什么?携程、360们都在雇佣黑客

什么?携程、360们都在雇佣黑客

作者:yiehuacn   2024-11-28 13:58:31  点击:31

详情

  提到黑客大部分人可能会戴上有色眼镜去对他们评头论足,窃取个人隐私、危害企业安全,甚至于进行国家网络设施破坏,这些都是大家在电影中所看到的黑客。

  而在现实中,黑客并不都是大家所想象的那般。黑客其实是由外语Hack音译而来,又称骇客,本身并没有任何贬义成分在其中。黑客大致可以分为三种“颜色”:白、黑、灰。那具体又是如何来进行划分的呢?

  360安全猎网平台负责人裴智勇用一个形象的比喻进行了说明:“黑客这个词在安全上没有褒义和贬抑,分白帽子、黑帽子或灰帽子,看到你家门没关进去偷东西的是黑帽子,看到你家门没关进去偷完东西的再告诉你把门关了是灰帽子,看到你家门没关告诉你关上的是白帽子。”而我们今天所要说的就是代表正义的“白帽子”。

  3月30日,补天白帽大会在深圳举行。大会由补天漏洞响应平台主办,指导单位包括国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心、中国信息安全测评中心和国家信息技术安全研究中心。360互联网安全中心、hacker one、 联想SRC,百度SRC等30多家企业和机构均派出代表参加。

  “万物互联”下的安全忧患

  如同人类用语言进行表达时,会经常出现语法、逻辑上的错误一样,计算机语言中的“语法错误或逻辑性错误”,都叫做“漏洞”。齐向东说,“漏洞很容易被人拿来进行网络攻击,就像我们说话不注意出现了瑕疵之后让人抓住了把柄,‘有心之人’会拿住这些话反过来攻击我们。在计算机领域也是一样”。

  漏洞被非法利用有何危害?齐向东认为危害在不同时期有着不同的严重性:在以内容和应用为核心的“消费互联网”时代,被网络攻击会丢隐私、丢钱,会“伤财”;而在已经来临的以大数据为核心的“工业互联网”时代,互联网背后是生产线、控制系统,直至万事万物。一旦遭受网络攻击,会控制失灵、车毁人亡,危及生命,是“损命”。

  近两年,全球范围内先后发生了多起引起广泛关注的,针对工业、能源等关键基础设施的攻击,除了窃取敏感数据以外,更多是以直接破坏工业设备系统为目标,使目标系统瘫痪、日常作业流程无法正常运转,严重者可大面积威胁百姓生命财产安全。2016年4月,德国核电站原料添加系统遭遇网络攻击,检查人员发现系统内被植入破坏性木马,安全起见,核电站被临时关闭;去年,卡巴斯基扫描了全球170个国家和地区的近20万套工业控制系统,其中92%都存在安全漏洞,有遭遇黑客攻击、接管甚至破坏设备正常运行的风险。

  有统计显示,网络攻击每年给企业造成的损失高达5000亿美元,这个数字每年还在大幅上升。在针对企业的攻击中,重点关注的领域依次是:通信网络、电子电器、海洋与港口、能源化工、交通运输、航空航天和网络安全。2015年,菲亚特克莱斯勒汽车美国公司在美国召回旗下大切诺基、自由光等车型共140万辆汽车,原因是这些车型存在重大安全漏洞,可能会让黑客远程劫持车辆。

  安全是发展的前提,在工业互联网时代,网络安全至关重要。今年2月,国家发展改革委已批准由360公司牵头承建大数据协同安全技术国家工程实验室,重点开展数据汇聚隐私保护、数据防泄漏、系统漏洞分析、安全协同分析、大数据系统风险评估与安全监测等技术的研发和工程化工作;美国国防高级研究计划局日前启动开发项目,核心目标是开发能够检测且自动响应针对美国关键基础设施的网络攻击的技术,参与者包括雷神公司、斯坦福研究院等主要供应商,还包括美国国土安全部和其下属的工业控制系统网络应急响应小组等政府机构。网络安全防护,正在成为国家基础设施领域建设的重要部分。

