影視作品中,“黑客”是一種神秘又無(wú)所不能的存在:找出漏洞,控制網(wǎng)絡(luò),侵入系統(tǒng),盜走錢(qián)財(cái),竊取機(jī)密……
但現(xiàn)實(shí)中,黑客卻有好壞之分:“白帽黑客”和“黑帽黑客”。二者都研究系統(tǒng)漏洞,但白帽黑客的最終目的是解決安全問(wèn)題,黑帽黑客則可能利用漏洞作惡。
360Vulcan團(tuán)隊(duì)就是白帽黑客,主要從事主流操作系統(tǒng)和瀏覽器的漏洞研究,該團(tuán)隊(duì)負(fù)責(zé)人、360首席工程師鄭文彬在行業(yè)內(nèi)被視為“大神級(jí)人物”。
在今年3月舉辦的Pwn2Own世界黑客大賽上,鄭文彬帶著他的團(tuán)隊(duì)成員僅用11秒便攻破了賽事中難度最大的挑戰(zhàn)項(xiàng)目——找到谷歌Chrome瀏覽器的漏洞,擊敗了同臺(tái)的韓國(guó)隊(duì),成為該項(xiàng)目的冠軍。
鄭文彬認(rèn)為,在歐美、日韓等國(guó)家的黑客占領(lǐng)高地的時(shí)代,中國(guó)的黑客水平正在提高,但仍需要更多的資源去培養(yǎng)白帽黑客,而物聯(lián)網(wǎng)時(shí)代,企業(yè)的網(wǎng)絡(luò)安全意識(shí)需要加強(qiáng)。
擋了黑帽黑客財(cái)路 收到恐嚇短信
魔高一尺,道高一丈,白帽黑客與黑帽黑客之間的博弈也是如此。在鄭文彬看來(lái),白帽黑客與黑帽黑客之間的“攻防戰(zhàn)”就像打CS(反恐精英)游戲,尋找系統(tǒng)漏洞的過(guò)程如同在地圖中找到藏著的那把槍。
“黑帽黑客發(fā)現(xiàn),就會(huì)拿槍殺人,但白帽黑客發(fā)現(xiàn),會(huì)把槍藏起來(lái),或者銷(xiāo)毀,如果白帽黑客速度快,就可以保護(hù)用戶不被攻擊。”
在他看來(lái),黑帽、白帽的技術(shù)交鋒是一個(gè)賽跑過(guò)程,白帽黑客的行為,“擋了黑帽黑客的財(cái)路”,二者之間火藥味較濃。“國(guó)外的火藥味比國(guó)內(nèi)重。”鄭文彬發(fā)現(xiàn),國(guó)內(nèi)白帽和黑帽更多的是暗中較勁,360公司的安全白帽就收到過(guò)恐嚇短信。
如何能在博弈中取勝?鄭文彬認(rèn)為,基礎(chǔ)資源和人力資源都很重要。“挖掘漏洞,服務(wù)器資源的多少很關(guān)鍵。此外,人才投入越多,對(duì)‘跑贏’比賽就越有利。”
去年,意大利的黑客公司Hacking Team被入侵,公司郵件內(nèi)容被公布,其中包含了很多漏洞信息。漏洞被公布在網(wǎng)絡(luò)上,擴(kuò)大了危害面,“黑帽黑客會(huì)利用公開(kāi)出來(lái)的漏洞攻擊普通人。”
“這時(shí)候就是白帽黑客和黑帽黑客在賽跑,”談到這次經(jīng)歷,鄭文彬格外興奮。“我們團(tuán)隊(duì)花了四五天從幾百G的文件中找到3個(gè)漏洞,涉及微軟、Adobe等廠商,立即報(bào)給廠商去修復(fù),避免損失擴(kuò)大。”
白帽黑客與黑帽黑客博弈的結(jié)果影響到網(wǎng)絡(luò)環(huán)境。白帽黑客的數(shù)量是重要的因素。如今在國(guó)內(nèi),黑客總體數(shù)量上升,但白帽黑客占比更高,黑帽黑客越來(lái)越少。
“雖然黑帽黑客賺得多,但要承擔(dān)很大風(fēng)險(xiǎn)。現(xiàn)在國(guó)家立法也越來(lái)越完善,很多黑帽黑客也愿意轉(zhuǎn)型做白帽黑客。”鄭文彬解釋。
鄭文彬認(rèn)為,過(guò)去幾年,黑客在中國(guó)是一個(gè)“野蠻生長(zhǎng)”的過(guò)程。“隨著360這樣的安全公司的崛起,互聯(lián)網(wǎng)巨頭BAT也在網(wǎng)絡(luò)安全方面投入很大力量,國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境有很大改善。”
他認(rèn)為,亞洲的白帽黑客團(tuán)隊(duì)近兩年表現(xiàn)不錯(cuò),“韓國(guó)政府非常重視黑客技術(shù)發(fā)展,通過(guò)在大學(xué)里舉辦對(duì)抗賽,從大學(xué)生中發(fā)掘人才。”
中國(guó)在這方面跟歐美有一定差距,“但現(xiàn)在不管是業(yè)界還是學(xué)界,都越來(lái)越重視網(wǎng)絡(luò)安全人才的培養(yǎng)。”鄭文彬稱(chēng),“國(guó)內(nèi)高校從去年開(kāi)始,將計(jì)算信息安全作為一級(jí)學(xué)科,現(xiàn)在大部分985高校都設(shè)有信息安全專(zhuān)業(yè),與計(jì)算機(jī)專(zhuān)業(yè)平級(jí)。”
“很多年輕的天才型人才,有著與眾不同的思維角度、方式,發(fā)現(xiàn)的漏洞也是我們從未想到過(guò)的,年紀(jì)輕輕就能‘亂拳打死老師傅’。”在他看來(lái),信息安全工作更依賴(lài)靈感,國(guó)內(nèi)的安全環(huán)境還很復(fù)雜,希望有更多新鮮血液注入網(wǎng)絡(luò)安全行業(yè)。
