第三方軟件系統漏洞、外部數據撞庫、個別內鬼泄露……近年來,不少企業信息泄露事件總會把調查原因最終推托給這幾個看似無能為力,或者極度個別的原因,然后再建議用戶“提高安全意識,定期更改密碼”。最終,企業的安全部門好像無功也無過,消費者只能眼巴巴地期待著天下無賊……
俗話說“蒼蠅不叮無縫的蛋”,12月13日,南都i玩版刊登了《審計環節缺位“內鬼”作祟批發信息》,可見國內企業在安全信息方面的投入微乎其微。然而,一邊是國內大部分企業沒有安全防御;另一邊,黑客的進攻技術卻日益高超、出神入化。結果可想而知,消費者變成了“透明人”。
誰在破壞安全?
黑客一念成佛一念成魔
實際上,安全從業者跟入侵黑客本質是同一班人,做的是同一件事,就是不停開鎖找漏洞。在他們眼中,系統只有兩種,一種是可以侵入的,一種是即將被侵入的。簡單點理解,就是只有不勤快的開鎖匠,沒有開不了的鎖。
但這是一個很奇特的圈子。在業內,如果找到漏洞后交給企業讓他趕緊“修鎖”,這種人就是安全從業者,俗稱“whitehat”,這個開鎖的事情就叫做“深度測試”;如果找到漏洞,直接進屋子把有價值的東西拖出來賣,這種人就是入侵黑客,俗稱“blackhat”,這件事就是大家所熟悉的信息泄露了。
事實上,“whitehat”與“blackhat”之間的區別很多時候只是一念之差。“相對于‘whitehat’而言,‘blackhat’技術更高,賺得錢也更多”,黑客小林(化名)向南都記者表示。知道創宇超級安全體檢團隊負責人王宇說,“我看過的黑市叫價最貴的漏洞達到300萬元以上,相比較來說,國內較有安全意識的廠商肯為漏洞付出的費用最高也才幾十萬。”據悉,小林去年在全網挖出了300多個漏洞,其中也就30%會付費。更多時候,個人黑客行為取決于所謂的“正義感”。
不僅如此,黑客行為可能還會遭到企業敵視。美國一黑客發現了波音公司一個漏洞,但后者一直不予理睬。他最終買了一張波音公司的機票,在飛機上成功把飛行系統劫持,以此證明漏洞的存在。他的朋友、McAfee創始人約翰·邁克菲告訴南都記者,“波音應該給他發一塊獎牌感謝,但事實上,他一下飛機就被FBI直接逮捕了。”
“就我所知,國內大部分個人黑客,黑白都會做,今年烏云事件爆發后大家才躲起來的。”另一位黑客小金如是表示。
維護安全的灰色地帶
獎勵與敲詐瓜田李下講不清楚
但“blackhat”實際已是犯罪行為。“為了證明安全漏洞存在而進行的技術驗證,一般不涉及刑事犯罪。但如果檢測過程中入侵國家事務、國防建設、尖端科學技術領域的計算機信息系統,即使不獲取數據,沒有從事破壞行為,也構成犯罪。”IT知名律師趙占領表示,如果屬于其他領域的計算機信息系統,首先不能非法獲取數據,否則也涉嫌構成非法獲取計算機信息系統數據罪。
除此之外,漏洞眾測的機制本身也有灰色邊界。“你要試試這個鎖行不行,你總得撬兩下,這個動作的法律定義很難講清楚。”360董事長周鴻祎告訴南都記者,目前烏云等眾測平臺提交漏洞給企業后,企業會自主定價打賞黑客。“但獎勵也是‘瓜田李下’講不清楚的,跟‘敲詐’沒法區別。”
“對于黑客提交漏洞的行為,企業專門給予現金或者物質獎勵,一般沒有問題,這是企業主動從事的贈與行為。除非在提交漏洞之前,向相關企業索要錢財,否則提交給烏云網按流程予以公開披露,這種情況涉嫌敲詐勒索。”趙占領表示。
誰在為安全防御?
企業內部養不起技術大神
與強悍的進攻方相比,大部分中小企業沒有自己的防御團隊。“安全看不到收益,純燒錢,中小企業首先考慮的是控制成本,所以基本只是網管跟運維。”小金說,一個技術大牛年薪起碼百萬以上,他們“養不起”。另一方面,大部分技術大牛也不考慮去企業,“幾十年對著同一套系統太枯燥了。”
作為個體戶與員工之間的中間地帶,現在許多公司化的安全團隊可能是一個比較成熟的模式,但他們必須接到企業授權的訂單才能模擬攻擊。
近期,知道創宇就接到一個中學教育類創業網站對新版本深度測試的需求,王碰負責這個項目兩個域名的分析。測試后發現,該系統年級篩選的搜索框有代碼漏洞,于是將背后核心題庫“拖”了出來。因為題庫數據也涉及企業核心商業利益,這個漏洞提交半月后就被修復。
但如果拖出來的是與企業利益無關的用戶個人信息,企業的態度可能不同。“360補天發現過一個國內高校的漏洞,給他們技術方反復提交了半年愣是沒改,”周鴻祎說,這些校園B B S是信息泄露重災區,“他們覺得自己是小網站,沒有敏感信息,不會被攻擊。實際上學生在這上面的ID密碼可能同時用在支付寶上。”
王碰說,“其實企業內部查找漏洞跟修復漏洞不是同一班人,如果不是特別敏感的信息,這種內部溝通效率就是問題。”打個比方,小A蓋了房子給公司,小B找外部第三方檢測發現鎖不行,如果是臥室鎖壞了,小A會趕緊修;但如果只是跟房間格局無關的某個抽屜鎖壞了,小A承受的指責、增加的工作量以及心中的怨念可想而知。
安全的命門在哪?
最終還是人與人的較量
“現在廠商寧愿多買服務器硬件,也不愿雇一個安全人員進行長期監測。”周鴻祎曾告訴南都記者,但安全不是機器與機器斗,而是人與人斗,永遠沒有一個方案可以一勞永逸,人的服務才是安全最好的解決方案。簡單說來,一個寫字樓會有門鎖,但日常管理進出人員還是得依賴保安。
實際上,安全隱患很多時候來自人為傷害,也就是“內鬼”。“其實信息‘拖庫’簡單說來就是獲得管理員權限。”王碰說,技術可以通過偽裝獲得權限,而企業內部人員不需要懂技術就已經有這個權限。
白帽匯首席安全官鄧煥說,“一般安全領域主要有三類人員,一類安全管理者,制定安全域安全規則;一類‘白核’,主要看代碼邏輯性;一類是‘黑核’,不看代碼,以黑客思維模擬攻擊。”但現在大部分安全團隊接到的客戶需求都類似王碰接到的項目,很少長期監測,“白核”工作并不多。
這主要是在于“白核”的工作很難量化考核。“其實不管是外部攻擊還是內鬼作祟,都有相應的攻防方案可以對付。”王宇說,現在國內安全的最大難題就是決策者本人的重視態度問題。
京公網安備 11010502049343號