  众测之力锁牢安全屏障

  在世界范围内,科技型公司和重视品牌建设的企业,已经在“挖漏洞”上先行一步。美国知名漏洞众测平台HackerOne首席运营官王宁表示,越来越多的美国公司意识到,过去仅仅依靠几名技术人员维护安全的做法已经过时。除了加强安全团队建设,这些公司也开始与第三方平台合作,借白帽黑客众测之力,锁牢安全屏障;近年来,我国不少企业也纷纷组建安全应急响应中心,提高安全防御能力。在乌云、补天、威客众测等第三方漏洞响应平台上,企业授权白帽黑客进行漏洞挖掘,并根据漏洞的危害程度、影响范围提供相应奖励,激励越来越多的黑客戴上象征正义的“白帽子”。

  以国内最大的在线旅行服务商携程旅行网为例,携程有开发人员3000多人,却只有40名安全人员。在携程旅行网信息安全总监凌云看来,“以40人之力保障由3000多人开发出来的程序的安全性,毫无疑问是不够的”。携程希望借助白帽黑客的力量让其系统更安全,过去一年,携程为各大漏洞响应平台的白帽子支付了约百万元奖励。

  “网络安全生态体系的建设必须群策群力、久久为功,单靠一家公司、一个组织是不可能完成的。技术共享、人才共享和更广泛、更及时的漏洞响应是未来的趋势。”齐向东说。国内的补天平台注册白帽已达到31633名,他们自2013年起累计发现了20多万个漏洞,企业为这些白帽发出奖金近900万元;美国的HackerOne已拥有来自150多个国家的注册白帽约11万名,他们自2013年起累计发现了18万多个漏洞,其中有4万多个漏洞已经被修复。

  精英白帽的“自我修养”

  为了更加贴切的了解白帽黑客,我们也对补天平台的两位白帽子“U神”和“华不再扬”进行了交谈,在和他们交谈过程中我们了解到,白帽子在日常的挖漏洞工作中会受到种种诱惑,据初步估计,黑帽子一天的收入就可以和白帽子辛苦一个月的挖漏洞所得相媲美。

  如果仔细观察大家不难发现,白帽子团队成员普遍为85后、90后甚至95后的年轻人,这是这群略显稚嫩的年轻人在巨大的利益面前经受住了金钱的诱惑,对他们来讲实属不易。当然这都得益于补天为这些年轻的白帽提供了发展平台,对白帽子进行法律培训,技术培养,才使得他们能够用技术去造福社会,而非对社会造成危害。

  大多数白帽黑客,有着与“华不再扬”相似的特征:年轻激进、性格单纯、学历不高但对技术十分狂热。这些涉世未深的白帽黑客,在网络空间中侠肝义胆、叱咤风云,但现实世界里他们出自善意的“挖漏洞”行为,却可能给自己招来大麻烦。

  2015年,乌云网某注册白帽提交了某婚恋网站一个涉及大量会员信息的漏洞,当时该网站确认了这一漏洞,向白帽致谢并予以修复。不过,该网站随即向公安局报案称“有4000余条实名注册信息被不法窃取”。不久后,以涉嫌“非法获取计算机系统数据犯罪”之名,该白帽被逮捕。

  这一事件在黑客中掀起了轩然大波。一位普通白帽,不牟取任何私利,只是义务检测漏洞,发现漏洞后告知厂家,也算是犯罪吗?

  在齐向东看来,这个案例反映出企业和白帽黑客之间的微妙关系:不敢沟通、不敢交流,互不信任。他用了一句俗语来形容这个关系:“麻杆打狼两头怕”。

  “尽管多方力量严加把控,白帽的不少细微动作仍可能在无意中碰触边界。‘挖洞’时必须尽量低调、点到为止。”经验丰富的白帽“U神”说,“对于黑色产业尤其要多加小心。许多进入黑色产业的人,最初是因为生活压力需要赚更多钱,他们认为可以做一次就‘金盆洗手’,但感受过黑色产业的赚钱速度后,就会铤而走险继续干,直到陷入深渊”。

  “华不再扬”比照佛教中的“力戒‘贪嗔痴’三毒”,来形容白帽黑客自我修养的最高境界。“戒贪。要认清自己的原则,遵照漏洞挖掘测试规定的事项,发现安全风险,协助厂商解决问题;戒嗔。或许有些漏洞计划,奖励不能如自己所愿,也不要计较;戒痴。虽然黑色产业的诱惑很大,但不可随波逐流,要理智地看待问题。”

  时代巨轮滚滚前行,工业互联网如约而至。繁杂的互联网生态与多变的人性,为黑客的色谱添上无穷的灰度。颜色深浅各异的黑帽、白帽与灰帽,在网络丛林间展开的对抗与博弈,或许才刚刚开始。

相关分类
需要在电脑上登录