我最喜愛的高智商犯罪美劇,《疑犯追蹤》(person of interest)在這個(gè)夏天完結(jié)了,豆瓣評(píng)分9.6分。
主角Finch是一個(gè)黑客,“911”的第二天,他編寫了一個(gè)通過監(jiān)控人類行為,預(yù)測(cè)恐怖襲擊的程序the machine(機(jī)器寶寶),以1美元的價(jià)格賣給了政府。
Finch是一個(gè)躲在幕后的隱形富豪和黑客天才。他的大學(xué)好友Ingram一直替他站在臺(tái)前,充當(dāng)成功CEO。但I(xiàn)ngram發(fā)現(xiàn),機(jī)器寶寶不但可以預(yù)測(cè)恐怖襲擊,還可以預(yù)測(cè)平民犯罪。每天,機(jī)器寶寶都會(huì)吐出一串串的數(shù)字,但政府對(duì)平民犯罪不感興趣,他們的重點(diǎn)是恐怖襲擊。
那些明明可以避免,但因?yàn)檎蛔鳛槎龊Φ娜耍恢崩_著Ingram。更何況,號(hào)碼每天都在不斷產(chǎn)生。Ingram想把真相公之于眾,但Finch叔一開始也不以為意。直到Ingram遇難,F(xiàn)inch自己也傷了脊椎瘸了一條腿,他決定拯救世界了。他找到了自暴自棄的前CIA特工Reese,兩個(gè)人開始聯(lián)手救人。當(dāng)然,故事沒有這么簡(jiǎn)單,正邪勢(shì)力不斷浮出水面,并且政府還暗地造了另一個(gè)邪惡程序撒瑪利亞。Finch、Reese保護(hù)著機(jī)器寶寶,機(jī)器寶寶也保護(hù)著他們。
這樣的黑客生活很酷炫,是不是?
但真實(shí)的世界并非如此。
5月的一各黑客大會(huì)上,數(shù)百個(gè)網(wǎng)絡(luò)安全創(chuàng)業(yè)公司和個(gè)人,從各地趕來,大部分人的目的特別簡(jiǎn)單,BAT、360、京東等互聯(lián)網(wǎng)公司那得到一筆訂單或者合作的機(jī)會(huì)。
這些人自稱為白帽子黑客。但他們中的大部分人,都談不上天才的級(jí)別。黃石(化名)說,有出版社在找他,以他的經(jīng)歷為主線,寫一本關(guān)于中國(guó)黑客的書。黃石沒讀過大學(xué),是在一所中專學(xué)的計(jì)算機(jī),并開始接觸到黑客技術(shù)。
“白帽子和黑帽子是有明顯的界限的。”黃石說。黑客有好壞正邪之分,傳統(tǒng)的正直黑客稱為白帽子黑客(白客),愛國(guó)的是紅帽子黑客(紅客),壞蛋被稱為駭客。黃石沒做過什么違法的事情,但技術(shù)水平也一般,沒做過什么驚天動(dòng)地的大事。
早年,黃石愛泡在各種黑客論壇里,后來線下的安全大會(huì)越來越頻繁,黃石每次都會(huì)參加,慢慢的也就成了圈里人。
“今天的黑客文化已經(jīng)沒落了。”阿里巴巴安全總監(jiān)陳樹華不太喜歡這種所謂圈子的文化,他對(duì)《財(cái)經(jīng)天下》周刊感慨道:如果說,最早的黑客是在追求有趣、探索精神。現(xiàn)在,更多的人追求的不過是更具實(shí)用性的名和利。
電商、互聯(lián)網(wǎng)金融、云計(jì)算,金錢和信息從來沒有像今天這樣與互聯(lián)網(wǎng)技術(shù)聯(lián)系在一起。這給了黑客們接近財(cái)富的機(jī)會(huì),也改變了他們的生存環(huán)境。
參加“黑客世界杯”的騰訊團(tuán)隊(duì)。
英雄歸來
乘車去往Menlo Park的路上,你會(huì)看到一個(gè)寫著“1 Hacker Way(黑客路1號(hào))”的路牌,那就是Facebook的總部。
“黑客”(Hack),被創(chuàng)造的時(shí)候,完全是一個(gè)正面稱呼,就像是英雄。
