者只要想介入就很容易被接納。但由于近年來打擊黑客市場的力度不斷加大，較為成熟的市場開始實(shí)行嚴(yán)格的準(zhǔn)入核查，甚至想知道它的存在也需要一定的資格。核查一般是成員擔(dān)?；蜃晕易C明。經(jīng)審核進(jìn)入精英層次就能獲得好的報(bào)酬，能接觸需要的任何東西。此外，更多的交易被放到了虛擬的私網(wǎng)和暗網(wǎng)上進(jìn)行，用匿名和加密來加以保護(hù)。買賣雙方都在努力減少虛擬身份與真實(shí)身份之間的聯(lián)系。因此，買賣雙方通過名聲、關(guān)系、中介來相互確認(rèn)。賣方可以提供產(chǎn)品樣本，支付行為雖然更難確認(rèn)，但由于范圍相對(duì)狹小，所以“不合格產(chǎn)品”至少在需要嚴(yán)格審核的精英層才會(huì)被發(fā)現(xiàn)。

6.整體生存能力變得更強(qiáng)

黑客市場在遭受打擊后往往會(huì)迅速卷土重來，尋找“黑洞開發(fā)工具”或“絲路”的同類取代品也許需要幾次更替，但一般替代品幾天之內(nèi)就會(huì)出現(xiàn)，比如，“自由儲(chǔ)備”在線支付公司2013年5月被取締后，即刻就有幾種數(shù)字貨幣冒出來；黑洞攻擊工具包相關(guān)人員2013年10月被捕后，幾乎立刻出現(xiàn)了其他的漏洞攻擊工具包；黑洞攻擊工具包從2010年末發(fā)布到作者被捕，是最流行的服務(wù)性攻擊工具包。2012年，半數(shù)以上的網(wǎng)站威脅據(jù)稱來自黑洞。黑洞被取締中沒有真正的贏家，因?yàn)橛泻芏嗫捎玫暮蜻x品；從事非法毒品交易的“絲路”2013年10月被取締后，一個(gè)月后就出現(xiàn)了2.0版。原因一是各平臺(tái)始終在爭奪市場份額；二是所用的技術(shù)或工具還在。比如，漏洞工具包一般是無專利的，所有群體都能用它或泄露的源碼來打造自己的工具包。事實(shí)上，打擊取締黑客市場的行為會(huì)給黑客市場上某些群體或個(gè)人帶來益處，因?yàn)橐坏┤【喠肆餍械漠a(chǎn)品和服務(wù)，其他的產(chǎn)品和服務(wù)就能爭奪釋放出來的市場空間。

三、黑客市場的重點(diǎn)領(lǐng)域

最近十年來，全球黑客市場的核心產(chǎn)品主要是僵尸網(wǎng)絡(luò)和零日漏洞。

1.僵尸網(wǎng)絡(luò)

自2005年以來，僵尸網(wǎng)絡(luò)始終是網(wǎng)絡(luò)犯罪的最大支撐力量之一。它的存在對(duì)黑客市場影響深遠(yuǎn)。僵尸網(wǎng)絡(luò)在2003年/2004年開始奠定市場基礎(chǔ)，當(dāng)時(shí)主要用來向在線聊天系統(tǒng)濫發(fā)垃圾郵件，關(guān)閉系統(tǒng)服務(wù)器就能取締它。但僵尸網(wǎng)絡(luò)變體的數(shù)量在2004年到2005年間翻了一倍，創(chuàng)建源碼和圖形用戶界面均能在黑客市場上找到，這樣低技能用戶只要點(diǎn)擊就也能創(chuàng)建僵尸網(wǎng)絡(luò)。到2007年，出現(xiàn)更多使用對(duì)等協(xié)議的僵尸網(wǎng)絡(luò)，其分布式控制使得它較難被取締。2009年僵尸網(wǎng)絡(luò)的最流行用途依然是濫發(fā)垃圾郵件，80%的垃圾郵件都是它發(fā)送的。之后由于聯(lián)合取締和打擊以及反垃圾郵件保護(hù)措施的加強(qiáng)，僵尸網(wǎng)絡(luò)運(yùn)行者的興趣從垃圾郵件轉(zhuǎn)向了分布式拒絕服務(wù)攻擊。

分布式拒絕服務(wù)攻擊是僵尸網(wǎng)絡(luò)另一個(gè)主要手段。2008年記錄到19萬次分布式拒絕服務(wù)攻擊，是僵尸網(wǎng)絡(luò)的第二大用途（僅次于濫發(fā)郵件）。過去10年，分布式攻擊時(shí)起時(shí)落。分布式攻擊的受雇服務(wù)始于2004年，在2008年/2009年有過衰落，因?yàn)榉佬l(wèi)措施改進(jìn)了。但隨著分布式攻擊技術(shù)越來越先進(jìn)，其服務(wù)在2011年再次興旺（但濫發(fā)郵件數(shù)量開始下降），一直流行到今天。

