提到黑客大部分人可能會(huì)戴上有色眼鏡去對(duì)他們?cè)u(píng)頭論足,竊取個(gè)人隱私、危害企業(yè)安全,甚至于進(jìn)行國(guó)家網(wǎng)絡(luò)設(shè)施破壞,這些都是大家在電影中所看到的黑客。
提到黑客大部分人可能會(huì)戴上有色眼鏡去對(duì)他們?cè)u(píng)頭論足,竊取個(gè)人隱私、危害企業(yè)安全,甚至于進(jìn)行國(guó)家網(wǎng)絡(luò)設(shè)施破壞,這些都是大家在電影中所看到的黑客。
而在現(xiàn)實(shí)中,黑客并不都是大家所想象的那般。黑客其實(shí)是由外語(yǔ)Hack音譯而來(lái),又稱(chēng)駭客,本身并沒(méi)有任何貶義成分在其中。黑客大致可以分為三種“顏色”:白、黑、灰。那具體又是如何來(lái)進(jìn)行劃分的呢?
360安全獵網(wǎng)平臺(tái)負(fù)責(zé)人裴智勇用一個(gè)形象的比喻進(jìn)行了說(shuō)明:“黑客這個(gè)詞在安全上沒(méi)有褒義和貶抑,分白帽子、黑帽子或灰帽子,看到你家門(mén)沒(méi)關(guān)進(jìn)去偷東西的是黑帽子,看到你家門(mén)沒(méi)關(guān)進(jìn)去偷完?yáng)|西的再告訴你把門(mén)關(guān)了是灰帽子,看到你家門(mén)沒(méi)關(guān)告訴你關(guān)上的是白帽子。”而我們今天所要說(shuō)的就是代表正義的“白帽子”。
3月30日,補(bǔ)天白帽大會(huì)在深圳舉行。大會(huì)由補(bǔ)天漏洞響應(yīng)平臺(tái)主辦,指導(dǎo)單位包括國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)信息安全測(cè)評(píng)中心和國(guó)家信息技術(shù)安全研究中心。360互聯(lián)網(wǎng)安全中心、hacker one、 聯(lián)想SRC,百度SRC等30多家企業(yè)和機(jī)構(gòu)均派出代表參加。
“萬(wàn)物互聯(lián)”下的安全憂患
如同人類(lèi)用語(yǔ)言進(jìn)行表達(dá)時(shí),會(huì)經(jīng)常出現(xiàn)語(yǔ)法、邏輯上的錯(cuò)誤一樣,計(jì)算機(jī)語(yǔ)言中的“語(yǔ)法錯(cuò)誤或邏輯性錯(cuò)誤”,都叫做“漏洞”。齊向東說(shuō),“漏洞很容易被人拿來(lái)進(jìn)行網(wǎng)絡(luò)攻擊,就像我們說(shuō)話不注意出現(xiàn)了瑕疵之后讓人抓住了把柄,‘有心之人’會(huì)拿住這些話反過(guò)來(lái)攻擊我們。在計(jì)算機(jī)領(lǐng)域也是一樣”。
漏洞被非法利用有何危害?齊向東認(rèn)為危害在不同時(shí)期有著不同的嚴(yán)重性:在以?xún)?nèi)容和應(yīng)用為核心的“消費(fèi)互聯(lián)網(wǎng)”時(shí)代,被網(wǎng)絡(luò)攻擊會(huì)丟隱私、丟錢(qián),會(huì)“傷財(cái)”;而在已經(jīng)來(lái)臨的以大數(shù)據(jù)為核心的“工業(yè)互聯(lián)網(wǎng)”時(shí)代,互聯(lián)網(wǎng)背后是生產(chǎn)線、控制系統(tǒng),直至萬(wàn)事萬(wàn)物。一旦遭受網(wǎng)絡(luò)攻擊,會(huì)控制失靈、車(chē)毀人亡,危及生命,是“損命”。
近兩年,全球范圍內(nèi)先后發(fā)生了多起引起廣泛關(guān)注的,針對(duì)工業(yè)、能源等關(guān)鍵基礎(chǔ)設(shè)施的攻擊,除了竊取敏感數(shù)據(jù)以外,更多是以直接破壞工業(yè)設(shè)備系統(tǒng)為目標(biāo),使目標(biāo)系統(tǒng)癱瘓、日常作業(yè)流程無(wú)法正常運(yùn)轉(zhuǎn),嚴(yán)重者可大面積威脅百姓生命財(cái)產(chǎn)安全。2016年4月,德國(guó)核電站原料添加系統(tǒng)遭遇網(wǎng)絡(luò)攻擊,檢查人員發(fā)現(xiàn)系統(tǒng)內(nèi)被植入破壞性木馬,安全起見(jiàn),核電站被臨時(shí)關(guān)閉;去年,卡巴斯基掃描了全球170個(gè)國(guó)家和地區(qū)的近20萬(wàn)套工業(yè)控制系統(tǒng),其中92%都存在安全漏洞,有遭遇黑客攻擊、接管甚至破壞設(shè)備正常運(yùn)行的風(fēng)險(xiǎn)。
