大家好,我是讯享网,大家多多关注。
勒索病毒“WannaCry”肆虐全球,黑客再次引起人们的关注。人们不知道的是,黑客是伴随着一群叫做白帽子的人的。
艾财经社(ID:经济周刊)
文|孙静
编辑|周纯麟
互联网安全圈对“非黑即白”特别敏感。
比如邓欢,一个90后从业者,现在更愿意称自己为“安全研究员”,而不是“黑客”、“白帽子”。
在大多数人的印象中,“黑客”是一个能用手指给银行账户加上一串天文数字的年轻天才,是电影中轻松突破美国国防部安全系统的计算机专家,是勒索软件“WannaCry”、“熊猫烧香”等恶性病毒的制作者。虽然“白帽子”指的是黑客中的守法群体,但还是很难打消对他们的各种猜疑:会不会是“白天白帽子,晚上黑帽子”?
邓焕也不避讳——几乎每个白帽子都会被黑品诱惑。他在高三的时候收到了一份价格几十万元的“邀请”,希望他攻击国内某知名央企的OA系统,窃取财务报告。90后的“兰琪夜空间”也多次在QQ上收到月薪10万元的“海外工作机会”。
他们年轻时就学会了保持警惕。这是一个如履薄冰的爱好。如果说85前一代人是靠自由共享的黑客精神完成自我提升的,那么85后和90后这一代人注定要在利益交织的隐秘江湖中经受法律和人性的多重考验。
因为黑与白的界限有时候不是那么清晰。
耶律齐
在外人面前,“瑜伽蓝夜空间”从不主动暴露身份。
当他年轻的时候,他喜欢炫耀他的技能。他的同学朋友得知他是黑客后,纷纷抛出各种不靠谱的“求助”:能不能刷点Q钻?怎么找回被盗的QQ?你能帮我查一下你女朋友的手机吗?做木马程序?……还有年长的亲戚打来电话:家电坏了,你能过来修一下吗?
他好脾气地反复解释:我不会,或者说我不会做违法的事。
“瑜伽蓝夜空间”有一张童真的脸。他高中辍学,18岁参加工作,今年刚满20岁。当我们第一次见面时,他像一个害羞的中学生一样紧紧抓住桌子的边缘。这与“贾兰·俞晔”在黑客圈的活跃形成了鲜明对比。在JD.COM、搜狗、腾讯等大厂商的SRC(安全响应中心)都获得了不错的排名。以前的同事记得他有一叠JD.COM购物卡,都是他挖坑时的平台奖励。每个人购物前都来找他换钱。
说起来很有意思,《瑜伽蓝夜空间》研究黑客技术,最初只是为了外挂。
初中的时候,他迷恋上了一款网游,叫《地下城勇士》。被黑后,他愤怒地报了一个网上外挂班。300块钱的学费是他半个月的生活费。还要计算净成本。
但后来剧情发生了转折。因为外挂带来的成就感远远高于升级打怪兽的快感,“网瘾少年”沉迷于黑客技术。他开始自学,大嚼《不安全》,一本关于网络技术安全的杂志,当年29元卖。
很多80后、90后黑客都有类似的经历。随着个人PC的兴起,电脑杂志潜移默化的影响了一批人。白帽俱乐部联合创始人邓欢记得自己买了一堆黑客杂志,比如《黑客手册》、《黑客防线》、《黑客X档案》等等。,来自他办公桌上的一份QQ技术合集。一开始就像读天书一样。很多东西我都不懂,但是觉得很有意思。于是我就继续读下去,慢慢明白了漏洞的成因。
之后就是实战了。
“嘉兰俞晔”首先入侵了虚拟商品交易平台“卡蒙”商城。他点击了右上角的管理员登录,顺手输入了一个弱密码“admin”(超级管理员),进去了。当时很多网站的默认密码都是“admin”或者123456,安全性比较差。
下面的故事就像一个贸然闯入别人后花园的孩子。他发现院子里没人,就随便摘了几朵玫瑰,扬长而去。控制管理员后台,“贾兰俞晔”不花一分钱,连续为自己和同学刷Q钻。更多的同学来找他,他成了大家眼中的伟人。成就感暗暗膨胀。
邓桓也做出了很大的成绩。初中的时候,有人加他QQ,要了几十万元从某央企办公自动化系统里偷财务报表。我承认我当时很激动,但我隐约觉得这不公平,就告诉了父母。第一个黑诱惑被及时干掉了。
