专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
目录
相关文章推荐
似水之流年  ·  互联网的流量密码 ·  昨天  
似水之流年  ·  互联网的流量密码 ·  昨天  
macrozheng  ·  入职的新公司是微服务项目,慌了! ·  3 天前  
macrozheng  ·  入职的新公司是微服务项目,慌了! ·  3 天前  
Seebug漏洞平台  ·  威胁情报 | APT-K-47 武器披露之 ... ·  3 天前  
看雪学苑  ·  攻击者利用SVG附件传播恶意代码以规避检测 ·  5 天前  
51好读  ›  专栏  ›  安在

白帽黑客:技术理想抵抗现实欲望

安在  · 公众号  · 互联网安全  · 2017-04-01 17:29

正文


何籽/图


传统印象中的“黑客”


3月30日,2017补天白帽大会在深圳举行。会场,记者在一些区域搜到了Wi-Fi,但是不敢连接,原因在于有一种黑客攻击行为叫做“现场钓鱼Wi-Fi”,所有连入现场Wi-Fi的手机都有被入侵的风险。

在黑客云集的大会现场,这一风险显然被无形中提高了数倍,倍数就是每个黑客心中的贪嗔痴。只要有一个人动了歪念头,入侵了开会酒店的Wi-Fi,大多数连接者的个人数据都将被泄露。

 

黑客,在安全界外人的眼中是带着《V字仇杀队》男主角V一样神秘个性的面具,拥有《黑客帝国》男主角尼奥一样天赋异禀的能力,享有《我是谁:没有绝对安全的系统》男主角本杰明·恩格尔一样超脱众人的智力。


《黑客帝国》男主角尼奥


如果问人们黑客酷不酷,几乎所有的人都会说“酷”,如果问谁愿意和他们真正成为交心的朋友,很多人会在内心咯噔一下,那一刻,大家犹豫的理由是一致的:“他们,做的事情,不是那种?做好朋友……安全吗?”

 

许多人,对“黑客”一词的传统印象是两个字——危险。

 

但实际上,黑客有着鲜明的划分,简单而言可分为三种,白帽子、灰帽子、黑帽子。猎网平台负责人裴智勇在接受采访时说:“黑客这个词在安全上没有褒贬之分,举个例子来说,看到你家门没关进去偷东西的是黑帽子;看到你家门没关进去偷完东西,再告诉你把门关上的是灰帽子;看到你家门没关告诉你关上的是白帽子。”

 

如果明确了白帽子是一群提醒企业、用户关门的人,那么文章一开头,连接现场Wi-Fi时成倍增加的不信任感,只证明了一件事——在看待黑客时,包括记者在内的许多人,都常以先入为主的固定思维,带了一副有色眼镜,把白帽子染黑了。

 


补天平台负责人白健在接受采访时说:“我接触的白帽子都很有正义感,是很单纯做技术的年轻人,有的大学毕业拿着实习工资,虽然很低,但是他们通宵达旦的加班,就是帮助企业挖掘漏洞,降低安全风险,白帽子是一群很有梦想的人。


给黑客一个成为白帽的选项


补天平台的白帽子很年轻,他们的平均年龄约为22岁,1995年前后出生。学历不高是他们中一些人的特征,甚至占多数。在采访时,每当碰到学历问题,其中几个年轻小伙子就会腼腆地低下头说:“我学历不高,不高的。”在聊起和技术有关的内容时,他们又生龙活虎起来。

 

白健说:“学校培训黑客的攻击方法是要负法律责任的,没有人教攻击技能,一般都是教防守技能,但是未知攻焉知防,不知道怎么攻击的防守教育体系导致白帽群体特别稀少,偶尔有一些有天赋的孩子一般也很难过应试教育。”

 

在大会开场前,屏幕上播放了一段视频,它讲述了一个普通白帽子的成长经历。大意为:一个白帽子小雷(化名)在正常的教育系统中找不到自己的兴趣点,听不懂文化课程,成绩较差,放弃中考后辍学在家,父母和学校给了他不小的压力,但是在计算机中他寻找到了一丝希望的火种——技术志趣。