1961年,麻省理工學(xué)院(MIT)得到了第一臺(tái)PDP-1計(jì)算機(jī),學(xué)院技術(shù)模型鐵路俱樂部(Tech Model Railroad Club,TMRC)的成員把它作為最時(shí)髦的科技玩具,最能干的聰明人自豪的稱自己是“黑客”。
他們認(rèn)為,要完成一個(gè)hack,必然包含著高度的革新、獨(dú)樹一幟的風(fēng)格、和出色的技術(shù)。后來,這些黑客成為了MIT人工智能實(shí)驗(yàn)室的核心成員。《黑客》(Hackers)的作者史蒂.文利維,把他們稱為計(jì)算機(jī)革命的英雄。
隨著計(jì)算機(jī)的普及,計(jì)算機(jī)病毒泛濫,黑客逐漸和計(jì)算機(jī)犯罪聯(lián)系在一起。為了澄清“黑客”的概念,傳統(tǒng)黑客表示,只有擁有高技術(shù)和職業(yè)道德的人才能被稱為Hacker,那些惡意入侵的人應(yīng)該被稱為駭客(Cracker,入侵者)。
“我們招人有明確的原則,只要做過駭客的,技術(shù)再高,我們也不招的。”騰訊電腦管家負(fù)責(zé)人鄧欣說。因?yàn)轳斂蛡冑嶅X太容易了,一旦走上這條路,很難完全回頭。
鄧欣帶領(lǐng)的騰訊電腦管家和陳良帶領(lǐng)的科恩實(shí)驗(yàn)室,在剛剛結(jié)束的Pwn2Own2016黑客大賽上,拿下了4個(gè)單項(xiàng)冠軍,獎(jiǎng)金20萬美元。
Pwn是一個(gè)黑客語言,指攻破設(shè)備或者系統(tǒng)。Pwn2Own被稱為“黑客世界杯”。今年,參賽隊(duì)伍要攻破的是最新版本的微軟 Edge 瀏覽器、蘋果 Safari瀏覽器、谷歌 Chrome 瀏覽器、Adobe Flash 插件。每個(gè)參賽隊(duì)有15分鐘的時(shí)間,和3次試錯(cuò)的機(jī)會(huì)。
尋找漏洞的程序是提前寫好的,但每次比賽前的一兩周,這些廠商都會(huì)推出一個(gè)超級(jí)補(bǔ)丁,修補(bǔ)他們最近發(fā)現(xiàn)的所有漏洞。如果準(zhǔn)備參賽的漏洞恰巧在這一刻被修補(bǔ)了,之前的辛苦也就白費(fèi)了。
很不幸。賽前一周多,陳良發(fā)現(xiàn),蘋果最新的補(bǔ)丁修補(bǔ)了他們準(zhǔn)備比賽的兩個(gè)Safari漏洞。為了尋找新的漏洞,他們?nèi)找共煌5闹匦屡挪橹皽?zhǔn)備的資料,一位成員甚至把床都搬到了辦公室。又很幸運(yùn)。第三天的時(shí)候,他們發(fā)現(xiàn)蘋果系統(tǒng)的視頻渲染程序中,兩個(gè)鋸齒重疊的時(shí)候,會(huì)發(fā)生微小的計(jì)算錯(cuò)誤。那一刻,陳良忍不住興奮,不停的拍著桌子。
但代碼必須重寫,又涉及到視頻渲染,非常復(fù)雜。直到在飛往溫哥華賽場(chǎng)的飛機(jī)上,陳良還在寫著代碼。
主要對(duì)手是18歲的自韓國(guó)黑客神童 Lokihardt。2015年的Pwn2Own上,Lokihardt同時(shí)攻破了IE、Chrome、Safari,最近三年,他以一己之力,幾乎拿到了世界黑客賽事的所有冠軍。
不過,“幸運(yùn)之神站在了我們這邊。”陳良說。就在所有人都認(rèn)為L(zhǎng)okihardt會(huì)成功的時(shí)候,Windows 系統(tǒng)突然彈窗,提示“該操作有風(fēng)險(xiǎn)”。Lokihardt比賽的電腦是在脫機(jī)狀態(tài)下安裝的,在攻擊過程中多了一步對(duì)用戶 ID 的驗(yàn)證,這是他在自己聯(lián)網(wǎng)狀態(tài)下安裝的電腦上無法發(fā)現(xiàn)的。
打比賽,是鄧欣和陳良工作的一小部分。更多的時(shí)候,他們?cè)趯ふ衣┒矗⒎答伣o廠商。每個(gè)月,他們都能發(fā)現(xiàn)十幾甚至二十幾個(gè)漏洞。
