日前,2017补天白帽大会在深圳举办。会场中,人们能用手机搜索到不少无线网络信号,却无人敢轻易连接。
(上)360企业安全集团董事长齐向东做演讲。 本报记者 喻 剑摄
(中)在日本东京举办的世界顶级黑客大赛中,我国腾讯科恩实验室夺冠。 (资料图片)
(下)360公司首席安全官谭晓生为年度优秀白帽子颁奖。 本报记者 喻 剑摄
日前,2017补天白帽大会在深圳举办。会场中,人们能用手机搜索到不少无线网络信号,却无人敢轻易连接。原来,会场上黑客云集,如果不幸连上被黑客操控的钓鱼WiFi,手机极有可能遭到入侵。
在许多人眼里,黑客仍然意味着“神秘”和“危险”。但在网络世界中,黑客却有着三种不同的面孔:白帽、黑帽和灰帽。类似美国早期西部片中以“白帽”和“黑帽”区分正邪双方,在网络黑客世界中,白帽黑客和黑帽黑客的称呼分别代表两种对立角色——临危救难的英雄和令人侧目的反派:白帽黑客专事网络、计算机技术防御;黑帽黑客研究操作系统,寻找漏洞,以个人意志为出发点攻击网络或者计算机;灰帽黑客则介于两者中间,他们懂得技术防御原理,且有实力突破这些防御,一般情况下,不会发动恶意攻击。
360企业安全集团董事长齐向东用一个场景形象地说明三种黑客的区别:“看到有人家门没关,进屋偷东西的是黑帽子;进屋转一圈,再对你说‘门没关严’的是灰帽子;提醒你‘门没关严’,在征得同意后帮你把门关上的是白帽子。”
那条虚开的门缝,则是黑客们攻防的对象——网络漏洞。
“万物互联”下的安全忧患
如同人类进行语言表达时,常会出现语法、逻辑上的错误一样,计算机语言中的“语法错误或逻辑性错误”,都叫作“漏洞”。齐向东说,“漏洞很容易被人拿来进行网络攻击,就像我们无意间说话出现瑕疵之后,让人抓住了把柄,‘有心之人’会拿这些话反过来攻击我们。在计算机领域也是一样”。
展开全文
漏洞被非法利用有何危害?齐向东认为,危害在不同时期有着不同的严重性:在以内容和应用为核心的“消费互联网”时代,遭受网络攻击会丢隐私、丢钱,会“伤财”;而在已经来临的以大数据为核心的“工业互联网”时代,互联网背后是生产线、控制系统,直至万事万物。一旦遭受网络攻击,会控制失灵、车毁人亡、危及生命,是“损命”。
近两年,全球范围内先后发生多起引发广泛关注的,针对工业、能源等关键基础设施的攻击,除了窃取敏感数据外,更多是以直接破坏工业设备系统为目标,使目标系统瘫痪、日常作业流程无法正常运转,严重者可大面积威胁百姓生命财产安全。2016年4月,德国核电站原料添加系统遭遇网络攻击,检查人员发现系统内被植入破坏性木马,安全起见,核电站被临时关闭;去年,卡巴斯基扫描了全球170个国家和地区的近20万套工业控制系统,其中92%都存在安全漏洞,存在遭遇黑客攻击、接管甚至破坏设备正常运行的风险。
有统计显示,网络攻击每年给企业造成的损失高达5000亿美元,并且,这个数字每年还在大幅上升。在针对企业的攻击中,重点关注的领域依次是:通信网络、电子电器、海洋与港口、能源化工、交通运输、航空航天和网络安全。2015年,菲亚特克莱斯勒汽车美国公司在美国召回旗下大切诺基、自由光等车型共计140万辆,原因是这些车型存在重大安全漏洞,可能会让黑客远程劫持车辆。
安全是发展的前提,在工业互联网时代,网络安全至关重要。今年2月,国家发展改革委已批准由360公司牵头承建大数据协同安全技术国家工程实验室,重点开展数据汇聚隐私保护、数据防泄漏、系统漏洞分析、安全协同分析、大数据系统风险评估与安全监测等技术的研发和工程化工作。日前,美国国防高级研究计划局也启动开发项目,核心目标是开发能够检测且自动响应针对美国关键基础设施网络攻击的技术,参与者包括雷神公司、斯坦福研究院等主要供应商,以及美国国土安全部等政府机构。网络安全防护,正在成为国家基础设施领域建设的重要部分。
众测之力锁牢安全屏障
在世界范围内,科技型公司和重视品牌建设的企业,已经在“挖漏洞”上先行一步。美国知名漏洞众测平台HackerOne首席运营官王宁表示,越来越多的美国公司意识到,仅依靠几名技术人员维护安全的做法已经过时。除了加强安全团队建设,这些公司也开始与第三方平台合作,借白帽黑客众测之力,锁牢安全屏障。近年来,我国不少企业也纷纷组建安全应急响应中心,提高安全防御能力。在乌云、补天、威客众测等第三方漏洞响应平台上,企业授权白帽黑客进行漏洞挖掘,并根据漏洞的危害程度、影响范围提供相应奖励,激励越来越多的黑客戴上象征正义的“白帽子”。