高中的时候,他测试了一个政府部门的官网,检测出很多漏洞后,发了一封邮件。对方的第一反应竟然是:你怎么知道自己的邮箱?至于漏洞本身,网站管理员并不关心。
毕业前,湖南某知名企业招聘信息安全人员。邓焕先测试了企业官网,然后渗透到内网。发现系统漏洞后,他整理了一份报告,当晚就发了出去。第二天,公司通知他去面试。双方聊得很好,最后却卡在了学历上。据说集团有统一要求,至少本科学历。
邓焕去了互联网公司。互联网圈一直都是技术谈,不太在乎学历和专业。白帽黑客确实大多是“野生”,靠兴趣自学成才。比如邓焕曾经任职的董家360公司信息安全部负责人TK(腾讯玄武实验室创始人,余云),大学学考古专业,是博士。
相比之下,信息安全专业的邓欢已经算是一个合格的专业人士了。24岁时,他被提升为漏洞响应平台的负责人之一。见过他的人都说邓焕美清秀的脸上充满了超越年龄的世故。
我问“贾兰·俞晔”当黑客最有成就感是什么时候?他一点也不犹豫:“挖一个影响特别大的漏洞。”
在线狩猎
“瑜伽蓝夜空间”到目前为止挖的最大的坑就是微软的“撞库”。数据库碰撞是黑客在互联网上收集用户和密码的泄露信息,生成相应的字典表,并尝试批量登录其他网站,进而获得一系列可以登录的用户。
他断断续续挖了一个星期。每天晚上9点,我从公司回到顺义的出租屋,第一件事就是打开笔记本上的扫描工具。每天挖到凌晨三四点。如果当晚一无所获,你会不由自主地感到沮丧,觉得自己的时间被浪费了。
像一个直觉敏锐的猎人,一天晚上,他终于找到了猎物的下落——微软系统存在“撞库”的风险。要知道,微软如果做出任何可能被黑的漏洞,影响都是世界级的。比如最近袭击全球城市的勒索软件就是一个写照。
提交漏洞后,他很快获得了微软3000美元的奖励。国外大型互联网公司,如微软、谷歌、脸书等。都有相对成熟的SRC机制或漏洞奖励计划,鼓励外部安全测试人员帮助企业维护系统安全。
从2012年开始,中国第一企业SRC是腾讯的自建平台。阿里、百度、搜狗等互联网公司相继成立了SRC。
安全界总结,正是因为SRC,中国才出现了白帽子的概念,越来越多的黑客可以通过“挖洞”技术获得收入。
普通人想象中黑客技术高超,但现实中“挖坑”的门槛极低。
邓焕记得,五六年前,国内几乎没有互联网安全保护的概念。中国漏洞最多的网站是政府和大学。“当时情况有多糟?随便一个网白,用工具扫一扫,就能入侵好几个网站。”
网上有一大批人被业内称为“脚本小子,工具党”。他们不懂漏洞原理,只会用黑客工具,还是收获很大。
“瑜伽蓝夜空间”估计,如果会一点编程,用黑客工具扫描漏洞,月收入能达到几万元。
他大多晚上兼职挖坑,最高月收入4万元。仅在搜狗SRC,他就挖了包括输入法在内的四五十个坑,获得奖金近5万元。一年下来,兼职收入十几万。
但他强调,只想赚钱的人是学不好黑客技术的。
乌云创始人方小顿。com,曾经说过一个白帽黑客,除了对技术感兴趣,还要有一个正能量的理想。
这种理想的东西在80后一代黑客身上尤其明显。邓桓形容85前的黑客是理想一代。他们低调,愿意分享交流技术,挖坑不是为了钱,只是为了证明个人能力,获得成就感。
虽然出生于1990年,但邓焕在心理认同上更接近80后。
“贾兰俞晔”是个标准的95后,但他不喜欢年轻一代黑客的张扬和浮躁。有人挖了个坑,在知乎说了,显示攻击日志。很多人挖洞只是为了钱或者名气。
他估计国内从业者至少有几万人,但顶级黑客应该不到100人。或者他们隐匿江湖,在BAT中身居要职;或者办学校,自己创业当老板。
目前白帽黑客的主力是90后。
“走在岸边,尽量不要走在河边”
网络安全是一把双刃剑,黑客很难百分百清白。在解释这句话之前,邓桓抛出了一道选择题:“白帽子在没有通知对方的情况下,做渗透测试,提交漏洞,你觉得合法吗?”