下個(gè)月,360公司同韓國(guó)POC Security共同主辦的世界黑客大師挑戰(zhàn)賽(Belluminar Beijing)將開(kāi)賽,作為此次活動(dòng)的負(fù)責(zé)人,鄭文彬希望借此搭建一個(gè)國(guó)內(nèi)外安全技術(shù)團(tuán)隊(duì)的交流平臺(tái),為國(guó)內(nèi)培養(yǎng)出更多優(yōu)秀的白帽黑客。
和韓國(guó)POC Security合作是鄭文彬提出來(lái)的。去年,在韓國(guó)POC Security安全大會(huì)上,鄭文彬看到了跟其他比賽截然不同的新形式。“過(guò)去是比賽方出題黑客答題,而這個(gè)比賽是黑客之間互出題目。”鄭文彬記得,去年有一個(gè)國(guó)際前十的強(qiáng)隊(duì)在這個(gè)比賽中拿了零分,“可見(jiàn)比賽的難度有多高。”
除比賽外,最值得借鑒的是分享會(huì),各個(gè)團(tuán)隊(duì)在賽后還會(huì)分享出題、解題的思路,面對(duì)面交流。鄭文彬希望把這樣的比賽帶到國(guó)內(nèi),邀請(qǐng)俄羅斯、美國(guó)、韓國(guó)等多國(guó)的頂級(jí)黑客戰(zhàn)隊(duì),和國(guó)內(nèi)團(tuán)隊(duì)一起,同臺(tái)競(jìng)技交流。據(jù)了解,此次比賽有兩個(gè)中國(guó)團(tuán)隊(duì)參賽,是上海交通大學(xué)的0ops和清華大學(xué)的藍(lán)蓮花(blue-lotus)。
缺乏安防的智能設(shè)備極易被黑客攻擊
隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái),網(wǎng)絡(luò)安全問(wèn)題將比過(guò)去更加重要。
眼下,智能家居逐步走進(jìn)生活,其背后隱藏著巨大風(fēng)險(xiǎn)。鄭文彬的團(tuán)隊(duì)就曾經(jīng)攻破過(guò)家電、汽車(chē)等的智能設(shè)備,該團(tuán)隊(duì)一位女程序員回憶,攻破智能設(shè)備的瞬間,自己都嚇了一跳。
“我們攻破過(guò)豆?jié){機(jī),還有電視機(jī)、洗衣機(jī),發(fā)現(xiàn)通過(guò)網(wǎng)絡(luò)能找到很多智能設(shè)備漏洞,可以遠(yuǎn)程操控設(shè)備。”比如通過(guò)藍(lán)牙設(shè)備控制油電混動(dòng)的智能汽車(chē),就可以造成緊急斷油、斷電。
她認(rèn)為,增加安全防護(hù),經(jīng)濟(jì)成本不會(huì)太高,主要是時(shí)間成本問(wèn)題。廠商為了搶占市場(chǎng)往往沒(méi)時(shí)間先搭建安全基礎(chǔ),維護(hù)信息安全。“這就像是沒(méi)穿衣服,裸露在外,極易被攻擊。”
在團(tuán)隊(duì)看來(lái),安防是基礎(chǔ),但在實(shí)際發(fā)展中,安防反而是相對(duì)滯后的需求。“就像智能手機(jī)剛出來(lái)的時(shí)候,安全性能不盡人意。其后,安全事件頻發(fā),廠商才慢慢開(kāi)始重視,物聯(lián)網(wǎng)的發(fā)展也是這樣一個(gè)過(guò)程。”
鄭文彬認(rèn)為,物聯(lián)網(wǎng)時(shí)代面臨的安全問(wèn)題會(huì)比較多,“過(guò)去的安全問(wèn)題頂多是信息泄露,但物聯(lián)網(wǎng)時(shí)代,如果醫(yī)療設(shè)備或是家電被黑客攻擊,就可能威脅人的生命安全。”
目前,物聯(lián)網(wǎng)設(shè)備的發(fā)展還處于起步階段,物聯(lián)網(wǎng)設(shè)備和互聯(lián)網(wǎng)安全的結(jié)合度不高。他說(shuō),由于物聯(lián)網(wǎng)的安全性問(wèn)題會(huì)直接影響普通人的真實(shí)生活,可能會(huì)更快解決這一問(wèn)題。
他表示,互聯(lián)網(wǎng)安全是智慧城市發(fā)展的重要基石,“不管是智慧城市還是智能家居,沒(méi)有安全基石就會(huì)危害日常生活。”
黑客操縱信號(hào)燈,就會(huì)造成交通事故;黑客入侵發(fā)電站,就會(huì)導(dǎo)致城市電路癱瘓。一個(gè)典型的例子,去年烏克蘭近60座發(fā)電站在圣誕節(jié)期間被攻擊,導(dǎo)致首都基輔部分地區(qū)和烏克蘭西部地區(qū)整整斷電兩天。
目前國(guó)內(nèi)的安全防范基礎(chǔ)較弱,企業(yè)的安全意識(shí)尚不到位。“其實(shí)只要用最新的系統(tǒng)、打最好的補(bǔ)丁,安全門(mén)檻就會(huì)大大提高,但即便如此,仍有很多企業(yè)做不到。”他表示,“網(wǎng)絡(luò)安全就是國(guó)家安全,政府和企業(yè)都要增強(qiáng)安全意識(shí),將信息安全作為重點(diǎn)來(lái)抓。”