以国内最大的在线旅行服务商携程旅行网为例,携程拥有开发人员3000多名,安全人员却仅有40名。在携程旅行网信息安全总监凌云看来,“以40人之力保障由3000多人开发出来的程序安全性,无疑是不够的”。为借助白帽黑客的力量让系统更安全,过去一年携程为各大漏洞响应平台的白帽子提供了约百万元奖励。
“网络安全生态体系的建设必须群策群力、久久为功,单靠一家公司、一个组织不可能完成。技术共享、人才共享和更广泛、更及时的漏洞响应是未来的趋势。”齐向东说。国内的补天平台注册白帽已达31633名,自2013年起,他们累计发现了20多万个漏洞,企业为这些白帽发出奖金近900万元;美国的HackerOne已拥有来自150多个国家的注册白帽约11万名,自2013年起,他们累计发现了18万多个漏洞,其中有4万多个漏洞已经被修复。
精英白帽的“自我修养”
“90后”白帽黑客“华不再扬”内敛安静,看上去只是一位邻家小弟,但作为技术达人的他有着不寻常的经历:从小痴迷网络游戏,进入职业高中后钻研黑客技术,毕业后曾在鞋厂做普工,很快又以安全分析师的身份被游戏公司聘用,并站上各大网络安全专业沙龙的讲台。工作之余,“华不再扬”热衷参加企业漏洞悬赏计划,在补天平台的“风云白帽排行榜”上,他的积分已经高居总排行榜第八位。
大多数白帽黑客有着与“华不再扬”相似的特征:年轻激进、性格单纯、学历不高但对技术十分狂热。这些涉世未深的白帽黑客,在网络空间中侠肝义胆、叱咤风云,但现实世界里,他们出自善意的“挖漏洞”行为,很可能给自己招来大麻烦。
2015年,乌云网某注册白帽提交了某婚恋网站一个涉及大量会员信息的漏洞,当时该网站确认了这一漏洞,向白帽致谢并予以修复。不过,该网站随即向公安局报案称“有4000余条实名注册信息被不法窃取”。不久后,以涉嫌“非法获取计算机系统数据犯罪”之名,该白帽被逮捕。
这一事件在黑客中掀起轩然大波。一位普通白帽,不牟取任何私利,只是义务检测漏洞,发现漏洞后告知厂家,也算犯罪吗?
在齐向东看来,这个案例反映出企业和白帽黑客之间的微妙关系:不敢沟通、不敢交流,互不信任。他用了一句俗语来形容这个关系:“麻秆打狼两头怕。”
的确,核心白帽的技术实力之强,可能令任何一家专业厂商都无法小觑。补天漏洞响应平台负责人白健说,补天平台对注册白帽实施了分层认证管理,对越核心、技术能力越强的白帽子认证越严格。最核心的那一批要有明确的身份信息,与平台签书面协议,甚至做专访调查。“大家都清楚地知道‘挖洞’白帽的个人基本信息,包括工作情况、家庭情况等。”白健说,“在对白帽信息有所掌握的前提下,我们把大量政府、企业和机构用户也拉到平台注册。在平台上,双方才得以打消顾虑,正常沟通合作”。
法律已经为黑客的行动划定了红线。《中华人民共和国刑法》第二百八十五条、第二百八十六条、第二百八十七条对侵入计算机信息系统、传播计算机病毒、利用计算机实施金融诈骗等行为做出了约束。今年6月1日起,我国网络安全领域的基础性法律《中华人民共和国网络安全法》也将施行。
然而,黑色产业的猖獗,仍让不少企业高度警觉。目前,在国内外各大漏洞响应平台,大部分情况下,只有企业授权之后,白帽才能寻找并且提交漏洞。“尽管多方力量严加把控,白帽的不少细微动作仍可能在无意中碰触边界。‘挖洞’时必须尽量低调、点到为止。”经验丰富的白帽“U神”说,“对于黑色产业尤其要多加小心。许多进入黑色产业的人,最初认为可以做一次就‘金盆洗手’。但感受过黑色产业的赚钱速度后,就会铤而走险继续干,直到陷入深渊”。
“华不再扬”比照佛教中的“力戒‘贪嗔痴’三毒”,来形容白帽黑客自我修养的最高境界。“戒贪,要认清自己的原则,遵照漏洞挖掘测试规定的事项,发现安全风险,协助厂商解决问题;戒嗔,或许有些漏洞计划,奖励不能如自己所愿,也不要计较;戒痴,黑色产业的诱惑很大,要理智地看待问题。”
时代巨轮滚滚前行,工业互联网如约而至。繁杂的互联网生态与多变的人性,为黑客的色谱添上无穷的灰度。颜色深浅各异的黑帽、白帽与灰帽,在网络丛林间展开的对抗与博弈,或许才刚刚开始。(喻 剑)