第三方軟件系統(tǒng)漏洞、外部數(shù)據(jù)撞庫、個(gè)別內(nèi)鬼泄露……近年來,不少企業(yè)信息泄露事件總會(huì)把調(diào)查原因最終推托給這幾個(gè)看似無能為力,或者極度個(gè)別的原因,然后再建議用戶“提高安全意識(shí),定期更改密碼”。最終,企業(yè)的安全部門好像無功也無過,消費(fèi)者只能眼巴巴地期待著天下無賊……
俗話說“蒼蠅不叮無縫的蛋”,12月13日,南都i玩版刊登了《審計(jì)環(huán)節(jié)缺位“內(nèi)鬼”作祟批發(fā)信息》,可見國(guó)內(nèi)企業(yè)在安全信息方面的投入微乎其微。然而,一邊是國(guó)內(nèi)大部分企業(yè)沒有安全防御;另一邊,黑客的進(jìn)攻技術(shù)卻日益高超、出神入化。結(jié)果可想而知,消費(fèi)者變成了“透明人”。
誰在破壞安全?
黑客一念成佛一念成魔
實(shí)際上,安全從業(yè)者跟入侵黑客本質(zhì)是同一班人,做的是同一件事,就是不停開鎖找漏洞。在他們眼中,系統(tǒng)只有兩種,一種是可以侵入的,一種是即將被侵入的。簡(jiǎn)單點(diǎn)理解,就是只有不勤快的開鎖匠,沒有開不了的鎖。
但這是一個(gè)很奇特的圈子。在業(yè)內(nèi),如果找到漏洞后交給企業(yè)讓他趕緊“修鎖”,這種人就是安全從業(yè)者,俗稱“whitehat”,這個(gè)開鎖的事情就叫做“深度測(cè)試”;如果找到漏洞,直接進(jìn)屋子把有價(jià)值的東西拖出來賣,這種人就是入侵黑客,俗稱“blackhat”,這件事就是大家所熟悉的信息泄露了。
事實(shí)上,“whitehat”與“blackhat”之間的區(qū)別很多時(shí)候只是一念之差。“相對(duì)于‘whitehat’而言,‘blackhat’技術(shù)更高,賺得錢也更多”,黑客小林(化名)向南都記者表示。知道創(chuàng)宇超級(jí)安全體檢團(tuán)隊(duì)負(fù)責(zé)人王宇說,“我看過的黑市叫價(jià)最貴的漏洞達(dá)到300萬元以上,相比較來說,國(guó)內(nèi)較有安全意識(shí)的廠商肯為漏洞付出的費(fèi)用最高也才幾十萬。”據(jù)悉,小林去年在全網(wǎng)挖出了300多個(gè)漏洞,其中也就30%會(huì)付費(fèi)。更多時(shí)候,個(gè)人黑客行為取決于所謂的“正義感”。
不僅如此,黑客行為可能還會(huì)遭到企業(yè)敵視。美國(guó)一黑客發(fā)現(xiàn)了波音公司一個(gè)漏洞,但后者一直不予理睬。他最終買了一張波音公司的機(jī)票,在飛機(jī)上成功把飛行系統(tǒng)劫持,以此證明漏洞的存在。他的朋友、McAfee創(chuàng)始人約翰·邁克菲告訴南都記者,“波音應(yīng)該給他發(fā)一塊獎(jiǎng)牌感謝,但事實(shí)上,他一下飛機(jī)就被FBI直接逮捕了。”
“就我所知,國(guó)內(nèi)大部分個(gè)人黑客,黑白都會(huì)做,今年烏云事件爆發(fā)后大家才躲起來的。”另一位黑客小金如是表示。
維護(hù)安全的灰色地帶
獎(jiǎng)勵(lì)與敲詐瓜田李下講不清楚
但“blackhat”實(shí)際已是犯罪行為。“為了證明安全漏洞存在而進(jìn)行的技術(shù)驗(yàn)證,一般不涉及刑事犯罪。但如果檢測(cè)過程中入侵國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng),即使不獲取數(shù)據(jù),沒有從事破壞行為,也構(gòu)成犯罪。”IT知名律師趙占領(lǐng)表示,如果屬于其他領(lǐng)域的計(jì)算機(jī)信息系統(tǒng),首先不能非法獲取數(shù)據(jù),否則也涉嫌構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。
除此之外,漏洞眾測(cè)的機(jī)制本身也有灰色邊界。“你要試試這個(gè)鎖行不行,你總得撬兩下,這個(gè)動(dòng)作的法律定義很難講清楚。”360董事長(zhǎng)周鴻祎告訴南都記者,目前烏云等眾測(cè)平臺(tái)提交漏洞給企業(yè)后,企業(yè)會(huì)自主定價(jià)打賞黑客。“但獎(jiǎng)勵(lì)也是‘瓜田李下’講不清楚的,跟‘敲詐’沒法區(qū)別。”
“對(duì)于黑客提交漏洞的行為,企業(yè)專門給予現(xiàn)金或者物質(zhì)獎(jiǎng)勵(lì),一般沒有問題,這是企業(yè)主動(dòng)從事的贈(zèng)與行為。除非在提交漏洞之前,向相關(guān)企業(yè)索要錢財(cái),否則提交給烏云網(wǎng)按流程予以公開披露,這種情況涉嫌敲詐勒索。”趙占領(lǐng)表示。
誰在為安全防御?