计算机语言成为了小雷的伙伴,成为了他倾诉、投入、交流的对象。积土成山,风雨兴焉,慢慢地,希望的火种在风雨摇曳中熊熊燃烧,成为了足以直冲天际的烈焰。小雷凭借坚持习得了一身技术本领,他以合法途径帮助厂商挖掘网络漏洞——提醒厂商“关门”,他在守卫网络安全的同时,也获得了厂商的致谢和奖金。

 

最终,当年那个初中辍学的孩子获得了一份为外企实施网络安全维护的工作,他的父母和学校也逐渐开始理解孩子的兴趣选择。试想,如果没有一个发挥小雷能力的渠道,有同样经历的白帽子将会为了生存何去何从?

 

U神(昵称)是补天平台的一名普通白帽子,平时他正常在公司上班,业余时间帮助企业进行漏洞挖掘,提醒企业“关门”。

 

当被问及黑帽子做黑产和白帽子挖漏洞的收入比例时,他说:“我没有准确的数据,但如果一定要打个比方,可能黑帽子一天偷盗某个网站的数据在“地下”售卖,可以赚到白帽子挖一个月漏洞的奖金——如果有两万块,黑帽子一天到手,白帽子需要一个月。”

 

此时参与群访的记者们争相询问:“诱惑那么大,会不会有很多白帽子禁不住就去做黑产了?”



U神说:“我没做过黑产,但是想想也知道,做黑产压力很大,可能睡觉也不能安心。”

 

360公司核心安全事业部总经理、助理总裁MJ说:“漏洞挖掘是白帽子实现自身价值的方式,黑产赚钱肯定比白帽子赚的多,但如果有的选的话,大家肯定不愿意选黑产。

 

细究原因,以前铤而走险的人也多是“不得不”才选择黑产,做黑产骗人或者把别人的钱据为己有,除了有法律制裁,稍微有一点道德感的人,他良心上也会觉得不是什么好事。而现在,有了像补天平台、Hacker One这样公开的白帽平台,大家有的选了,谁都会希望做一些可以产生自我认同的事情。”

 

截至撰稿日,在国内,仅补天平台,白帽子的注册人数便达到了31633名,他们自2013年起累计发现了20多万个漏洞,企业为这些白帽发出奖金接近900万元。

 

在国外,最大的白帽子平台HackerOne,注册白帽约为11万名,他们自2013年起累计发现了18万多个漏洞,其中有4万多个漏洞已经被修复——这里的每一个漏洞,低危、中危、高危,都在不同程度威胁着个人、企业、国家甚至国际安全。


漏洞的危害与白帽的价值


什么是漏洞?

 

360企业安全集团董事长齐向东在接受媒体群访时打了几个不懂技术的人也能懂的比喻:“计算机的网络,包括软件和硬件,是通过计算机语言由程序员(人)开发,既然是用一种语言来开发,那就像我们人类用语言进行演说、用语言来表述一样。

 

在表述的过程当中会经常出现一些语法性的错误,这样一些错误容易引起语义上的差别或者差异,在计算机领域里头把这样一些逻辑性的错误和说话的时候考虑的不周全等,都叫做漏洞。

 

漏洞很容易被人拿来进行网络攻击,就像我们说话不注意出现了瑕疵之后让人抓住了把柄,“有心的人”拿住这些话反过来攻击我们。在计算机领域也是一样。”


如果漏洞被非法利用有什么危害?

