黑客世界的隱秘江湖:1個漏洞叫價300萬。第三方軟體系統漏洞、外部資料撞庫、個別內鬼洩露……近年來,不少企業資訊洩露事件總會把調查原因最終推託給這幾個看似無能為力,或者極度個別的原因,然後再建議使用者「提高安全意識,定期更改密碼」。最終,企業的安全部門好像無功也無過,消費者只能眼巴巴地期待著天下無賊……
俗話說「蒼蠅不叮無縫的蛋」,12 月 13 日,南都i玩版刊登了《審計環節缺位「內鬼」作祟批發資訊》,可見國內企業在安全資訊方面的投入微乎其微。然而,一邊是國內大部分企業沒有安全防禦;另一邊,黑客的進攻技術卻日益高超、出神入化。結果可想而知,消費者變成了「透明人」。
誰在破壞安全?
黑客一念成佛一念成魔
實際上,安全從業者跟入侵黑客本質是同一班人,做的是同一件事,就是不停開鎖找漏洞。在他們眼中,系統只有兩種,一種是可以侵入的,一種是即將被侵入的。簡單點理解,就是只有不勤快的開鎖匠,沒有開不了的鎖。
但這是乙個很奇特的圈子。在業內,如果找到漏洞後交給企業讓他趕緊「修鎖」,這種人就是安全從業者,俗稱「whitehat」,這個開鎖的事情就叫做「深度測試」;如果找到漏洞,直接進屋子把有價值的東西拖出來賣,這種人就是入侵黑客,俗稱「blackhat」,這件事就是大家所熟悉的資訊洩露了。
事實上,「whitehat」與「blackhat」之間的區別很多時候只是一念之差。「相對於『whitehat』而言,『blackhat』技術更高,賺得錢也更多」,黑客小林(化名)向南都記者表示。知道創宇超級安全體檢團隊負責人王宇說,「我看過的黑市叫價最貴的漏洞達到 300 萬元以上,相比較來說,國內較有安全意識的廠商肯為漏洞付出的費用最高也才幾十萬。」據悉,小林去年在全網挖出了 300 多個漏洞,其中也就 30% 會付費。更多時候,個人黑客行為取決於所謂的「正義感」。
不僅如此,黑客行為可能還會遭到企業敵視。美國一黑客發現了波音公司乙個漏洞,但後者一直不予理睬。他最終買了一張波音公司的機票,在飛機上成功把飛行系統劫持,以此證明漏洞的存在。他的朋友、mcafee 創始人約翰·邁克菲告訴南都記者,「波音應該給他發一塊獎牌感謝,但事實上,他一下飛機就被 fbi 直接逮捕了。」
「就我所知,國內大部分個人黑客,黑白都會做,今年烏雲事件爆發後大家才躲起來的。」另一位黑客小金如是表示。
維護安全的灰色地帶
獎勵與敲詐瓜田李下講不清楚
但「blackhat」實際已是犯罪行為。「為了證明安全漏洞存在而進行的技術驗證,一般不涉及刑事犯罪。但如果檢測過程中入侵國家事務、國防建設、尖端科學技術領域的計算機資訊系統,即使不獲取資料,沒有從事破壞行為,也構成犯罪。」it 知名律師趙占領表示,如果屬於其他領域的計算機資訊系統,首先不能非法獲取資料,否則也涉嫌構成非法獲取計算機資訊系統資料罪。
除此之外,漏洞眾測的機制本身也有灰色邊界。「你要試試這個鎖行不行,你總得撬兩下,這個動作的法律定義很難講清楚。」360 董事長周鴻禕告訴南都記者,目前烏雲等眾測平台提交漏洞給企業後,企業會自主定價打賞黑客。「但獎勵也是『瓜田李下』講不清楚的,跟『敲詐』沒法區別。」
「對於黑客提交漏洞的行為,企業專門給予現金或者物質獎勵,一般沒有問題,這是企業主動從事的贈與行為。除非在提交漏洞之前,向相關企業索要錢財,否則提交給烏雲網按流程予以公開披露,這種情況涉嫌敲詐勒索。」趙占領表示。
誰在為安全防禦?