这就是行业曾经面临的困境——法律界限模糊。公考本身就是一个比较模糊的概念,考试的哪一步应该停止?在不违反法律的情况下,可以获得多少条数据来验证漏洞的存在?这些问题以前都没有明确的定义。
曾经某大型知名互联网公司被乌云曝出数据泄露。但圈内人都知道,至少在半年前,公司的数据就已经在地下流传,而公司自己并不知情。
邓焕的搭档,安全圈里的“老大”吴钊,在他的个人微博里发出了匿名警告。对方没有回应。
很多人会问,为什么不主动提醒企业?
“如果我主动来找你,说你家有安全问题。你的第一感觉是什么?你会认为我勒索你。”邓桓苦笑了一下。
白帽黑客的担忧不无道理。2015年底,小伙子魏源在乌云平台上提交了一个世纪佳缘的系统漏洞。一个月后,世纪佳缘报告称“网站数据被非法窃取”,魏源被捕。在业内人士看来,魏源找漏洞、提交漏洞的行为并没有越界,白帽子一般都会做这个测试。
这已经成为安全圈的标志性事件。灰色地带的白帽黑客开始重新审视法律界限。
2016年7月,又一个转折点发生了:中国最大的白帽黑客聚集地Wuyun.com被关闭,多名高管被警方带走调查。
安全圈充满恐惧,尤其是Wuyun.com排名靠前的黑客,几乎陷入集体焦虑。邓欢说,很多人都进入了“倒带”状态,回忆自己是否在不知情的情况下踩线,或者触碰敏感数据。
有一段时间,“贾兰俞晔”格外警惕,轻易停止了对一些网站的测试。除非授权,“怕误伤”。他给自己定了一个规矩:沿着岸边走,尽量不要在河边走。
有些黑客团体还会对成员提出明确要求:公司必须授权他们做测试。做远程评估穿透,必须拿到对方的书面授权文件。
尤其是今年6月1日之后,新实施的网络安全法第26条已经明确定义了白帽黑客。“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络入侵等网络安全信息,应当遵守国家有关规定。”
受乌云网事件影响,部分企业安全人员情绪有点低落。在乌云的顶峰,企业被曝光,就像经历了一场恐慌的公关危机。一些企业开始重视网络安全,招聘安全人员。“贾兰·俞晔”的一个朋友当时加入了一家小公司。刚开始这个朋友特别受重视,每次产品会都被公司叫去;后来乌云落下,没人举报(漏洞)。他变得越来越边缘化。没有会议通知和安全要求,他只好乖乖离开。
快一年了,依然没有乌云和其高管的最新消息。
一位业内人士评价,乌云社区的存在有利有弊:标榜自由的理想,汇聚了一批热爱技术的人,为安全行业做出了重大贡献;但与此同时,这种漏洞发布方式也不排除会有从事非法生产的人混入其中,牟取暴利。
《黑产的诱惑》
圈子里总有人过一段时间就会莫名其妙的消失。直觉闷声闷气地告诉“瑜伽蓝夜空间”又有人要发财了。
“巨富”就是黑产。白帽和黑产从业者都是“漏洞猎人”。不同的是,前者的猎物是漏洞本身,后者则是猎取企业和网民,通过掠夺来攫取财富。在这种人眼里,技术可能只是让银行卡数量越来越长的神奇工具。
“瑜伽蓝夜空间”在黑客技术交流论坛上认识了一个网名叫“大师”的年轻天才,技术特别厉害。后来两人在朋友聚会上认识,一起喝酒唱歌。
但他最后一次见到“法师”是在一张新闻照片上。2016年8月19日,山东一名准大学生徐玉玉被一个诈骗电话骗走了5000元学费。这个18岁的女孩在绝望中死去,震惊了全国。警方侦破此案时发现,一非法黑客利用网站安全漏洞,入侵“山东2016年高考网上报名信息系统”,下载60余万条高考考生信息,并在网上非法出售,获利5万余元。这包括徐玉玉的个人信息。
