30企保集团董事长齐向东发表演讲。本报记者余建摄
中国腾讯科恩实验室赢得了在日本东京举行的世界顶级黑客大赛。(资料图片)
30公司首席安全官谭为年度杰出白帽颁奖。本报记者余建摄
日前,2017白帽大会在深圳举行。在会场,人们可以用手机搜索许多无线网络信号,但没有人敢轻易连接。原来会场有很多黑客。如果你不幸连接了黑客控制的钓鱼WiFi,很有可能你的手机会被入侵。
在很多人眼里,黑客依然意味着“神秘”和“危险”。但在网络世界里,黑客有三种不同的面孔:白帽、黑帽、灰帽。类似于早期美国西部电影中的“白帽”和“黑帽”,在网络黑客世界中,白帽黑客和黑帽黑客的名字分别代表了两种对立的角色:临危不惧的——英雄和显眼的反派:白帽黑客专门从事网络和计算机技术防御;黑帽黑客研究操作系统,寻找漏洞,基于个人意愿攻击网络或电脑;灰帽黑客介于两者之间。他们知道技术防御的原理,也有突破这些防御的实力。一般他们不会发动恶意攻击。
30企业安全集团董事长齐向东用一个场景形象地解释了三种黑客的区别:“看到有人家开着门,是黑帽子在屋里偷东西;在屋里转来转去,然后告诉你‘门开着’是一顶灰色的帽子;提醒你‘门没关’,获得许可后给你关门的是白帽子。”
敞开的大门,是黑客攻防的——网络漏洞。
“万物互联”下的安全隐忧
就像人类在语言表达中经常出现语法和逻辑错误一样,计算机语言中的“语法错误或逻辑错误”被称为“漏洞”。齐向东说,“漏洞很容易被用于网络攻击。就像我们不经意间说出破绽时,人们抓住把柄,‘有心人’就会反过来用这些话攻击我们。计算机领域也是如此。”
被非法剥削的危害是什么?齐向东认为,危害在不同时期有不同的严重程度:在以内容和应用为核心的“消费互联网”时代,网络攻击会失去隐私,损失金钱,“伤财”;在即将到来的以大数据为核心的“工业互联网”时代,互联网的背后是生产线、控制系统和一切。一旦受到网络攻击,控制就会失灵,车毁人亡,危及生命,是“危及生命”的。
在过去的两年中,工业和能源等关键基础设施遭受了多次攻击,导致世界范围内广泛的关注。除了窃取敏感数据,大部分都是针对直接破坏工业设备系统,瘫痪目标系统,阻止日常操作流程的正常运行。严重时可大规模威胁人民生命财产安全。2016年4月,德国核电站原料添加系统遭到网络攻击,检查人员发现系统中植入了破坏性木马。出于安全考虑,核电站暂时关闭;去年,卡巴斯基扫描了全球170个国家和地区的近20万套工控系统,其中92%存在安全漏洞,存在黑客入侵、接管甚至破坏设备正常运行的风险。
统计显示,每年网络攻击给企业造成的损失高达5000亿美元,而且这个数字每年还在急剧上升。在针对企业的攻击中,关注的重点领域是:通信网络、电子电器、海洋与港口、能源与化工、交通运输、航空航天和网络安全。2015年,菲亚特克莱斯勒汽车美国公司在美国召回旗下大切诺基、自由光等车辆共计140万辆,原因是这些车辆存在重大安全漏洞,可能允许黑客远程劫持车辆。
安全是发展的前提。在工业互联网时代,网络安全非常重要。今年2月,国家发改委已批准360公司牵头建设大数据协同安全技术国家工程实验室,重点开展数据聚合隐私保护、数据防泄露、系统漏洞分析、安全协同分析、大数据系统风险评估、安全监控等技术的研发和工程化。日前,美国国防高级研究计划局也启动了一项开发项目,其核心目标是开发能够检测并自动应对针对美国关键基础设施的网络攻击的技术。参与者包括雷神公司、斯坦福研究所等主要供应商,以及美国国土安全部等政府机构。网络安全防护正成为国家基础设施建设的重要组成部分。
用公测的力量锁住安全屏障。
在世界范围内,重视品牌建设的科技型公司和企业已经率先“挖坑”。美国知名漏洞测试公司平台,的首席运营官王宁表示,越来越多的美国公司意识到,仅仅依靠少数技术人员来维护安全已经过时。除了加强安全团队建设,这些公司还开始与第三方平台合作,通过白帽黑客的努力锁定安全屏障。近年来,中国许多企业也建立了安全应急响应中心,以提高安全防御能力。在第三方漏洞响应平台,如乌云、田甜、威客公测等。企业授权白帽黑客利用漏洞,并根据漏洞的危害程度和影响范围提供相应的奖励,以此鼓励越来越多的黑客戴上象征正义的“白帽”。