企業內部養不起技術大神
與強悍的進攻方相比,大部分中小企業沒有自己的防禦團隊。「安全看不到收益,純燒錢,中小企業首先考慮的是控制成本,所以基本只是網管跟運維。」小金說,乙個技術大牛年薪起碼百萬以上,他們「養不起」。另一方面,大部分技術大牛也不考慮去企業,「幾十年對著同一套系統太枯燥了。」
作為個體戶與員工之間的中間地帶,現在許多公司化的安全團隊可能是乙個比較成熟的模式,但他們必須接到企業授權的訂單才能模擬攻擊。
近期,知道創宇就接到乙個中學教育類創業**對新版本深度測試的需求,王碰負責這個專案兩個網域名稱的分析。測試後發現,該系統年級篩選的搜尋框有**漏洞,於是將背後核心題庫「拖」了出來。因為題庫資料也涉及企業核心商業利益,這個漏洞提交半月後就被修復。
但如果拖出來的是與企業利益無關的使用者個人資訊,企業的態度可能不同。「360 補天發現過乙個國內高校的漏洞,給他們技術方反覆提交了半年愣是沒改,」周鴻禕說,這些校園 b b s 是資訊洩露重災區,「他們覺得自己是小**,沒有敏感資訊,不會被攻擊。實際上學生在這上面的 id 密碼可能同時用在支付寶上。」
王碰說,「其實企業內部查詢漏洞跟修復漏洞不是同一班人,如果不是特別敏感的資訊,這種內部溝通效率就是問題。」打個比方,小a蓋了房子給公司,小b找外部第三方檢測發現鎖不行,如果是臥室鎖壞了,小a會趕緊修;但如果只是跟房間格局無關的某個抽屜鎖壞了,小a承受的指責、增加的工作量以及心中的怨念可想而知。
安全的命門在哪?
最終還是人與人的較量
「現在廠商寧願多買伺服器硬體,也不願僱乙個安全人員進行長期監測。」周鴻禕曾告訴南都記者,但安全不是機器與機器鬥,而是人與人鬥,永遠沒有乙個方案可以一勞永逸,人的服務才是安全最好的解決方案。簡單說來,乙個寫字樓會有門鎖,但日常管理進出人員還是得依賴保安。
實際上,安全隱患很多時候來自人為傷害,也就是「內鬼」。「其實資訊『拖庫』簡單說來就是獲得管理員許可權。」王碰說,技術可以通過偽裝獲得許可權,而企業內部人員不需要懂技術就已經有這個許可權。
白帽匯首席安全官鄧煥說,「一般安全領域主要有三類人員,一類安全管理者,制定安全域安全規則;一類『白核』,主要看**邏輯性;一類是『黑核』,不看**,以黑客思維模擬攻擊。」但現在大部分安全團隊接到的客戶需求都類似王碰接到的專案,很少長期監測,「白核」工作並不多。
這主要是在於「白核」的工作很難量化考核。「其實不管是外部攻擊還是內鬼作祟,都有相應的攻防方案可以對付。」王宇說,現在國內安全的最大難題就是決策者本人的重視態度問題。
黑客世界的隱秘江湖 1個漏洞叫價300萬
第三方軟體系統漏洞 外部資料撞庫 個別內鬼洩露 近年來,不少企業資訊洩露事件總會把調查原因最終推託給這幾個看似無能為力,或者極度個別的原因,然後再建議使用者 提高安全意識,定期更改密碼 最終,企業的安全部門好像無功也無過,消費者只能眼巴巴地期待著天下無賊 俗話說 蒼蠅不叮無縫的蛋 12月13日,南都...
黑客帝國的世界
黑客帝國是我非常喜歡的一部電影,在很久以前就看過,之前也思考過電影內容和電影世界裡人,母體和機器的關係,整理過一些內容,不過有些地方始終沒有理順,所以這次我想重新整理一下。先上結果 先看黑客帝國裡最常提到的乙個詞 matrix。墨菲斯說 matrix是乙個電腦製造的虛擬世界,是機器為了獲取人體生物電...
蘋果的熱榜 積分牆背後的隱秘世界
電影 楚門的世界 中描述過這樣的故事 楚門這個快樂單純的青年,一直以為自己是平凡小鎮上普通的保險推銷員。直到有一天他發現這世界上的一切都是為他精心安排的。他會遇到誰 在他身上將要發生什麼事件,都是按照劇本被人操縱的。甚至連他的父母 他的妻子都是演員,他生活在巨大的謊言中。你是否也曾經懷疑自己生活在真...