4月份,鄧欣所在的騰訊電腦管家團(tuán)隊(duì)報(bào)了14個(gè)漏洞給Adobeflash。“我們打比賽的那個(gè)漏洞,被駭客掌握的話,給你發(fā)個(gè)pdf文檔,你只要點(diǎn)開他就可以控制你的電腦了。”鄧欣說。
漏洞獵手
“你以為黑客是一個(gè)非常有趣的事業(yè),事實(shí)上完全不是這樣,你要耐得住寂寞,像我們團(tuán)隊(duì)的吳石,十幾年很少出差,很少出國(guó)旅游,基本上天天和代碼打交道。”陳良說。
吳石在國(guó)內(nèi)黑客圈被譽(yù)為“殿堂級(jí)”的人才,也是陳良的師兄。到現(xiàn)在,他已經(jīng)發(fā)現(xiàn)并報(bào)告了IE、Safari和Chrome等瀏覽器中存在的近200個(gè)嚴(yán)重漏洞。
2007年的時(shí)候,王琦負(fù)責(zé)創(chuàng)建微軟中國(guó)的安全響應(yīng)中心時(shí),美國(guó)總部給他打了一個(gè)電話,讓他去找一個(gè)人。他們發(fā)現(xiàn),當(dāng)時(shí)在報(bào)告給Windows操作系統(tǒng)的漏洞中,有這個(gè)名字出現(xiàn)的頻率特別高,就是吳石。
但王琦找到吳石時(shí),完全被他窮困潦倒的生活驚呆了。當(dāng)時(shí),國(guó)內(nèi)安全研究人員的工資只有三四千元。實(shí)際上,很長(zhǎng)一段時(shí)間,網(wǎng)絡(luò)安全技術(shù)人員的待遇甚至比IT行業(yè)的平均水平還要低。
復(fù)旦大學(xué)數(shù)學(xué)系畢業(yè)后,吳石就利用業(yè)余時(shí)間查找漏洞。2007年8月,吳磊收到了安全服務(wù)商惠普旗下一個(gè)安全平臺(tái)ZDI發(fā)來的一封郵件,向他詢問關(guān)于一個(gè)微軟的漏洞細(xì)節(jié)。吳石回復(fù)了ZDI后,ZDI又來信表示,以后可以將發(fā)現(xiàn)的漏洞賣給ZDI專門做收購、分析的項(xiàng)目小組。當(dāng)年底,ZDI給吳石頒發(fā)了2萬美元的“白金獎(jiǎng)”。
ZDI會(huì)給給每個(gè)漏洞兩三千美元,但如果當(dāng)年的獎(jiǎng)金經(jīng)已經(jīng)用得差不多了,他們就不會(huì)再繼續(xù)收購吳石的漏洞。基本上,吳石每年賣給他們10個(gè)左右的漏洞。
賣不出去的漏洞,吳石就直接發(fā)送給出現(xiàn)漏洞的廠商。Google一開始會(huì)給500美元的獎(jiǎng)勵(lì),后來為了鼓勵(lì)人們跳過安全公司直接把漏洞提交給他們,就把獎(jiǎng)金提高到3000美元。蘋果一開始?jí)焊鶅翰唤o錢,后來,每個(gè)漏洞也提高到了兩三千美元。
吳石認(rèn)為,把漏洞出售給出現(xiàn)漏洞的企業(yè),比賣給安全公司更加合法。不過,雖然國(guó)內(nèi)的企業(yè)也希望能夠修補(bǔ)漏洞,但不像國(guó)外企業(yè)那么積極。
后來,王琦打算在中國(guó)成立獨(dú)立的安全技術(shù)團(tuán)隊(duì),就拉吳磊入伙。吳石提不起興趣,周圍的朋友不是過得慘淡,就是做著黑產(chǎn)。王勸他,“我們雖然看不到蛋糕,但你會(huì)揉面,他會(huì)生火,我們可以先做個(gè)饅頭出來養(yǎng)活自己,這樣至少大家都不會(huì)走(做黑產(chǎn))。”于是,Kenn Team(碁震安全研究團(tuán)隊(duì))就這樣成立了。
Kenn Team成立了兩三年,生意不溫不火。每年,他們賣漏洞給安全平臺(tái)或者廠商的收入只有一千多萬元,不及從事黑產(chǎn)那幫人的十分之一。
直到2010年6月,當(dāng)時(shí)蘋果公司針對(duì)iPhone操作系統(tǒng)發(fā)布了64個(gè)新補(bǔ)丁,15個(gè)漏洞是由吳石發(fā)現(xiàn)的,而由蘋果內(nèi)部研究人員只發(fā)現(xiàn)了6個(gè)。美國(guó)《福布斯》把吳石稱為漏洞獵手。Kenn Team也因此走進(jìn)了公眾的視線,并最終接受了騰訊的投資。
