“黑客”(Hack)這個詞,最早出現在麻省理工學院的計算機文化中,被創造的時候,完全是一個正面的稱呼。在乘車去往Menlo Park的路上,你會看到寫著“1 Hacker Way(黑客路1號)”的路牌,那就是Facebook的總部。
1946年,世界上第一臺電子計算機ENIAC在美國誕生。從此,一些最聰明、最有創造力的年輕人,開始進入這個行業,在他們的身上逐漸形成了一種獨特的技術文化——“黑客文化”(Hacker Way)。
1961年,麻省理工學院(MIT)得到了第一臺PDP-1計算機,學院技術模型鐵路俱樂部(Tech Model Railroad Club,TMRC)的成員把它作為最時髦的科技玩具,最能干的聰明人會自豪地稱自己為“黑客”。他們認為,要完成一個hack,就必然包含著高度的革新、獨樹一幟的風格和出色的技術。后來,這些黑客,成為了MIT人工智能實驗室的核心成員。《黑客》(Hackers)的作者史蒂文·利維,把他們稱為計算機革命的英雄。
然而,隨著計算機的普及,計算機病毒泛濫,黑客開始和計算機犯罪聯系在一起。為了澄清“黑客”的概念,傳統意義上的黑客認為只有擁有高技術水平和職業道德的人才能被稱為Hacker,那些惡意入侵計算機系統的人應該被稱為駭客(Cracker,入侵者)。
“今天的黑客文化已經沒落了。”阿里巴巴安全總監陳樹華對《財經天下》周刊感慨道。
如果說,最早的黑客是在追求有趣和探索精神,現在,更多的人則在追求更具實用性的名和利。
電商、互聯網金融、云計算,金錢和信息從來沒有像今天這樣與互聯網技術聯系在一起,這給了黑客們接近財富的機會,也改變著他們的生存環境。
分水嶺
雖然奇虎360、騰訊和阿里巴巴在2010年就開始爭搶安全人才,但彼時安全人員的平均薪水只是與IT行業其他工種持平。
分水嶺出現在2013年,“斯諾登事件”爆發,此后的2014年2月,中央網絡安全和信息化領導小組成立,網絡安全獲得前所未有的關注。
2014年,被黑客界尊稱為“TK教主”的于旸(網名tombkeeper)離開綠盟科技加盟騰訊,年薪千萬,被稱為中國黑客界的標志性事件。
2001年9月18日,Nimda蠕蟲被發現,于旸在自己電腦上架設了一個“蜜罐”,在Nimda蠕蟲爆發當天就捕獲了它,并寫了一份分析報告。那是國內第一份對蠕蟲這種新型安全威脅做出多角度分析的報告。此后,于旸開始研究軟件、硬件以及無線等各種安全風險,曾發現并報告了Cisco、Microsoft等公司產品的多個安全漏洞。
2015年初,吳石團隊也正式加盟騰訊,成立了專注于云計算與移動終端安全研究的科恩實驗室,其核心成員多來自原Keen Team團隊。
“薪水,忽然一下子就高了。”奇虎360核心安全負責人鄭文彬說。2006年底,鄭文彬接受360邀請來北京時,只有19歲,網絡安全市場剛剛起步。
乍見鄭文彬,你可能會誤以為他是搞藝術的,但在黑客界,他有一個響亮的代號:MJ0011。他領導的伏爾甘團隊(360Vulcan Team),連續兩年在Pwn2Own攻破了IE和Chrome瀏覽器。
涼鞋、T恤、短褲、黑框眼鏡、略微卷曲的頭發和胖乎乎的身材,很難想象他就是中國最有名的網絡安全工程師之一。
“叫我們安全工程師也好,叫‘防火墻’也行,稱呼無所謂,做什么比叫什么更重要。”鄭文彬的家離單位半個多小時,每天10點上班,晚上無確定下班時間。工作就是每天與網絡上的病毒、木馬、漏洞等進行攻防對抗。核心團隊里細分了多個小團隊,有人負責安全產品的研發,有人分析和處理病毒、木馬,還有人負責高端漏洞修補。鄭文彬是把控整個方向的那個。