“贾兰·俞晔”发现这个嫌疑犯看起来很面熟——正是“法师”本人。
一声叹息。
《瑜伽蓝夜空间》也曾遭遇过黑产的诱惑,但自嘲“怕有钱花”。
“我感觉他(“法师”)是那种有钱花的人。”“贾兰·俞晔”发现黑人工人会从各大制造商的白帽名单中挖人。对方一上来就说新加坡和菲律宾有工作机会,年薪百万,保证绝对安全。优惠条件还包括每天换模特,换女朋友。
这种待遇极具诱惑力。毕竟要想成为国内的大神黑客,年收入可以达到百万。
黑人工人过着与白帽子完全不同的生活。邓焕身边有人炫耀,做黑产一天收入上万。有些人花很多钱。出去吃一顿饭就要几千,然后他们就买各种豪车和奢侈品。但近年来,国家对网络安全越来越重视,一些非法黑客因为多年前的犯罪记录被翻出而锒铛入狱。“就像贪官,有了第一次(受贿),就觉得特别容易拿钱,但是很难收手。”
一位“回国”的朋友还告诉“贾兰·俞晔”,出国后,“组织”会收缴护照,就像MLM组织收缴身份证一样。
大型互联网公司通常不会雇佣背景不清或有“污点”的安全研究员。不识黑白是一件很可怕的事情,有可能会演变成企业危机公关。今年3月,央视报道称,JD.COM前员工郑某鹏被曝与黑产团伙长期勾结,从其工作的多家互联网公司窃取个人信息,并在网上出售。
消息一出,很多用户担心自己的个人信息被泄露。后来JD.COM出来澄清,公司在与腾讯联合打击信息安全地下黑色产业链的日常行动中,发现该员工是黑产团伙成员,随即报警。“由于该员工入职时间不长,权限不高,泄露的信息是否包含JD还有待考证。COM相关信息。
也有商业上的竞争对手用安全来换文章。“白帽交易所”为一个做2B生意的客户服务。下一轮融资前几天,公司用户数据批量被盗。入侵者给每个客户发邮件,指出系统不安全,直接影响下一轮融资。
接手后,邓焕和同事们分析网络日志,追根溯源。结果他们发现系统安全存在漏洞,被攻击者利用。考虑到攻击的时间至关重要,该客户推断是竞争对手所为。
邓欢入行七八年,听过太多以安全为工具的商战故事——有些公司为了抢客户,直接入侵竞争对手的数据库,窃取客户信息,然后通过电话推广。
这也是邓焕选择创业的一个原因:大量企业的“后花园”并不安全,“篱笆门”需要一把锁,把不速之客挡在外面。他们需要做的是为企业提供定制化的安全解决方案,收集威胁信息,在事前、事中、事后提醒企业。
团队的业务线之一就是卧底黑产。在互联网上,QQ是非法劳工的主要聊天渠道。他们派人加入集团,系统监控黑产集团上百个,总人数一万人。
黑产针对的是谁,攻击的是谁,你要拿走谁的数据,哪些公司的数据在地下贩卖等等。,这些都构成了威胁信息的内容。
不久前,他们发现QQ群里有人出售某知名电商网站的最新订单数据。经过初步确认,邓焕的团队发现订单确实存在。因为和网站安全负责人见了面,就直接把这个情况告知了对方。
获得授权后,他们充当企业和黑产之间的“连接器”,互相帮助回购一批数据,验证真伪,找出问题所在。最后追查到某省某快递公司系统存在漏洞,导致客户资料被出售。快递公司连夜报警。