僵尸網(wǎng)絡(luò)的發(fā)展推動(dòng)了分布式拒絕服務(wù)攻擊。僵尸網(wǎng)絡(luò)的壯大也使密碼破譯更迅速更容易，能使信息罪犯在數(shù)小時(shí)內(nèi)完成任務(wù)，而這在過去要花幾年的時(shí)間。僵尸網(wǎng)絡(luò)還有其他的用途：如網(wǎng)絡(luò)釣魚式攻擊；點(diǎn)擊欺詐；獲取信用卡號(hào)和安全證書；向信息罪犯提供互聯(lián)網(wǎng)匿名登錄。在最近幾年，罪犯開始利用僵尸網(wǎng)絡(luò)主機(jī)作為代理，用騙人的信用卡購買物品；使用被偷信用卡同一地區(qū)的IP地址購買，買家就能逃避信用卡公司的交易分析。僵尸網(wǎng)絡(luò)另一個(gè)流行作用是挖掘數(shù)字貨幣。目前最大的僵尸網(wǎng)絡(luò)之一ZeroAccess專門攻擊比特幣和點(diǎn)擊欺詐。

僵尸網(wǎng)絡(luò)隨著時(shí)間推移規(guī)模越來越大，技術(shù)也越來越先進(jìn)，早期也許只能控制十幾臺(tái)機(jī)器，如今卻可以控制幾百萬臺(tái)機(jī)器。此外，僵尸網(wǎng)服務(wù)模式也越來越先進(jìn)。一些高級(jí)服務(wù)模式推出限時(shí)僵尸網(wǎng)絡(luò)登錄，或允許客戶以某些目標(biāo)為基礎(chǔ)創(chuàng)建自己的僵尸網(wǎng)絡(luò)，或雇傭?yàn)樘囟康慕⒌姆?wù)器，由表面合法的“網(wǎng)站托管”公司租給用戶。這樣的服務(wù)器比傳統(tǒng)的多用途僵尸網(wǎng)絡(luò)服務(wù)器要強(qiáng)大很多，因?yàn)樘峁┱吣艽_保每臺(tái)機(jī)器只給程序控制者使用，而不用于其他任何目的。

盡管僵尸網(wǎng)絡(luò)的技術(shù)和服務(wù)越來越先進(jìn)，而其租用價(jià)格也隨產(chǎn)品的不同而變化很大，例如，2009年分布式拒絕服務(wù)攻擊24小時(shí)的價(jià)格從50美元到數(shù)千美元不等（取決于執(zhí)行攻擊的僵尸網(wǎng)規(guī)模），而且高端僵尸網(wǎng)絡(luò)仍需很高的成本，但登錄僵尸網(wǎng)絡(luò)（尤其是為發(fā)動(dòng)分布式拒絕服務(wù)攻擊而登錄）的總體成本卻隨著時(shí)間推移而降低了，因?yàn)槭袌錾峡晒┻x擇的很多。

2.零日漏洞

零日漏洞是指軟件賣方?jīng)]有意識(shí)到的、還沒有出現(xiàn)補(bǔ)丁的但卻可資利用的弱點(diǎn)。由于零日漏洞較難發(fā)現(xiàn)，工具制作較難，所以工具價(jià)格就很高。零日漏洞常被用來攻擊公司或目標(biāo)高度鎖定的目標(biāo)。零日漏洞在黑市和灰市都占有一席之地，所以近來越來越受關(guān)注。

目前黑客市場上更為流行的是“半日”軟件，這是指軟件制作者也許知道有缺陷，也有補(bǔ)丁，但用戶很少知道，基本沒有打補(bǔ)丁。這是因?yàn)榇蠖鄶?shù)攻擊并不一定需要零日軟件，“半日”軟件足以滿足消費(fèi)級(jí)的惡意侵入。

在黑客市場中，零日漏洞軟件能被很好記錄，這有助于中介人的確認(rèn)，進(jìn)而讓人正式付錢。就像網(wǎng)絡(luò)犯罪軟件，零日漏洞軟件的銷售也由第三方在研制人員與公司（或政府）之間充當(dāng)中介人，而第三方本身往往就是公司。

零日軟件的價(jià)格從幾千美元到幾十萬美元不等，主要看漏洞的嚴(yán)重性、利用漏洞的復(fù)雜性、漏洞的持續(xù)時(shí)間、賣方的產(chǎn)品以及買家的情況。零日軟件的“單用途”性質(zhì)使它的價(jià)格不低，且隨買家的位置而波動(dòng)，比如哥倫比亞的價(jià)格就低于美國。零日軟件的流行是因?yàn)槠鋬r(jià)格遠(yuǎn)遠(yuǎn)高于公司為發(fā)現(xiàn)自身系統(tǒng)缺陷所付的獎(jiǎng)金，一般能達(dá)到10倍到100倍。