有統(tǒng)計(jì)顯示,網(wǎng)絡(luò)攻擊每年給企業(yè)造成的損失高達(dá)5000億美元,這個(gè)數(shù)字每年還在大幅上升。在針對(duì)企業(yè)的攻擊中,重點(diǎn)關(guān)注的領(lǐng)域依次是:通信網(wǎng)絡(luò)、電子電器、海洋與港口、能源化工、交通運(yùn)輸、航空航天和網(wǎng)絡(luò)安全。2015年,菲亞特克萊斯勒汽車(chē)美國(guó)公司在美國(guó)召回旗下大切諾基、自由光等車(chē)型共140萬(wàn)輛汽車(chē),原因是這些車(chē)型存在重大安全漏洞,可能會(huì)讓黑客遠(yuǎn)程劫持車(chē)輛。
安全是發(fā)展的前提,在工業(yè)互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)安全至關(guān)重要。今年2月,國(guó)家發(fā)展改革委已批準(zhǔn)由360公司牽頭承建大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室,重點(diǎn)開(kāi)展數(shù)據(jù)匯聚隱私保護(hù)、數(shù)據(jù)防泄漏、系統(tǒng)漏洞分析、安全協(xié)同分析、大數(shù)據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估與安全監(jiān)測(cè)等技術(shù)的研發(fā)和工程化工作;美國(guó)國(guó)防高級(jí)研究計(jì)劃局日前啟動(dòng)開(kāi)發(fā)項(xiàng)目,核心目標(biāo)是開(kāi)發(fā)能夠檢測(cè)且自動(dòng)響應(yīng)針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的技術(shù),參與者包括雷神公司、斯坦福研究院等主要供應(yīng)商,還包括美國(guó)國(guó)土安全部和其下屬的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組等政府機(jī)構(gòu)。網(wǎng)絡(luò)安全防護(hù),正在成為國(guó)家基礎(chǔ)設(shè)施領(lǐng)域建設(shè)的重要部分。
眾測(cè)之力鎖牢安全屏障
在世界范圍內(nèi),科技型公司和重視品牌建設(shè)的企業(yè),已經(jīng)在“挖漏洞”上先行一步。美國(guó)知名漏洞眾測(cè)平臺(tái)HackerOne首席運(yùn)營(yíng)官王寧表示,越來(lái)越多的美國(guó)公司意識(shí)到,過(guò)去僅僅依靠幾名技術(shù)人員維護(hù)安全的做法已經(jīng)過(guò)時(shí)。除了加強(qiáng)安全團(tuán)隊(duì)建設(shè),這些公司也開(kāi)始與第三方平臺(tái)合作,借白帽黑客眾測(cè)之力,鎖牢安全屏障;近年來(lái),我國(guó)不少企業(yè)也紛紛組建安全應(yīng)急響應(yīng)中心,提高安全防御能力。在烏云、補(bǔ)天、威客眾測(cè)等第三方漏洞響應(yīng)平臺(tái)上,企業(yè)授權(quán)白帽黑客進(jìn)行漏洞挖掘,并根據(jù)漏洞的危害程度、影響范圍提供相應(yīng)獎(jiǎng)勵(lì),激勵(lì)越來(lái)越多的黑客戴上象征正義的“白帽子”。
以國(guó)內(nèi)最大的在線旅行服務(wù)商攜程旅行網(wǎng)為例,攜程有開(kāi)發(fā)人員3000多人,卻只有40名安全人員。在攜程旅行網(wǎng)信息安全總監(jiān)凌云看來(lái),“以40人之力保障由3000多人開(kāi)發(fā)出來(lái)的程序的安全性,毫無(wú)疑問(wèn)是不夠的”。攜程希望借助白帽黑客的力量讓其系統(tǒng)更安全,過(guò)去一年,攜程為各大漏洞響應(yīng)平臺(tái)的白帽子支付了約百萬(wàn)元獎(jiǎng)勵(lì)。