在世界上,数据已经成为一种交易商品。有些要一两元。早些年,三四百块钱就能买一整套身份证和银行卡,都是别人名下的。即使是现在,在QQ里也能找到。在百度的网盘里,输入一些关键词,就可以搜索出数百万条与个人信息相关的数据。
还有不法黑客,为了炫耀,会在某个网页后面挂一个黑页,留下自己的QQ号。黑页属于网站二级目录,需要管理员权限才能创建。白帽监视器,会向企业发送信息。
越来越多的企业对安全性非常敏感。“瑜伽蓝夜空间”曾经开了一个扫描仪,一边扫描,一边浏览知乎的网页。第二天,知乎技术人员看到了攻击日志,根据ID找到了。说得好听点,公司在招安保人员。但是五六年前,白帽提交漏洞或者主动联系厂商,别人一般都不理会。
网络安全的剑与盾
在望京一家快餐店结账时,“珈蓝神殿俞晔”认真地盯着收据,喃喃自语,“我说发短信,但我不是会员。他们怎么知道我的手机号?”
直到我确定他误解了字面意思,他才把注意力转向食物本身。
安全圈的人都很敏感。他们比任何人都清楚,目前信息泄露的成本很低。邓欢发现,遇到信息泄露,只能抱怨:“又被卖了,自己的个人信息没被泄露出去才厉害。”
中国互联网协会数据报告显示,78.2%的网民个人身份信息被泄露,63.4%的网民个人网上活动信息被泄露。有媒体报道过,在黑产集团,700元可以买到一个人的行踪,包括开房、坐飞机、去网吧等11条记录。要获取这些信息,只需要提供一个手机号码。
安全圈对我们公司空这个早就习以为常了。邓欢从来不用自己的真实姓名和个人手机号点外卖。他身边很多人用的是“阿里小号”,绑定的是实体SIM卡。点餐、网站注册或购物时,App会自动生成另一串电话号码,并显示在对方平台上。
邓焕对实名登记制度的态度极为谨慎:互联网实名登记制度必须以系统安全或保护公民隐私为前提。一旦信息泄露,影响就不好了。比如韩国,公民上网时被要求访问个人信息,但发生了数据库泄露,可能导致国家公民信息被从数据库中拿掉。中国也发生过因社保系统漏洞导致多省公民社保信息泄露的事件。在网站注册的时候,你必须输入你的身份证号码,除了BAT,其他的邓都愿意放弃注册。
“玉兰俞晔”的敏感更多的是一种拆快递时的强迫症。他必须撕掉快递收据。如果他撕不开,就会用刀划开,然后扔掉。他从来不用公共Wi-Fi,也不会为了收便宜的礼物,用手机扫描或者注册一些乱七八糟的网站。
今年6月1日生效的《网络安全法》可能会在一定程度上降低个人信息被泄露的概率。该法第四十二条明确了经营者的责任:“网络经营者应当采取技术措施和其他必要措施,保障其收集的个人信息的安全,防止信息泄露、毁损、灭失。个人信息泄露、损毁或者丢失时,应当立即采取补救措施,并及时告知用户,按照规定向有关主管部门报告。”否则,轻者将被警告和罚款。“情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照”。
高悬的达摩克利斯之剑。
这也意味着,发现网络漏洞或网站被黑后,企业不能放任不管。对于中国的互联网安全来说,这部法律的实施是一个良好的开端。
邓桓认为,这对于白帽黑客来说,可能是一件好事。
【本文将刊登于2017年6月5日出版的《金融世界周刊》第134期】
本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://51itzy.com/23580.html