2015年,伏爾甘團隊拿到Pwn2Own(Pwn2Own被稱為“黑客世界杯”)的冠軍時,公司的幾位老板以下命令的方式,要求鄭文彬把決賽中所使用的那部電腦“貢獻”出來,擺放在360公司的歷史榮譽展覽室里。
鄭文彬非常認真地跟團隊成員商量過這件事,但沒什么人回應。“他們都內向,太低調了。”鄭文彬說,每次組織團隊成員出去演講,也是一樣沒人回應,甚至團建去KTV唱歌也沒人參與。
360樓下不遠處,是烏云平臺開的一個黑客酒吧,門口豎著一個牌子,上面寫著:內有黑客,后果自負。但鄭文彬只去過一次,還是烏云平臺的人邀請過去的。
“我已經是我們這里最外向的了。”鄭文彬自我調侃道。
但即便如此,還是有很多同事直接、間接地認識了他們。其他部門的同事們見面就會問:“聽說你們年薪幾百萬,還拿著大把股票?”對此,鄭文彬只能笑笑。
像鄭文彬這樣的人,360還有幾十個。除了會向安全產品部門輸出一些核心技術,更多的是純粹的研究,而多數研究成果還都很難立即商業化。
“所以,(養黑客)這個事只有在大公司里才有,而且會越來越貴。”鄭文彬說,從2014年開始,漏洞安全人才年薪動輒幾百萬元,甚至上千萬元。
紅與黑
公司和駭客打了一架,后者不斷發來信息堵塞系統,并試圖盜取用戶信息,戰爭一直持續了一個星期,最后公司贏了。但是李苗卻不愿多說,因為“只會招來更多的攻擊”。
李苗所在的是一家互聯網金融公司。黑客的目的很簡單,想要盜取公司的用戶信息。
“這樣的故事太多了。”安塞副總裁杜東亮向《財經天下》周刊說道:“你給我任何一個電話號碼,我們就可以查到他五大銀行的所有存款信息。”
不過,你并不用擔心安塞盜取信息或者資產,因為安塞是中國一些金融機構的安全合作方,他們的行為也需要接受相關部門的監督。
“他們(駭客)有些像強盜,有些像小偷。小偷可能會偷走你的錢,但強盜可能就是平白無故地打你一頓。”杜東亮說。2013年12月5日,中國央行發布《關于防范比特幣風險的通知》,表明不支持比特幣后,隨即遭受到大量來自國外的黑客攻擊,安塞作為央行的合作方,與這些入侵者較量了很長一段時間。
在這些入侵者的背后,是一條完整的黑色產業鏈,被簡稱為黑產。
陳樹華所在的安全部,被稱為阿里“神盾局”,這也是阿里最低調、最神秘的部門。“我們每天都要和黑產打交道,由于強大的利益驅動,黑產的反應速度非常快,對新技術手段的敏銳度非常高。”陳樹華說:“因此,在與黑產的斗爭中,傳統安全更多的處于防守位置,但借助大數據和縱深防御體系,阿里就有能力做前置化的預防工作了。”陳樹華是阿里聚安全、錢盾產品創始人,也是國內最早的一批移動安全專家之一。加入阿里之前,在騰訊負責安全工作。
傳統的安全廠商主要是解決內網問題,但現在的安全問題,已經沒有邊界了。每一個互聯網項目里都涉及到大量的資金和信息。“今天,你找出任何一個漏洞,帶來的價值都將超過我們想象。”陳樹華說。
2015阿里安全年報顯示,在移動端,iOS系統的漏洞,2015年比2014年增長1.28倍。安卓系統更恐怖,當前應用市場中97%的應用都有漏洞,平均每一個應用上的漏洞達到87個,其中不少都是高危漏洞。
陳樹華一直做移動互聯網安全。他說,在這之前,手機感染病毒的幾率非常的低,但隨著整個互聯網業務的高速發展,18%的手機感染過病毒,95%的移動熱門應用是仿冒。
據不完全統計,目前中國網絡黑色產業鏈的“從業者”已經超過了40萬人,依托其進行網絡詐騙產業的從業人數至少有160萬人,“年產值”超過1100億元。
2015年年初,騰訊曾針對網絡黑色產業鏈進行了一次全面調研,并發布了首份《網絡黑色產業鏈年度報告》。報告顯示,在移動支付安全領域,目前已逐漸形成一條分工明確、作案手法專業的黑色產業鏈。從業者主要是分布在二三線城市、年齡介于15至25歲之間的無業年輕人。騰訊移動安全實驗室數據顯示,2015年上半年,手機支付木馬病毒新增29762個,感染用戶總數達到1145.5萬,最高峰出現在6月,平均每天有6.8萬名用戶中毒。
