《大西洋月刊》報道稱,網絡安全專家基斯·洛克(Chris Rock)是個非比尋常的“殺手”。在今年的世界黑客大會DEFCON上,洛克展示了黑客如何通過醫生的信息系統生成一個真正的“死亡”證書,這樣,想讓誰死,誰就能死。而黑客背后的動機,也許就是為了復仇,或者是想竊取人壽保險利益等等。
洛克從去年開始調查這些黑客,當時墨爾本醫院錯誤地發行了200張死亡證明。而入侵醫療系統信息系統不僅能讓人死,也能讓人生——洛克也揭露了黑客能夠偽造出生證明,造出一個虛假嬰兒的漏洞。犯罪黑客為他們申請社會保障號、工作,申請結婚等等。洛克的演示意味著,黑客有了下一代的身份盜竊技術,能夠產生新類型的洗錢和保險欺詐行為。
在黑客世界中,基斯·洛克(Chris Rock)是著名的“白帽子”——有道德正義感的正面黑客,主要負責識別計算機系統或網絡系統中的安全漏洞,但并不會惡意去利用,而是公布其漏洞。幫助單位組織在被其他人(例如黑帽子)利用之前來修補漏洞。近年來,隨著各類公司都要聘請像洛克這樣的白帽子來對網絡犯罪進行防御,白帽子的身價也越來越高。
但是,要與老練、狡詐的黑帽子作斗爭,白帽子黑客產業還有很長的路要走。
黑客暗戰如此艱難,其實不是技術的原因
美國國家情報局今年早些時候公布的一份報告顯示,網絡犯罪是全球安全的頭號威脅,嚴重于恐怖襲擊和大規模殺傷性武器。報告指出:“2014年,惡意的網絡活動規模和次數都在增長,比如企業數據被盜、個人身份信息被盜(PII)等等。”據統計,去年大約有10億個身份數據被盜用。
普華永道全球及美國網絡安全主管大衛·伯格(David Burg)表示,公共數據泄露——像Ashley Madison被拖庫、索尼黑客事件等等——而這只是黑客犯罪活動的前奏。這些數據的盜用涉及身份信息盜用、偽造信息套現信用卡等等,或者許多未曾公開過的經濟間諜輸出本應被保密的健康信息等等。“網絡攻擊行為背后都蘊藏著巨大的商業鏈。分分鐘涉及全球中數億萬美元的財富轉移。”
在回應網絡攻擊的需要之下,一些大公司已經增加了安全防御的資金投入。根據PwC的報告,在過去的兩年中,美國公司在網絡安全方面的預算已經平均提高至信息技術投入預算的兩倍之多。一些公司聘請像洛克一樣的外部信息安全專家來承擔對其軟件系統進行滲透性測試的工作——像黑客攻擊那樣,攻擊自己的系統來發現漏洞。另外部分公司是推出Bug Bounty項目來懸賞漏洞。
這些項目也有可能是內部運行——比如谷歌,該公司自2010年起就建立起自家的Bug Bounty系統,對每個漏洞懸賞2萬美元——又或者外包給HackerOne和BugCrowd一類的獨立公司。
HackerOne首席技術官(CTO)、Facebook產品安全團隊組建人亞歷克斯·萊斯(Alex Rice)表示,HackerOne的全球網絡中,大約包括2000名付黑客,他們大多數都有一份正經的全職工作,黑客只是兼職項目。Synack主要為客戶提供訂閱系統防御方案,該公司CEO卡普蘭(Jay Kaplan)稱,旗下的黑客基礎遍布35個國家,部分將白帽子作為副業,而另一部分則完全依靠白帽子事業來養活自己,尤其是在中國、印度、東歐等欠發達的地方。卡普蘭透露,支付給白帽子的報酬很大程度上有項目性質確定。“市價由該項目的覆蓋范圍和對組織的影響力大小來決定。”
然而在許多情況下,許多白帽子其實難以維持生計。克利夫特·里戈(Clifford Trigo)一名來自菲律賓保和市的22歲全職白帽子,2014年加入HackerOne。他的收入主要依靠Bug Bounty項目懸賞和測試演示,不過,Bug Bounty的機會并不多。一般來說,里戈幾個月才會找到一個價值幾千美元的bug。“如果有新的bug-bounty下來,我通常可以將它當作一筆大收獲了,”里戈說道。但更多的是,“你也可以做上幾個小時的研究,然后拿到50至100美元的報酬。”里戈表示,他認識好一些白帽子黑客,為了增補收入不惜去參加一些骯臟的活動,比如利用自己的技術來獲取人們的信用卡信息。
既然能防御,也就能攻擊
這些“灰帽子”黑客暴露了科技行業的窘境:防御所需要的技術,與攻擊所用的相同。洛克指出,白帽子也會從事黑帽子性質的行動,而且這樣的情況還有可能繼續擴展。“許多公司聲稱不會雇用黑帽子,但大多數情況他們還是會這么做。”
前美國國安局反恐分析師卡普蘭對此并不同意。“Synack對所有的候選研究人員都采取周密的面試和背景調查。”
大衛·伯格則認為,聘用白帽子的的好處要大于風險。“愿意接受漏洞排查的組織和第三方獨立機構的研究員都有能力把控網絡威脅。”而且,未來政府組織仍會有相關政策和行動支持白帽子黑客產業的發展,比如10月剛通過參議院審議的法案,呼吁了聯邦政府降低網絡安全威脅情報機密度,讓私營企業能夠獲得更多的信息。
京公網安備 11010502049343號