薪水,忽然一下子就高了
2010年,奇虎360、騰訊和阿里巴巴在2010年就開始爭(zhēng)搶安全人才時(shí),安全研究人員的平均薪水還只是與IT行業(yè)其他工種持平。
2013年,“斯諾登事件”爆發(fā),讓網(wǎng)絡(luò)安全獲得了前所未有的關(guān)注。2014年2月,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。同年,被黑客界稱為“TK教主”的于旸(Tombkeeper)離開綠盟科技加盟騰訊,年薪千萬,成為中國(guó)黑客界的標(biāo)志性事件。
2001年9月18日,Nimda蠕蟲被發(fā)現(xiàn),于旸在自己電腦上架設(shè)了一個(gè)“蜜罐”,在Nimda蠕蟲爆發(fā)當(dāng)天就捕獲了它,并寫了國(guó)內(nèi)第一份對(duì)蠕蟲做出多角度分析的報(bào)告。此后,于旸開始研究軟件、硬件以及無線等各種安全風(fēng)險(xiǎn)。
2015年初,吳石團(tuán)隊(duì)正式加盟騰訊,成立了專注于云計(jì)算與移動(dòng)終端安全研究的科恩實(shí)驗(yàn)室,核心成員多來自原Keen Team團(tuán)隊(duì)。
“薪水,忽然一下子就高了。”奇虎360核心安全負(fù)責(zé)人鄭文彬說。2006年底,鄭文彬接受360邀請(qǐng)來北京時(shí),只有19歲,網(wǎng)絡(luò)安全市場(chǎng)剛剛起步。
乍見鄭文彬,你可能會(huì)誤以為他是搞藝術(shù)的。涼鞋、T恤、短褲、黑框眼鏡、略微卷曲的頭發(fā)和胖乎乎的身材,很難想象他就是中國(guó)最有名的網(wǎng)絡(luò)安全工程師之一。但在黑客界,他有一個(gè)響亮的代號(hào):MJ0011。他領(lǐng)導(dǎo)的伏爾甘團(tuán)隊(duì)(360Vulcan Team),連續(xù)兩年在Pwn2Own攻破了IE和Chrome瀏覽器。
“叫我們安全工程師也好,‘防火墻’也行,無所謂,做什么比叫什么更重要。”鄭文彬的家離單位半個(gè)多小時(shí),每天10點(diǎn)上班,晚上無確定下班時(shí)間。工作就是每天與網(wǎng)絡(luò)上的病毒、木馬、漏洞等進(jìn)行攻防對(duì)抗。核心團(tuán)隊(duì)里細(xì)分了多個(gè)小團(tuán)隊(duì),有人負(fù)責(zé)安全產(chǎn)品的研發(fā),有人分析和處理病毒、木馬,還有人負(fù)責(zé)高端漏洞修補(bǔ)。鄭文彬是把控整個(gè)方向的那個(gè)。
2015年,伏爾甘團(tuán)隊(duì)拿到Pwn2Own的冠軍時(shí),公司要求鄭文彬把決賽中所使用的那部電腦“貢獻(xiàn)”出來,擺放在360公司的歷史榮譽(yù)展覽室里。
鄭文彬非常認(rèn)真地跟團(tuán)隊(duì)成員商量過這件事,但沒什么人回應(yīng)。“他們都內(nèi)向,太低調(diào)了。”鄭文彬說,每次組織團(tuán)隊(duì)成員出去演講,甚至團(tuán)建去KTV唱歌,都沒人響應(yīng)。
360樓下不遠(yuǎn)處,是烏云平臺(tái)開的一個(gè)黑客酒吧,門口豎著一個(gè)牌子,上面寫著:內(nèi)有黑客,后果自負(fù)。但鄭文彬只去過一次,還是烏云平臺(tái)的人邀請(qǐng)過去的。
“我已經(jīng)是我們這里最外向的了。”鄭文彬自我調(diào)侃道。即便如此,還是有很多同事直接、間接地認(rèn)識(shí)了他們。其他部門的同事們見面就會(huì)問:“聽說你們年薪幾百萬,還拿著大把股票?”
