大家都在談論openssl漏洞,彷彿網際網路的天空,突然就在那一天,塌了乙個洞,自己原本藏得好好的隱私,一下子都從那個洞裡漏了出去。大家都很驚恐。
不是這樣的。一位不願透露姓名的黑客告訴我,網際網路從來不是這樣的,至少中國的不是。他說,中國網際網路安全原本就慘不忍睹。
簡單地講,openssl這個被稱為「心臟流血」(heartbleed)的漏洞,很多人之前都不知道。在披露後,黑客和網際網路安全運維人員第一時間反應過來,圍繞著這個漏洞,你攻我守。但更多的早已披露的漏洞,網際網路公司卻沒有注意到,任由他人自由進出。
前兩天,上述黑客在乙個俄羅斯語論壇上看到,有人發帖正在兜售一家類谷歌的中國網際網路搜尋企業的伺服器資訊。「1萬60臺伺服器的許可權,賣400位元幣。帖子寫的是類google的搜尋引擎。」他不願意公開他的猜測。
在東歐這些地方,黑客很活躍,水平也很高。他們在論壇裡,常常用位元幣交易得到的資料或伺服器許可權。「資料無非是使用者資料與伺服器資料;如果像位元幣交易平台的話,就直接是位元幣了。」他說,拿到了伺服器許可權,黑客可以用來攻擊別人,也可以挖挖位元幣,「如果黑掉了遊戲公司的話,把高消費能力的使用者匯出來,別人肯定想買。」
「像攜程之前那個漏洞,『太酷了』。」他說。上個月,網際網路安全問題反饋平台烏雲上出現了乙份報告:攜程旅行網支付日誌存在漏洞,或導致大量使用者銀行卡資訊洩露。這可能直接引發盜刷等問題。
「往往應該重視這個問題的網際網路公司,他們其實不重視。我很不理解他們為什麼不重視。這個你怎麼可以不重視?」
他又舉了乙個例子,「比如做雲服務,資料敏感性非常高。如果我們的資料洩露了,那就是關門的事情,因為使用者再也不會相信我們。如果這家雲服務面向公司使用者,那麼,他的客戶公司所有的資料也都沒了。」
他說,漏洞就像你在廚房看到蟑螂一樣,看到乙隻,你就應該知道,其實那還有幾十隻。「中國被賣的公司越來越多。大家也開始知道,中國是個肥羊。」
這一現狀說明,網際網路安全大有商機:不是去竊取伺服器和資料;而是在網際網路安全成為剛需的情況下,為這些疏於防範的公司提供滲透服務與技術支援。
滲透測試,就是以黑客的身份,想盡辦法地進入系統,拿到使用者資料,或者伺服器許可權。所有黑客會採取的手段和渠道,包括技術手段與社交工程,測試方都會使用。「你自己所有的安全工作都做完以後,可以通過買這個服務試試,自己是不是真的安全。」國內滲透測試服務cagetest.com的負責人說,這在國外早已是成熟產業。
「我們在黑客論壇上,看到乙個帖子,就會以買家的身份,接觸發帖人,盡可能地得到詳盡資訊。」該負責人說,通過這個渠道,發現哪家公司已經出事了,就找上門去,告知對方,「你已經有問題了。」
測試方會事先與受試公司簽訂合同,獲取對方授權,並約定收費模式。「或者按使用者量收費,或者按伺服器收費。我們給他看證據,他們付我們70%的錢。然後我們把完整的報告發給對方,裡面包含問題漏洞與解決方案,對方再補上剩下的30%。」
「其實我們也不知道這個收費模式對不對。」該負責人補充說,不同行業使用者價值不一樣,目前每單合同都要定製。如果無法成功滲透,就不收任何費用。他認為在中國這種商業模式可能更容易為人所接收。