 

齐向东说:“与说话被抓把柄有所不同的是,漏洞攻击不会顺着你自己的逻辑来进行,比如我们写了一个软件,我们的逻辑是有一个登录的界面,所有使用这个软件或硬件的人都需要输入用户名和密码从这个端口进入,才能控制这个软件或硬件,但这只是生产厂商和研发者的逻辑。

 

一旦逻辑出现漏洞之后,网络攻击者可以不顺着这个逻辑,不用登录界面,不通过用户名和密码,直接操作软件或硬件。

 

举三个真实案例。第一,2015年,美国克莱斯勒汽车的车联网部件出现漏洞,最后导致克莱斯勒在全球范围内召回了一百多万辆汽车,一百万辆的汽车召回要花的代价不言而喻。

 

第二,去年360处理了国内一个大型企业,它的大型生产线一天的产值上亿,但有一天,这个生产线突然停工,用以往传统维修的方法修好之后两个小时之内又停工,如此反复多次,车间就失控,不能正常工作了。

 

在所有方法想完之后,这家公司突然想到了360,说是不是网络被人控制了。我们的网络工程师到现场看的时候确实是,车间被一种“蠕虫病毒”远程控制了生产系统。

 


第三个例子,也是最近360处理的一个事故,是一个大型的电力供应系统,类似乌克兰断电事件,实际上不仅仅存在于乌克兰。

 

我们的基础设施包括电力、供水、电站、大坝、航空、金融等等,这些都属于涉及到国家、民生的基础设施,大家这几年为了提升效率不断地通过IT网络化建设,实现了不同程度的自动化,如果这些系统出现漏洞,后果不堪设想。

 

通过这三件事我们能够非常明确的感受到网络安全至少决定了两件事。第一,生产系统是否能够正常的工作,生产出产品;第二,生产出来的产品卖出去之后在网络上是不是安全。”

 

白帽子的价值是什么?

 

齐向东说:“漏洞的存在是客观的,是永远不会消失的,因为任何一个程序员都是人,人的能力都是有限的,对新技术的认识都是局限的。

 

白帽子就是专门找逻辑漏洞的,和软硬件的开发者形成了上下游的合作关系。

 

如果说开发者是负责每天不断创新,给我们提供新的软硬件产品和服务。那么白帽子就是负责再研究,他们帮助开发者寻找到他们考虑不周和设计不当的漏洞,找到这些漏洞之后及时提交给开发者,让开发者把这样一些不足和缺陷弥补上。这样我们拿到的产品或服务就变得更加完美。


白帽子实名注册与法律边界


对于被挖掘漏洞厂商来说,面临着一个巨大的难题,他们无法区分前来攻击的是白帽子还是黑帽子。早些年,对于白帽子来说,他们每次挖掘漏洞,都像是在走钢丝,一旦厂商不理解的他们行为,他们就将面临法律制裁的风险。

 

齐向东说:“用我们的俗语来说,这叫‘麻竿打狼,两头害怕’,厂商和白帽子之间不敢沟通、不敢交流,互不信任。”

 

U神说:“因为我自己对信息安全法律这块比较了解,很多白帽细微的动作都可能触犯到法律,所以我挖洞经常也是点到为止,不会太高调。但是做黑产的人,很多是因为生活压力或者需要赚更多的钱,开始他们认为只做一次黑产就金盆洗手,结果有些人感受了一次黑产赚钱的速度后,就沉沦下去,一直陷入到黑产的深渊之地。”

 

齐向东说:“依托360的诚信,补天平台负责对这些认证白帽子的信誉进行担保的同时,也采取一系列技术措施,对白帽子一时糊涂做坏事的行为及时的发现和制止。”

 

白健说:“补天是分层认证,越核心、技术能力越强的白帽子认证越严格,最核心的那一批要有明确的身份信息,跟我们签书面协议,甚至于做一些专访,大家都很清楚的知道在挖洞的白帽子的基本个人信息,甚至在哪家公司工作、家庭情况如何等。”

 

白帽黑客衰大 大会主持人之一

其经历曾多次被媒体报道

详见《跟我回乌鲁木齐:白帽黑客衰大的爱情故事》

 

齐向东说:“在对白帽信誉有所保障的前提下,我们把大量的政府、企业和机构用户也拉到补天,作为企业注册用户。由此,企业注册用户和白帽子注册用户之间就可以沟通交流。

 

在商业模式上,如果白帽子发现注册企业的漏洞,补天平台就会对这个漏洞的危险级别进行评级,根据危险程度估算一个参考奖金,注册的企业可以根据实际情况,或高给或低开,这样就真正建立起白帽子和厂家之间的沟通。”