以中国最大的在线旅游服务商Ctrip.com为例。携程有3000多名开发者,但只有40名安全人员。在Ctrip.com信息安全总监凌云看来,“用40个人来保证3000多人开发的程序的安全,无疑是不够的”。为了在白帽黑客的帮助下使系统更加安全,携程在过去一年里为响应平台白帽的重大漏洞提供了约一百万元的奖励。
“网络安全生态圈的建设必须长期共同努力,不可能由一家公司或一个组织来完成。技术共享、人才共享和更广泛、更及时的漏洞响应是未来的趋势。”齐向东说。在平台注册的白帽子已经到名了。2013年至今,他们已经发现了20多万个漏洞,企业为这些白帽子付出了近900万元。美国有来自150多个国家的约11万名注册白帽。自2013年以来,他们已经发现了超过18万个漏洞,其中超过4万个已被修复。
> 精英白帽的“自我修养”“90后”白帽黑客“华不再扬”内敛安静,看上去只是一位邻家小弟,但作为技术达人的他有着不寻常的经历:从小痴迷网络游戏,进入职业高中后钻研黑客技术,毕业后曾在鞋厂做普工,很快又以安全分析师的身份被游戏公司聘用,并站上各大网络安全专业沙龙的讲台。工作之余,“华不再扬”热衷参加企业漏洞悬赏计划,在补天平台的“风云白帽排行榜”上,他的积分已经高居总排行榜第八位。
大多数白帽黑客有着与“华不再扬”相似的特征:年轻激进、性格单纯、学历不高但对技术十分狂热。这些涉世未深的白帽黑客,在网络空间中侠肝义胆、叱咤风云,但现实世界里,他们出自善意的“挖漏洞”行为,很可能给自己招来大麻烦。
2015年,乌云网某注册白帽提交了某婚恋网站一个涉及大量会员信息的漏洞,当时该网站确认了这一漏洞,向白帽致谢并予以修复。不过,该网站随即向公安局报案称“有4000余条实名注册信息被不法窃取”。不久后,以涉嫌“非法获取计算机系统数据犯罪”之名,该白帽被逮捕。
这一事件在黑客中掀起轩然大波。一位普通白帽,不牟取任何私利,只是义务检测漏洞,发现漏洞后告知厂家,也算犯罪吗?
在齐向东看来,这个案例反映出企业和白帽黑客之间的微妙关系:不敢沟通、不敢交流,互不信任。他用了一句俗语来形容这个关系:“麻秆打狼两头怕。”
的确,核心白帽的技术实力之强,可能令任何一家专业厂商都无法小觑。补天漏洞响应平台负责人白健说,补天平台对注册白帽实施了分层认证管理,对越核心、技术能力越强的白帽子认证越严格。最核心的那一批要有明确的身份信息,与平台签书面协议,甚至做专访调查。“大家都清楚地知道‘挖洞’白帽的个人基本信息,包括工作情况、家庭情况等。”白健说,“在对白帽信息有所掌握的前提下,我们把大量政府、企业和机构用户也拉到平台注册。在平台上,双方才得以打消顾虑,正常沟通合作”。
法律已经为黑客的行动划定了红线。《中华人民共和国刑法》第二百八十五条、第二百八十六条、第二百八十七条对侵入计算机信息系统、传播计算机病毒、利用计算机实施金融诈骗等行为做出了约束。今年6月1日起,我国网络安全领域的基础性法律《中华人民共和国网络安全法》也将施行。
然而,黑色产业的猖獗,仍让不少企业高度警觉。目前,在国内外各大漏洞响应平台,大部分情况下,只有企业授权之后,白帽才能寻找并且提交漏洞。“尽管多方力量严加把控,白帽的不少细微动作仍可能在无意中碰触边界。‘挖洞’时必须尽量低调、点到为止。”经验丰富的白帽“U神”说,“对于黑色产业尤其要多加小心。许多进入黑色产业的人,最初认为可以做一次就‘金盆洗手’。但感受过黑色产业的赚钱速度后,就会铤而走险继续干,直到陷入深渊”。
“华不再扬”比照佛教中的“力戒‘贪嗔痴’三毒”,来形容白帽黑客自我修养的最高境界。“戒贪,要认清自己的原则,遵照漏洞挖掘测试规定的事项,发现安全风险,协助厂商解决问题;戒嗔,或许有些漏洞计划,奖励不能如自己所愿,也不要计较;戒痴,黑色产业的诱惑很大,要理智地看待问题。”
时代巨轮滚滚前行,工业互联网如约而至。繁杂的互联网生态与多变的人性,为黑客的色谱添上无穷的灰度。颜色深浅各异的黑帽、白帽与灰帽,在网络丛林间展开的对抗与博弈,或许才刚刚开始。
本文链接:http://www.slxf119.com/15942.html 转载需授权!
网友评论