目前這家滲透測試公司已經接過十數單合同,每單最少幾十萬,後續月費幾萬左右:有位元幣交易平台,有云儲存平台,有航空公司,也有會計公司。這些公司都在業內擁有領先地位。
通常做過滲透測試,就會成為該服務的長期客戶。因為安全不是一次性的。每更新一次系統,每增加一台伺服器,事實上都在製造漏洞。
但與不少走在市場生長邊緣的創新一樣,這門生意也有自己的禁忌。「我期待做銀行客戶。」該公司負責人說,但不敢先黑進去,再跑過去對銀行說,你有漏洞,你交點錢,我來幫你解決吧。
他說那就是黑客界的傳統手段了:直接黑你,然後來勒索你。「那種超高效的。」他問了以前替谷歌中國做法務的朋友,但至今還沒得到很好的答案。那位朋友告訴他,如果要這麼做,就得提前告知對方,說要掃瞄你,要我停的話,就要告訴我。「目前我們沒看到中國法律上有相關條款。所以還是按規矩來,沒有得到人家授權,就不進去,不能把人家惹毛了。」
讓我們看看知乎上的使用者怎麼看待這個問題。
@雲舒:有些不合法,但是基本合理。說通俗點,我們這些在甲方做安全的人,大部分也是從黑帽子轉過來的。當真在自己被招安之後,轉身就把以前的老兄弟都抓起來,即使他們只是對我們保護的東西做了一點略微出格的探測?
@畢月烏:白帽黑客和黑帽的區別就在於是否有惡意,這一點其實很容易證明,比如查詢伺服器日誌,但是從法律角度來看,鑑別入侵行為是否合法的唯一標準就是預先授權,也就是說從法律角度來說,烏雲絕大多數白帽子的大多數安全測試都是不合法的(烏雲眾測合法,這是授權測試)。
發現攜程漏洞的那位黑客,在微博上表示:目前已經將安全測試涉及到的日誌資訊徹底刪除,攜程也已經及時修復漏洞。採訪他的那家**認為,他可能是受到了一些外部壓力。
但也有從事網際網路安全的黑客稱,即使法律沒有站在未獲得授權就擅自發布滲透測試報告的黑客那邊,大多數公司也不會選擇走法律途徑。否則,後果很可能是不再有人報告該廠商漏洞,甚至可能有人會直接公開漏洞。
這種判斷反應在攜程事件上,就是該公司客服微博上的一段話:攜程對於烏雲平台發現的漏洞資訊,表示非常重視和感謝,並將對於提供漏洞資訊者給與獎勵。
Joomla漏洞每天受到黑客16600次掃瞄攻擊
據研究人員介紹,他們發現joomla最新的cve 2015 8562漏洞 即joomla的反序列化遠端命令執行漏洞 每天被發動16600次掃瞄攻擊,企圖破壞帶有該漏洞的 由此可見,該漏洞被網路犯罪分子廣泛利用,也給網際網路造成了嚴重的經濟損失。joomla的反序列漏洞,已經在15年的12月14日發布...
分析入侵檢測系統漏洞的黑客手法
本文針對檢測系統的漏洞來了解一下黑客的手法。一旦安裝了網路檢測系統,網路檢測系統就會為你分析出網上出現的黑客事件,而且你能用此檢測系統的反擊功能,即時將這種聯機獵殺或阻斷。你也可以配合防火牆的設定,由入侵檢測系統自動為你動態修改防火牆的訪問規則,拒絕來自這個ip 的後續聯機動作 這種美好的 前景 可...
德國職業黑客 幫公司找漏洞合法賺錢
穿黑衫,戴墨鏡,愛搞陰謀,極富破壞欲 這是人們口中的網路 黑客 的形象。然而,在德國有個黑客公司,能從被攻擊公司手裡獲取報酬,還從未上過 部門的 黑名單 公司負責人叫施耐德,今年34歲,他對記者介紹說,他們不是人們想象中的 犯罪型黑客 而是 職業黑客 施耐德從小就顯露出過人的計算機才能。11歲那年,...