企業(yè)內(nèi)部養(yǎng)不起技術(shù)大神
與強(qiáng)悍的進(jìn)攻方相比,大部分中小企業(yè)沒有自己的防御團(tuán)隊(duì)。“安全看不到收益,純燒錢,中小企業(yè)首先考慮的是控制成本,所以基本只是網(wǎng)管跟運(yùn)維。”小金說,一個(gè)技術(shù)大牛年薪起碼百萬以上,他們“養(yǎng)不起”。另一方面,大部分技術(shù)大牛也不考慮去企業(yè),“幾十年對(duì)著同一套系統(tǒng)太枯燥了。”
作為個(gè)體戶與員工之間的中間地帶,現(xiàn)在許多公司化的安全團(tuán)隊(duì)可能是一個(gè)比較成熟的模式,但他們必須接到企業(yè)授權(quán)的訂單才能模擬攻擊。
近期,知道創(chuàng)宇就接到一個(gè)中學(xué)教育類創(chuàng)業(yè)網(wǎng)站對(duì)新版本深度測(cè)試的需求,王碰負(fù)責(zé)這個(gè)項(xiàng)目?jī)蓚€(gè)域名的分析。測(cè)試后發(fā)現(xiàn),該系統(tǒng)年級(jí)篩選的搜索框有代碼漏洞,于是將背后核心題庫“拖”了出來。因?yàn)轭}庫數(shù)據(jù)也涉及企業(yè)核心商業(yè)利益,這個(gè)漏洞提交半月后就被修復(fù)。
但如果拖出來的是與企業(yè)利益無關(guān)的用戶個(gè)人信息,企業(yè)的態(tài)度可能不同。“360補(bǔ)天發(fā)現(xiàn)過一個(gè)國(guó)內(nèi)高校的漏洞,給他們技術(shù)方反復(fù)提交了半年愣是沒改,”周鴻祎說,這些校園B B S是信息泄露重災(zāi)區(qū),“他們覺得自己是小網(wǎng)站,沒有敏感信息,不會(huì)被攻擊。實(shí)際上學(xué)生在這上面的ID密碼可能同時(shí)用在支付寶上。”
王碰說,“其實(shí)企業(yè)內(nèi)部查找漏洞跟修復(fù)漏洞不是同一班人,如果不是特別敏感的信息,這種內(nèi)部溝通效率就是問題。”打個(gè)比方,小A蓋了房子給公司,小B找外部第三方檢測(cè)發(fā)現(xiàn)鎖不行,如果是臥室鎖壞了,小A會(huì)趕緊修;但如果只是跟房間格局無關(guān)的某個(gè)抽屜鎖壞了,小A承受的指責(zé)、增加的工作量以及心中的怨念可想而知。
安全的命門在哪?
最終還是人與人的較量
“現(xiàn)在廠商寧愿多買服務(wù)器硬件,也不愿雇一個(gè)安全人員進(jìn)行長(zhǎng)期監(jiān)測(cè)。”周鴻祎曾告訴南都記者,但安全不是機(jī)器與機(jī)器斗,而是人與人斗,永遠(yuǎn)沒有一個(gè)方案可以一勞永逸,人的服務(wù)才是安全最好的解決方案。簡(jiǎn)單說來,一個(gè)寫字樓會(huì)有門鎖,但日常管理進(jìn)出人員還是得依賴保安。
實(shí)際上,安全隱患很多時(shí)候來自人為傷害,也就是“內(nèi)鬼”。“其實(shí)信息‘拖庫’簡(jiǎn)單說來就是獲得管理員權(quán)限。”王碰說,技術(shù)可以通過偽裝獲得權(quán)限,而企業(yè)內(nèi)部人員不需要懂技術(shù)就已經(jīng)有這個(gè)權(quán)限。
白帽匯首席安全官鄧煥說,“一般安全領(lǐng)域主要有三類人員,一類安全管理者,制定安全域安全規(guī)則;一類‘白核’,主要看代碼邏輯性;一類是‘黑核’,不看代碼,以黑客思維模擬攻擊。”但現(xiàn)在大部分安全團(tuán)隊(duì)接到的客戶需求都類似王碰接到的項(xiàng)目,很少長(zhǎng)期監(jiān)測(cè),“白核”工作并不多。
這主要是在于“白核”的工作很難量化考核。“其實(shí)不管是外部攻擊還是內(nèi)鬼作祟,都有相應(yīng)的攻防方案可以對(duì)付。”王宇說,現(xiàn)在國(guó)內(nèi)安全的最大難題就是決策者本人的重視態(tài)度問題。
京公網(wǎng)安備 11010502049343號(hào)