像鄭文彬這樣的人,360還有幾十個(gè)。除了會(huì)向安全產(chǎn)品部門輸出一些核心技術(shù),更多的是純粹的研究,而多數(shù)研究成果還都很難立即商業(yè)化。
“所以,(養(yǎng)黑客)這個(gè)事只有在大公司里才有,而且會(huì)越來越貴。”鄭文彬說,從2014年開始,漏洞安全人才年薪動(dòng)輒幾百萬元,甚至上千萬元。
陳樹華所在的安全部,被稱為阿里“神盾局”。
紅與黑
公司和黑客(入侵者)打了一架,入侵者不斷的發(fā)來信息堵塞系統(tǒng),并試圖盜取用戶信息,戰(zhàn)爭(zhēng)一直持續(xù)了一個(gè)星期,最后公司贏了。但是李苗卻不愿多說。
“誰要說自己的公司防御措施好,那就相當(dāng)于公開下戰(zhàn)書,只會(huì)招來更多的攻擊。”李苗在一家互聯(lián)網(wǎng)金融公司工作,總有黑客想要盜取公司的用戶信息。
“這樣的故事太多了。”安塞副總裁杜東亮說,給他任何一個(gè)電話號(hào)碼,就可以查到五大銀行的所有存款信息。不過,安塞是中國(guó)一些金融機(jī)構(gòu)的安全合作方,他們的行為也需要接受相關(guān)部門的監(jiān)督。
“他們(駭客)有些像強(qiáng)盜,有些像小偷。小偷可能會(huì)偷走你的錢,但強(qiáng)盜可能就是平白無故的打你一頓。”杜東亮說。2013年12月5日,中國(guó)央行發(fā)布《關(guān)于防范比特幣風(fēng)險(xiǎn)的通知》,表明不支持比特幣后,隨即遭受到大量來自國(guó)外的黑客攻擊,安塞作為央行的合作方,與這些入侵者較量了很長(zhǎng)一段時(shí)間。
在這些入侵者的背后,是一條完整的黑色產(chǎn)業(yè)鏈,被簡(jiǎn)稱為黑產(chǎn)。
陳樹華所在的安全部,被稱為阿里“神盾局”,這也是阿里最低調(diào)、最神秘的部門。“我們每天都要和黑產(chǎn)打交道。”陳樹華說,他們不但要修補(bǔ)漏洞,還要研究防止刷單的方法。陳樹華是阿里聚安全、錢盾產(chǎn)品創(chuàng)始人,也是國(guó)內(nèi)最早的一批移動(dòng)安全專家之一。2014年加入阿里之前,在騰訊負(fù)責(zé)安全工作。
今天,每一個(gè)互聯(lián)網(wǎng)項(xiàng)目利都涉及到大量的資金和信息。“你找出任何一個(gè)漏洞,帶來的價(jià)值將超過我們想象。”陳樹華說。統(tǒng)計(jì)數(shù)據(jù)顯示,在移動(dòng)端,IOS系統(tǒng)的漏洞,2015年比2014增長(zhǎng)1.28倍。安桌更恐怖,今天應(yīng)用市場(chǎng)應(yīng)用97%都有漏洞的,平均每一個(gè)應(yīng)用上面達(dá)到87個(gè)漏洞,很多都是高危漏洞。
陳樹華一直做移動(dòng)互聯(lián)網(wǎng),他發(fā)現(xiàn),在這之前,手機(jī)感染病毒非常的低,但隨著整個(gè)互聯(lián)網(wǎng)業(yè)務(wù)高峰發(fā)展,18%手機(jī)裝過病毒,其中95%是因?yàn)榘惭b了仿冒的移動(dòng)熱門應(yīng)用。
不完全統(tǒng)計(jì),目前中國(guó)網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的“從業(yè)者”已經(jīng)超過了40萬人,依托其進(jìn)行網(wǎng)絡(luò)詐騙產(chǎn)業(yè)的從業(yè)人數(shù)至少有160萬人,“年產(chǎn)值”超過1100億元。