隨著零日軟件市場的流行，惡意軟件及其攻擊可能會(huì)增多。調(diào)查顯示，零日漏洞被披露后，利用這些漏洞的惡意軟件變體的數(shù)量最多能增加8萬倍，攻擊數(shù)量最多能增加10萬倍。這種趨勢雖能調(diào)整價(jià)格，但在其他方面的作用也許是負(fù)面的，柏闊抽干安全廠商的資金，造成其他惡意行為者購買價(jià)格更合理的零日軟件。

近些年來，人們開始討論為零日漏洞建立合法漏洞市場（灰色市場）的可能性，主張政府和安全廠商主動(dòng)購買零日漏洞軟件以防其進(jìn)入黑客市場。這樣的市場如今已經(jīng)存在，但對(duì)于零日軟件買賣是否可以更開放尚無定論。近期一個(gè)趨勢是，關(guān)于零日漏洞的相關(guān)報(bào)道文章增多了，處理零日問題的公司增加了，查漏獎(jiǎng)金項(xiàng)目方興未艾。由此帶來的一個(gè)不利后果就是黑客市場各方開始團(tuán)結(jié)起來，因?yàn)樗麄儞?dān)心會(huì)喪失生活資源。

四、黑客市場的潛在走向

在巨大的利潤驅(qū)使之下，黑客市場短期是不會(huì)消失的，只會(huì)隨著大環(huán)境的變遷而變化和適應(yīng)。近年來由于打擊網(wǎng)絡(luò)犯罪的力度不斷加大，黑客市場已經(jīng)發(fā)生了較大的變化。根據(jù)近年來的這些變化，大致可以推斷出未來黑客市場的基本走向。

第一，隨著更多的數(shù)據(jù)被數(shù)字化，被攻擊的目標(biāo)將會(huì)變得更多，而超級(jí)鏈接為攻擊和利用漏洞打開了更多節(jié)點(diǎn)?，F(xiàn)如今，字節(jié)構(gòu)成了組織皇冠上的鉆石。2003年對(duì)安全最重要的是保護(hù)好公司最有價(jià)值的情報(bào)或物品，而現(xiàn)在所有的東西全都放到了網(wǎng)上，甚至連保健記錄也不例外，這就使得被攻擊的可能性大大增加；預(yù)計(jì)到2020年，連接設(shè)備的數(shù)量將超過連接的人數(shù)，比率將是6：1。IPv6允許人機(jī)互連互訪，從長期來看將會(huì)帶來更大的安全，但在開始時(shí)會(huì)產(chǎn)生較大威脅，給自己電腦打補(bǔ)丁的人會(huì)忘記給其他聯(lián)網(wǎng)設(shè)備打上補(bǔ)丁。

第二，更多活動(dòng)會(huì)轉(zhuǎn)入暗網(wǎng)，更多使用加密貨幣，惡意軟件的匿名能力更強(qiáng)，更注意加密和保護(hù)交流和交易。從全球范圍看，推特等工具可能會(huì)逐漸成為首選渠道；Tor和VPN服務(wù)的使用率會(huì)提高。另外，隨著斯諾登事件之后更多人關(guān)注隱私，采取加密和保護(hù)措施，而對(duì)隱私、加密和保護(hù)的關(guān)注將進(jìn)一步推動(dòng)破解嘗試。隨著更多數(shù)據(jù)在途中加密，數(shù)據(jù)破譯設(shè)備的價(jià)格將會(huì)提高。

第三，攻擊能力有可能超過防衛(wèi)能力。攻擊者只需知道并利用某種攻擊方法即可，而防衛(wèi)者必須了解一切，不僅需要掌握技術(shù)知識(shí)，還需要掌握聯(lián)網(wǎng)、軟件、執(zhí)法、心理學(xué)等知識(shí)。大型公司會(huì)有能力實(shí)現(xiàn)自我保護(hù)，但一般商家則可能受害，因?yàn)樗鼈兛赡軟]有能力跟上新的安全要求。

第四，可供犯罪的網(wǎng)絡(luò)空間日益增多和復(fù)雜，漏洞將繼續(xù)存在，而人的因素仍是弱點(diǎn)。越來越多的交易取決于某種網(wǎng)絡(luò)、數(shù)字或電腦設(shè)備，在補(bǔ)丁自動(dòng)部署技術(shù)被開發(fā)并實(shí)施之前，未打補(bǔ)丁的漏洞繼續(xù)存在于系統(tǒng)之中，網(wǎng)絡(luò)釣魚攻擊活動(dòng)將變得更為先進(jìn)。