 

国外最大白帽子平台Hacker One的COO Ning Wang说:“任何一个在我们平台上注册的白帽子要同意我们的条约,确定‘能做什么、不能做什么’。

 

有一点很清晰,白帽子不是我们的雇员,我们是提供了一个可以把他们和企业连接起来的桥梁,法律上是我们的客户和白帽之间在产生关系,哪个项目对白帽有什么样的要求,由客户决定。在注册阶段白帽子只需要邮箱,但是在发放奖金的报税阶段,我们会拿到白帽子的个人基本信息。”

 

白健说:“美国对白帽的认知度和成熟度更高,而国内相对还处于探索阶段,比如刚刚还有记者问白帽和黑产的联系,这种想法证明我们面临的环境更复杂,这时监管就要更仔细,身份信息就要更透明。”

 

补天精英白帽华不再扬说:“我挖漏洞,不会主动随便挖一个公司的漏洞然后报过去,而是要看奖金,奖金高低说明了企业是否真的有需求。

 

例如本来是一个很高危的漏洞,你报给了一个需求度不高的企业,企业不理解,只是觉得你很频繁地攻击他,一定会不开心,最后企业干脆就给了一个中危或低危漏洞的奖金,很低,白帽子们也会觉得诚意不够,就不会再去挖这家公司的漏洞,双方是建立在良性基础上进行互动的。”

 

白帽黑客华不再扬议题演讲人

其经历曾多次被媒体报道

详见《从鞋厂工人到漏洞达人,90后黑客养成记》


2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,并宣布自于2017年6月1日起施行。

 

随着法律的逐步完善,白帽的法律边界将会更加清晰;白帽与厂商、政府之间的协作机制将会更加成熟;企业的安全意识和白帽的法律意识将会同步提高;国家、企业、个人的网络安全都将更有保障。

 

但上述的一切都并非一蹴而就,甚至很难完全解决,它需要各方的协调理解,不断磨合。正如刘志毅在《黑客暗战》一文中所言:“世界上有三种人,一种是被黑过;一种是不知道自己被黑过;还有一种是不承认自己被黑过。”

 

德国将万物互联的时代称为工业4.0,也就是第四次工业革命,它意味着传统产业将会在网络中紧密联系,牵一发而动全身。

 

当下,网络攻击的破坏性,已经不亚于任何直接的物理伤害,不仅能够伤财(如信息诈骗),而且能够损命(如徐玉玉事件),而这种趋势将会在智能时代(或称大数据时代、物联网时代)越来越明显。

 

发现漏洞,拆除隐患,守护着那扇安全铁门的正是白帽子。他们的每一分、每一秒和所有人一样,都面临着残酷的现实和艰难的选择,他们可以放弃铁门离开,可以“投靠”黑产阵营,或者他们可以坚持下,与那些永远修复不完的漏洞和永远都存在的黑帽子决战。

 

黑客就像古代的剑客一样,懂得武林绝学,手中握着上古神剑,但最终剑如何使用才是重点,是成为忠肝义胆、锄强扶弱的侠客,还是成为衣锦夜行、杀人如麻的剑魔,除了法律和机制的约束,更多的,还是他们内心的选择。

 

——你可曾还记得,最初热衷的技术理想?

——是,我从未忘记。

——给我一次机会,放过这个漏洞?

——对不起,我是一个白帽子。



点击下方标题,看最经典的黑客传奇



人物 | 智者大潘

人物 | 360谭晓生的方法论

人物 | 龚蔚我不是黑客教父

人物 | Ucloud之父季昕华

人物 | 韩争光:“苹果”是我干掉的

人物 | 云舒我为什么要离开阿里

人物 | TK从妇科圣手到黑客教主

人物 | 乌云来了,我是方小顿

人物 | 破解了特斯拉的林伟

人物 | 刺风有道,吴翰清的云端飞扬

人物 | 铁马“冰河”,侠骨黄鑫

扫描二维码 关注更多精彩

新锐丨大咖丨视频丨白帽丨在看

回复关键词获得关于安在更多信息