2015年年初,騰訊曾針對(duì)網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈進(jìn)行了一次全面調(diào)研,發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報(bào)告》顯示,在移動(dòng)支付安全領(lǐng)域,目前已逐漸形成一條分工明確、作案手法專業(yè)的黑色產(chǎn)業(yè)鏈。從業(yè)者主要分布在二三線城市,是年齡介于15至25歲之間的無業(yè)年輕人。騰訊移動(dòng)安全實(shí)驗(yàn)室數(shù)據(jù)顯示,2015年上半年,手機(jī)支付木馬病毒新增29762個(gè),感染用戶總數(shù)達(dá)到1145.5萬,最高峰6月平均每天6.8萬名用戶中毒。
黑色產(chǎn)業(yè)的發(fā)展,也給各個(gè)公司的安全團(tuán)隊(duì)招人帶來了困難。
“我的團(tuán)隊(duì)完全是社會(huì)招聘,現(xiàn)在發(fā)現(xiàn)一個(gè)好苗子實(shí)在太難了。”鄭文彬說。很多黑客都被黑色產(chǎn)業(yè)卷走,剩下的這些人,有著一個(gè)比較統(tǒng)一的性格標(biāo)簽,“道德潔癖”。因此,吳石、鄭文彬們?cè)敢獬霈F(xiàn)各種黑客大賽上,甚至公開演講,希望能夠引導(dǎo)年輕人,走正確的路。
米特尼克是歷史上第一個(gè)因網(wǎng)絡(luò)犯罪而入獄的黑客,也是第一個(gè)被FBI通緝的電腦黑客。他在15歲的時(shí)候,就入侵了北美空中防務(wù)指揮系統(tǒng),翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料,后來又先后入侵了太平洋電腦公司、聯(lián)邦調(diào)查局等系統(tǒng)。2002 年出獄后,他出版了暢銷書《欺騙的藝術(shù)》,成為全球廣受歡迎的計(jì)算機(jī)安全專家之一。
米特尼克曾說,駭客是條錯(cuò)誤的道路,如果能回到過去,他絕不會(huì)重蹈覆轍。
奇虎360核心安全負(fù)責(zé)人鄭文彬在黑客界有一個(gè)響亮的代號(hào):MJ0011。
“袁煒”們的尷尬
并不是所有的人,都進(jìn)入了大公司。那些單獨(dú)作戰(zhàn)的孤狼,有時(shí)也會(huì)面臨尷尬的境地。
最近一個(gè)安全大會(huì)上,一位父親闖了進(jìn)來,拿著一沓打印的資料,希望有人能夠幫到他的兒子袁煒。
2015年12月3日,袁煒對(duì)世紀(jì)佳緣網(wǎng)站進(jìn)行SQL網(wǎng)絡(luò)漏洞注入攻擊,并把漏洞發(fā)在了與世紀(jì)佳緣有合作的烏云平臺(tái)上。12月4日,烏云通知了世紀(jì)佳緣存在SQL數(shù)據(jù)庫注入漏洞。但隨后,世紀(jì)佳緣選擇了報(bào)警,稱袁煒獲取了900多條有效數(shù)據(jù)。袁煒最終被批捕。
袁煒不是個(gè)例。
2011年低,中國(guó)互聯(lián)網(wǎng)爆發(fā)了一次大規(guī)模用戶信息泄漏事件,當(dāng)時(shí)天涯社區(qū)、技術(shù)開發(fā)網(wǎng)站 CSDN、游戲門戶多玩網(wǎng)、婚戀網(wǎng)站珍愛網(wǎng)等多家網(wǎng)站用戶資料被泄露,被業(yè)內(nèi)人士稱之為“脫褲門”。京東商城也沒有幸免。