第五，攻擊者將繼續(xù)創(chuàng)新并改變策略。包括將出現(xiàn)更多雙分叉或多級(jí)攻擊（系列攻擊），攻擊變得更有創(chuàng)造性和誤導(dǎo)性，看起來像分布式拒絕服務(wù)攻擊，但實(shí)際上是潛越攻擊；具有更持久破壞力，例如給個(gè)人文件加密、要求付錢才能打開的加密鎖定型勒索攻擊；多態(tài)性惡意軟件，每次安裝都有不同，從而避開殺毒廠商的檢測；能逃過惡意軟件分析師眼睛的虛擬感知型惡意軟件以及整體竊取行為。

第六，將會(huì)有更多受雇性的黑客行為、服務(wù)黑客和經(jīng)紀(jì)人。技術(shù)能力外包的概念大大減少了介入黑客市場的障礙。雖然服務(wù)性模式將繼續(xù)發(fā)展，但可能會(huì)有變化——尤其是提供服務(wù)者儲(chǔ)存數(shù)據(jù)、客戶列表和記錄的方式。

第七，社交網(wǎng)和移動(dòng)設(shè)備將成為攻擊重點(diǎn)。針對(duì)安卓系統(tǒng)的移動(dòng)惡意軟件（占移動(dòng)攻擊的70%）開發(fā)將將拓展到針對(duì)谷歌、設(shè)備制造商和服務(wù)供應(yīng)商合作開發(fā)的升級(jí)和補(bǔ)丁方法。

第八，執(zhí)法部門可能反而成為受害人。增加逮捕和取締意味著增加媒體報(bào)導(dǎo)，從而使黑客更了解黑客市場所提供的機(jī)會(huì)，黑客對(duì)調(diào)查技術(shù)的了解也增加了執(zhí)法的難度。另外，此前的執(zhí)法是以過去限制較少的法律為基礎(chǔ)的?？紤]到斯諾登事件引發(fā)的隱私問題討論，未來的法律也許會(huì)限制執(zhí)法部門的行為（例如，如何取得搜查授權(quán)，如何收集信息）。

第九，一流黑客可能會(huì)離開黑市轉(zhuǎn)而投身灰市。出于安全的考慮，一流的黑客可能會(huì)從黑市脫身，進(jìn)入相對(duì)安全的灰色市場，而一般的黑客將繼續(xù)留在黑市，有可能成為黑客市場的老大。

五、結(jié) 語

黑客市場過去是個(gè)人在自我標(biāo)新立異的推動(dòng)下形成的特殊網(wǎng)絡(luò)，現(xiàn)在卻成了高度有組織集團(tuán)的“角斗場”，且往往與傳統(tǒng)犯罪集團(tuán)（如毒品卡特爾、黑手黨、恐怖組織）有聯(lián)系。這對(duì)全球網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重危害，需要采取各種手段加以有預(yù)防、打擊和取締。近年來黑客市場的發(fā)展和變化也對(duì)企業(yè)、政府提出了進(jìn)一步挑戰(zhàn)，也由此形成了一些需要加以重點(diǎn)研究的課題，那就是怎么運(yùn)用經(jīng)濟(jì)和法律手段引導(dǎo)和抑制黑客市場的發(fā)展。比如：安全技術(shù)機(jī)構(gòu)和執(zhí)法機(jī)制如何改變方式來阻止黑客市場的崛起？網(wǎng)絡(luò)安全公司應(yīng)該如何改進(jìn)方法來阻止攻擊？執(zhí)法機(jī)構(gòu)采取哪些策略才能最有效地追緝頂層和底層的黑客市場買賣雙方？全球的行政與執(zhí)法機(jī)構(gòu)有沒有可能在適當(dāng)?shù)臅r(shí)候進(jìn)行國際合作，在抓捕、起訴和引渡方面達(dá)成共識(shí)？是否應(yīng)該強(qiáng)制對(duì)終端加密，強(qiáng)制規(guī)定具有更安全更有力口令和用戶證書的儲(chǔ)存行為，實(shí)施加密銀行卡？怎樣使合法公司設(shè)立懸賞項(xiàng)目或提高報(bào)酬和獎(jiǎng)勵(lì)，使人才和交易脫離非法市場進(jìn)入合法企業(yè)？是否值得建立假冒的信用卡商店、平臺(tái)和場所，用冒牌產(chǎn)品淹沒黑客市場？在打擊毒品和武器買賣犯罪上有哪些經(jīng)驗(yàn)教訓(xùn)可以用于信息犯罪市場？這一系列問題仍有待進(jìn)一步調(diào)查研究，相信這些問題一旦得到解決，黑客市場的發(fā)展勢頭將會(huì)得到有效遏制。