“網(wǎng)絡(luò)安全生態(tài)體系的建設(shè)必須群策群力、久久為功,單靠一家公司、一個(gè)組織是不可能完成的。技術(shù)共享、人才共享和更廣泛、更及時(shí)的漏洞響應(yīng)是未來(lái)的趨勢(shì)。”齊向東說(shuō)。國(guó)內(nèi)的補(bǔ)天平臺(tái)注冊(cè)白帽已達(dá)到31633名,他們自2013年起累計(jì)發(fā)現(xiàn)了20多萬(wàn)個(gè)漏洞,企業(yè)為這些白帽發(fā)出獎(jiǎng)金近900萬(wàn)元;美國(guó)的HackerOne已擁有來(lái)自150多個(gè)國(guó)家的注冊(cè)白帽約11萬(wàn)名,他們自2013年起累計(jì)發(fā)現(xiàn)了18萬(wàn)多個(gè)漏洞,其中有4萬(wàn)多個(gè)漏洞已經(jīng)被修復(fù)。
精英白帽的“自我修養(yǎng)”
為了更加貼切的了解白帽黑客,我們也對(duì)補(bǔ)天平臺(tái)的兩位白帽子“U神”和“華不再揚(yáng)”進(jìn)行了交談,在和他們交談過(guò)程中我們了解到,白帽子在日常的挖漏洞工作中會(huì)受到種種誘惑,據(jù)初步估計(jì),黑帽子一天的收入就可以和白帽子辛苦一個(gè)月的挖漏洞所得相媲美。
如果仔細(xì)觀察大家不難發(fā)現(xiàn),白帽子團(tuán)隊(duì)成員普遍為85后、90后甚至95后的年輕人,這是這群略顯稚嫩的年輕人在巨大的利益面前經(jīng)受住了金錢(qián)的誘惑,對(duì)他們來(lái)講實(shí)屬不易。當(dāng)然這都得益于補(bǔ)天為這些年輕的白帽提供了發(fā)展平臺(tái),對(duì)白帽子進(jìn)行法律培訓(xùn),技術(shù)培養(yǎng),才使得他們能夠用技術(shù)去造福社會(huì),而非對(duì)社會(huì)造成危害。
大多數(shù)白帽黑客,有著與“華不再揚(yáng)”相似的特征:年輕激進(jìn)、性格單純、學(xué)歷不高但對(duì)技術(shù)十分狂熱。這些涉世未深的白帽黑客,在網(wǎng)絡(luò)空間中俠肝義膽、叱咤風(fēng)云,但現(xiàn)實(shí)世界里他們出自善意的“挖漏洞”行為,卻可能給自己招來(lái)大麻煩。
2015年,烏云網(wǎng)某注冊(cè)白帽提交了某婚戀網(wǎng)站一個(gè)涉及大量會(huì)員信息的漏洞,當(dāng)時(shí)該網(wǎng)站確認(rèn)了這一漏洞,向白帽致謝并予以修復(fù)。不過(guò),該網(wǎng)站隨即向公安局報(bào)案稱(chēng)“有4000余條實(shí)名注冊(cè)信息被不法竊取”。不久后,以涉嫌“非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)犯罪”之名,該白帽被逮捕。
這一事件在黑客中掀起了軒然大波。一位普通白帽,不牟取任何私利,只是義務(wù)檢測(cè)漏洞,發(fā)現(xiàn)漏洞后告知廠家,也算是犯罪嗎?
在齊向東看來(lái),這個(gè)案例反映出企業(yè)和白帽黑客之間的微妙關(guān)系:不敢溝通、不敢交流,互不信任。他用了一句俗語(yǔ)來(lái)形容這個(gè)關(guān)系:“麻桿打狼兩頭怕”。
“盡管多方力量嚴(yán)加把控,白帽的不少細(xì)微動(dòng)作仍可能在無(wú)意中碰觸邊界。‘挖洞’時(shí)必須盡量低調(diào)、點(diǎn)到為止。”經(jīng)驗(yàn)豐富的白帽“U神”說(shuō),“對(duì)于黑色產(chǎn)業(yè)尤其要多加小心。許多進(jìn)入黑色產(chǎn)業(yè)的人,最初是因?yàn)樯顗毫π枰嵏噱X(qián),他們認(rèn)為可以做一次就‘金盆洗手’,但感受過(guò)黑色產(chǎn)業(yè)的賺錢(qián)速度后,就會(huì)鋌而走險(xiǎn)繼續(xù)干,直到陷入深淵”。
“華不再揚(yáng)”比照佛教中的“力戒‘貪嗔癡’三毒”,來(lái)形容白帽黑客自我修養(yǎng)的最高境界。“戒貪。要認(rèn)清自己的原則,遵照漏洞挖掘測(cè)試規(guī)定的事項(xiàng),發(fā)現(xiàn)安全風(fēng)險(xiǎn),協(xié)助廠商解決問(wèn)題;戒嗔。或許有些漏洞計(jì)劃,獎(jiǎng)勵(lì)不能如自己所愿,也不要計(jì)較;戒癡。雖然黑色產(chǎn)業(yè)的誘惑很大,但不可隨波逐流,要理智地看待問(wèn)題。”
時(shí)代巨輪滾滾前行,工業(yè)互聯(lián)網(wǎng)如約而至。繁雜的互聯(lián)網(wǎng)生態(tài)與多變的人性,為黑客的色譜添上無(wú)窮的灰度。顏色深淺各異的黑帽、白帽與灰帽,在網(wǎng)絡(luò)叢林間展開(kāi)的對(duì)抗與博弈,或許才剛剛開(kāi)始。
微信掃碼關(guān)注 億華聯(lián)眾 公眾號(hào)