(原标题:一位大神级“白帽黑客”眼中的网络安全)
影视作品中,“黑客”是一种神秘又无所不能的存在:找出漏洞,控制网络,侵入系统,盗走钱财,窃取机密……
但现实中,黑客却有好坏之分:“白帽黑客”和“黑帽黑客”。二者都研究系统漏洞,但白帽黑客的最终目的是解决安全问题,黑帽黑客则可能利用漏洞作恶。
360Vulcan团队就是白帽黑客,主要从事主流操作系统和浏览器的漏洞研究,该团队负责人、360首席工程师郑文彬在行业内被视为“大神级人物”。
在今年3月举办的Pwn2Own世界黑客大赛上,郑文彬带着他的团队成员仅用11秒便攻破了赛事中难度最大的挑战项目——找到谷歌Chrome浏览器的漏洞,击败了同台的韩国队,成为该项目的冠军。
郑文彬认为,在欧美、日韩等国家的黑客占领高地的时代,中国的黑客水平正在提高,但仍需要更多的资源去培养白帽黑客,而物联网时代,企业的网络安全意识需要加强。
挡了黑帽黑客财路 收到恐吓短信
魔高一尺,道高一丈,白帽黑客与黑帽黑客之间的博弈也是如此。在郑文彬看来,白帽黑客与黑帽黑客之间的“攻防战”就像打CS(反恐精英)游戏,寻找系统漏洞的过程如同在地图中找到藏着的那把枪。
“黑帽黑客发现,就会拿枪杀人,但白帽黑客发现,会把枪藏起来,或者销毁,如果白帽黑客速度快,就可以保护用户不被攻击。”
在他看来,黑帽、白帽的技术交锋是一个赛跑过程,白帽黑客的行为,“挡了黑帽黑客的财路”,二者之间火药味较浓。“国外的火药味比国内重。”郑文彬发现,国内白帽和黑帽更多的是暗中较劲,360公司的安全白帽就收到过恐吓短信。
如何能在博弈中取胜?郑文彬认为,基础资源和人力资源都很重要。“挖掘漏洞,服务器资源的多少很关键。此外,人才投入越多,对‘跑赢’比赛就越有利。”
去年,意大利的黑客公司Hacking Team被入侵,公司邮件内容被公布,其中包含了很多漏洞信息。漏洞被公布在网络上,扩大了危害面,“黑帽黑客会利用公开出来的漏洞攻击普通人。”
“这时候就是白帽黑客和黑帽黑客在赛跑,”谈到这次经历,郑文彬格外兴奋。“我们团队花了四五天从几百G的文件中找到3个漏洞,涉及微软、Adobe等厂商,立即报给厂商去修复,避免损失扩大。”
白帽黑客与黑帽黑客博弈的结果影响到网络环境。白帽黑客的数量是重要的因素。如今在国内,黑客总体数量上升,但白帽黑客占比更高,黑帽黑客越来越少。
“虽然黑帽黑客赚得多,但要承担很大风险。现在国家立法也越来越完善,很多黑帽黑客也愿意转型做白帽黑客。”郑文彬解释。
郑文彬认为,过去几年,黑客在中国是一个“野蛮生长”的过程。“随着360这样的安全公司的崛起,互联网巨头BAT也在网络安全方面投入很大力量,国内的网络环境有很大改善。”
他认为,亚洲的白帽黑客团队近两年表现不错,“韩国政府非常重视黑客技术发展,通过在大学里举办对抗赛,从大学生中发掘人才。”
中国在这方面跟欧美有一定差距,“但现在不管是业界还是学界,都越来越重视网络安全人才的培养。”郑文彬称,“国内高校从去年开始,将计算信息安全作为一级学科,现在大部分985高校都设有信息安全专业,与计算机专业平级。”
“很多年轻的天才型人才,有着与众不同的思维角度、方式,发现的漏洞也是我们从未想到过的,年纪轻轻就能‘乱拳打死老师傅’。”在他看来,信息安全工作更依赖灵感,国内的安全环境还很复杂,希望有更多新鲜血液注入网络安全行业。
下个月,360公司同韩国POC Security共同主办的世界黑客大师挑战赛(Belluminar Beijing)将开赛,作为此次活动的负责人,郑文彬希望借此搭建一个国内外安全技术团队的交流平台,为国内培养出更多优秀的白帽黑客。
和韩国POC Security合作是郑文彬提出来的。去年,在韩国POC Security安全大会上,郑文彬看到了跟其他比赛截然不同的新形式。“过去是比赛方出题黑客答题,而这个比赛是黑客之间互出题目。”郑文彬记得,去年有一个国际前十的强队在这个比赛中拿了零分,“可见比赛的难度有多高。”
除比赛外,最值得借鉴的是分享会,各个团队在赛后还会分享出题、解题的思路,面对面交流。郑文彬希望把这样的比赛带到国内,邀请俄罗斯、美国、韩国等多国的顶级黑客战队,和国内团队一起,同台竞技交流。据了解,此次比赛有两个中国团队参赛,是上海交通大学的0ops和清华大学的蓝莲花(blue-lotus)。
缺乏安防的智能设备极易被黑客攻击
随着万物互联时代的到来,网络安全问题将比过去更加重要。
眼下,智能家居逐步走进生活,其背后隐藏着巨大风险。郑文彬的团队就曾经攻破过家电、汽车等的智能设备,该团队一位女程序员回忆,攻破智能设备的瞬间,自己都吓了一跳。
“我们攻破过豆浆机,还有电视机、洗衣机,发现通过网络能找到很多智能设备漏洞,可以远程操控设备。”比如通过蓝牙设备控制油电混动的智能汽车,就可以造成紧急断油、断电。
她认为,增加安全防护,经济成本不会太高,主要是时间成本问题。厂商为了抢占市场往往没时间先搭建安全基础,维护信息安全。“这就像是没穿衣服,裸露在外,极易被攻击。”
在团队看来,安防是基础,但在实际发展中,安防反而是相对滞后的需求。“就像智能手机刚出来的时候,安全性能不尽人意。其后,安全事件频发,厂商才慢慢开始重视,物联网的发展也是这样一个过程。”
郑文彬认为,物联网时代面临的安全问题会比较多,“过去的安全问题顶多是信息泄露,但物联网时代,如果医疗设备或是家电被黑客攻击,就可能威胁人的生命安全。”
目前,物联网设备的发展还处于起步阶段,物联网设备和互联网安全的结合度不高。他说,由于物联网的安全性问题会直接影响普通人的真实生活,可能会更快解决这一问题。
他表示,互联网安全是智慧城市发展的重要基石,“不管是智慧城市还是智能家居,没有安全基石就会危害日常生活。”
黑客操纵信号灯,就会造成交通事故;黑客入侵发电站,就会导致城市电路瘫痪。一个典型的例子,去年乌克兰近60座发电站在圣诞节期间被攻击,导致首都基辅部分地区和乌克兰西部地区整整断电两天。
目前国内的安全防范基础较弱,企业的安全意识尚不到位。“其实只要用最新的系统、打最好的补丁,安全门槛就会大大提高,但即便如此,仍有很多企业做不到。”他表示,“网络安全就是国家安全,政府和企业都要增强安全意识,将信息安全作为重点来抓。”(来源:实习生)