黑色產業鏈的發展,也給各個公司的安全團隊招人帶來了困難。
“我的團隊完全是社會招聘,現在發現一個好苗子實在太難了。”鄭文彬說。很多黑客都被黑色產業卷走,剩下的這些人,有著一個比較統一的性格標簽:道德潔癖。因此,吳石、鄭文彬們愿意出現在各種黑客大賽上,甚至公開演講,希望能夠引導年輕人,走正確的路。
米特尼克是歷史上第一個因網絡犯罪而入獄的黑客,也是第一個被FBI通緝的電腦黑客。他在15歲的時候就入侵了北美空中防務指揮系統,翻遍了美國指向前蘇聯及其盟國的所有核彈頭的數據資料,后來又先后入侵了太平洋電腦公司、聯邦調查局等系統。2002年出獄后,他出版了暢銷書《欺騙的藝術》,成了全球廣受歡迎的計算機安全專家之一。
在接受媒體采訪時,米特尼克曾說道,駭客是條錯誤的道路,如果能回到過去,他絕不會重蹈覆轍。
孤狼的尷尬
并不是所有的黑客都進了大公司。而那些單獨作戰的孤狼,有時也會面臨尷尬的境地。
在一次安全大會上,一位父親闖了進來,拿著一沓打印的資料,希望在參會的這些人里,有人能夠幫到他的兒子——不久前,他的兒子破解了某婚戀網站的漏洞,并把這個漏洞發布到了烏云平臺上,但是,他的兒子還是被這家婚戀網站起訴,并被批捕了。
《財經天下》周刊記者向該網站核實是否起訴了一名黑客,但沒有得到答復。
更有名的案例是京東案。2011年12月30日,賈偉在陜西咸陽一家制藥廠被警方帶走,他的老父親顫顫巍巍地在拘留證上簽了字,然后整整一個月沒睡著過。
2011年底,中國互聯網爆發了一次大規模用戶信息泄漏事件。當時天涯社區、技術開發網站CSDN、游戲門戶多玩網、婚戀網站珍愛網等多家網站用戶資料被泄露,被業內人士稱之為“脫褲門”。京東商城也沒有幸免。
京東漏洞的發現者正是賈偉。賈偉有一個常用ID:我心飛翔。在京東商城內部技術人員遲遲無法修復漏洞的情況下,賈偉表示只要聘請自己為高級技術顧問,并支付約240萬元勞務費,就將為京東商城修復該漏洞。結果,京東商城以網絡被入侵并被“敲詐勒索”為由,向北京朝陽區公安局報警。一個多月后,賈偉被保釋。
“這就像我家有個后門,開著,但我沒有允許你進來看啊。你不但進來了,還把我家房間的擺設都看了一遍。我當然不高興了。”孫義在一家大型國產手機廠商做安全運維——負責與黑客接觸,發現漏洞并作出響應。
孫義在那次安全大會上也看到了為黑客兒子求助的父親,但卻沒有表現出同情。“就是烏云,也只是一個平臺。你把信息發在上面,但是出了事,他們一樣不管。”
每個月,孫義都能收幾十起安全漏洞的報告。“我們會給他(發現漏洞的黑客)一些精神獎勵,給他證書,甚至幫他申請國際漏洞編號。這些他都可以寫在他的簡歷里,找工作好使啊。”至于金錢上的報酬,沒有。
“我們鼓勵‘白帽子’一起建設安全生態,會給漏洞發現者提供精神和物質上的雙重獎勵。”阿里巴巴安全總監陳樹華說。
而京東也在賈偉事件之后,設立了應急響應中心。京東商城信息安全部經理李學慶說,作為一個安全應急響應中心,和騰訊的TSRC、百度的BSRC、阿里巴巴的ASRC一樣,京東的JSRC有一個主要任務——堵住一切有可能產生破壞的漏洞。
不過,與國外的廠商相比,國內廠商給予的獎勵仍然缺少競爭力。根據京東的數據,提交任何可以攻擊京東的漏洞,大概能夠獲得1000元的京東購物卡獎勵。在6.18之前,京東搞了一個雙倍積分的活動,“白帽子”提交高危漏洞,最高可以得到折合價值12000元的獎勵。
京公網安備 11010502049343號