2011年4月,賈偉,常用ID“我心飛翔”在京東購物時(shí),無意間發(fā)現(xiàn)了京東“后門”(技術(shù)漏洞),可以獲取京東所有客戶賬號(hào)和密碼及個(gè)人信息。隨即,他將這一漏洞反饋給京東,一位技術(shù)人員“魚蛋”主動(dòng)聯(lián)系賈詢問漏洞,表示將在第一時(shí)間內(nèi)修復(fù)。
賈偉連續(xù)跟蹤觀察領(lǐng)了8個(gè)月,發(fā)現(xiàn)漏洞沒有實(shí)際性的改變。他便把漏洞發(fā)布在了烏云平臺(tái)上,京東也驗(yàn)證了自己存在的漏洞,并以官方身份進(jìn)行了漏洞確認(rèn)。但京東技術(shù)人員還是無法確認(rèn)具體的漏洞所在,賈偉表示只要聘請(qǐng)自己為高級(jí)技術(shù)顧問,并支付約240萬元?jiǎng)趧?wù)費(fèi),就可以為京東商城修復(fù)該漏洞。結(jié)果,京東商城以網(wǎng)絡(luò)被入侵并被“敲詐勒索”為由,向北京朝陽區(qū)公安局報(bào)警,2011年12月30日,賈偉被警方帶走,一個(gè)多月后,被保釋出獄。
“這就像我家有個(gè)后門,開著,但我沒有允許你進(jìn)來看啊。你不但進(jìn)來了,還把我家房間的擺設(shè)都看了一遍。我當(dāng)然不高興了。”孫義(化名)在一家大型國(guó)產(chǎn)手機(jī)廠商做安全運(yùn)維——負(fù)責(zé)與黑客接觸,發(fā)現(xiàn)漏洞并作出響應(yīng)。
孫義雖然在會(huì)上看到了袁煒的父親,卻沒有對(duì)他的遭遇表現(xiàn)出同情。“烏云也只是一個(gè)平臺(tái),你把信息發(fā)在上面,出了事,他們一樣不管的。”
每個(gè)月,孫義都能收幾十起安全漏洞的報(bào)告。“我們會(huì)給他(發(fā)現(xiàn)漏洞的黑客)一些精神獎(jiǎng)勵(lì),給他證書,甚至幫他申請(qǐng)國(guó)際漏洞編號(hào)。這些他都可以寫在他的簡(jiǎn)歷里,找工作好使啊。”至于金錢上的報(bào)酬,沒有。
“我們鼓勵(lì)‘白帽子’一起建設(shè)安全生態(tài),會(huì)給漏洞發(fā)現(xiàn)者提供精神和物質(zhì)上的雙重獎(jiǎng)勵(lì)。”阿里巴巴安全總監(jiān)陳樹華說。
而京東也在賈偉事件之后,設(shè)立了應(yīng)急響應(yīng)中心。京東商城信息安全部經(jīng)理李學(xué)慶說,作為一個(gè)安全應(yīng)急響應(yīng)中心,和騰訊的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一樣,京東的 JSRC 有一個(gè)主要任務(wù)——堵住一切有可能產(chǎn)生破壞的漏洞。
不過,與國(guó)外的廠商相比,國(guó)內(nèi)廠商給予的獎(jiǎng)勵(lì)仍然缺少競(jìng)爭(zhēng)力。根據(jù)京東的數(shù)據(jù),提交任何可以攻擊京東的漏洞,大概能夠獲得1000元的京東購物卡獎(jiǎng)勵(lì)。在6.18 之前,京東搞了一個(gè)雙倍積分的活動(dòng),“白帽子”提交高危漏洞,最高可以得到折合價(jià)值12000元的獎(jiǎng)勵(lì)。