影視作品中，“黑客”是一種神秘又無所不能的存在：找出漏洞，控制網(wǎng)絡(luò)，侵入系統(tǒng)，盜走錢財(cái)，竊取機(jī)密……

但現(xiàn)實(shí)中，黑客卻有好壞之分：“白帽黑客”和“黑帽黑客”。二者都研究系統(tǒng)漏洞，但白帽黑客的最終目的是解決安全問題，黑帽黑客則可能利用漏洞作惡。

360Vulcan團(tuán)隊(duì)就是白帽黑客，主要從事主流操作系統(tǒng)和瀏覽器的漏洞研究，該團(tuán)隊(duì)負(fù)責(zé)人、360首席工程師鄭文彬在行業(yè)內(nèi)被視為“大神級(jí)人物”。

在今年3月舉辦的Pwn2Own世界黑客大賽上，鄭文彬帶著他的團(tuán)隊(duì)成員僅用11秒便攻破了賽事中難度最大的挑戰(zhàn)項(xiàng)目——找到谷歌Chrome瀏覽器的漏洞，擊敗了同臺(tái)的韓國(guó)隊(duì)，成為該項(xiàng)目的冠軍。

鄭文彬認(rèn)為，在歐美、日韓等國(guó)家的黑客占領(lǐng)高地的時(shí)代，中國(guó)的黑客水平正在提高，但仍需要更多的資源去培養(yǎng)白帽黑客，而物聯(lián)網(wǎng)時(shí)代，企業(yè)的網(wǎng)絡(luò)安全意識(shí)需要加強(qiáng)。

擋了黑帽黑客財(cái)路 收到恐嚇短信

魔高一尺，道高一丈，白帽黑客與黑帽黑客之間的博弈也是如此。在鄭文彬看來，白帽黑客與黑帽黑客之間的“攻防戰(zhàn)”就像打CS（反恐精英）游戲，尋找系統(tǒng)漏洞的過程如同在地圖中找到藏著的那把槍。

“黑帽黑客發(fā)現(xiàn)，就會(huì)拿槍殺人，但白帽黑客發(fā)現(xiàn)，會(huì)把槍藏起來，或者銷毀，如果白帽黑客速度快，就可以保護(hù)用戶不被攻擊。”

在他看來，黑帽、白帽的技術(shù)交鋒是一個(gè)賽跑過程，白帽黑客的行為，“擋了黑帽黑客的財(cái)路”，二者之間火藥味較濃。“國(guó)外的火藥味比國(guó)內(nèi)重。”鄭文彬發(fā)現(xiàn)，國(guó)內(nèi)白帽和黑帽更多的是暗中較勁，360公司的安全白帽就收到過恐嚇短信。

如何能在博弈中取勝？鄭文彬認(rèn)為，基礎(chǔ)資源和人力資源都很重要。“挖掘漏洞，服務(wù)器資源的多少很關(guān)鍵。此外，人才投入越多，對(duì)‘跑贏’比賽就越有利。”

去年，意大利的黑客公司Hacking Team被入侵，公司郵件內(nèi)容被公布，其中包含了很多漏洞信息。漏洞被公布在網(wǎng)絡(luò)上，擴(kuò)大了危害面，“黑帽黑客會(huì)利用公開出來的漏洞攻擊普通人。”

“這時(shí)候就是白帽黑客和黑帽黑客在賽跑，”談到這次經(jīng)歷，鄭文彬格外興奮。“我們團(tuán)隊(duì)花了四五天從幾百G的文件中找到3個(gè)漏洞，涉及微軟、Adobe等廠商，立即報(bào)給廠商去修復(fù)，避免損失擴(kuò)大。”

白帽黑客與黑帽黑客博弈的結(jié)果影響到網(wǎng)絡(luò)環(huán)境。白帽黑客的數(shù)量是重要的因素。如今在國(guó)內(nèi)，黑客總體數(shù)量上升，但白帽黑客占比更高，黑帽黑客越來越少。

“雖然黑帽黑客賺得多，但要承擔(dān)很大風(fēng)險(xiǎn)?，F(xiàn)在國(guó)家立法也越來越完善，很多黑帽黑客也愿意轉(zhuǎn)型做白帽黑客。”鄭文彬解釋。

鄭文彬認(rèn)為，過去幾年，黑客在中國(guó)是一個(gè)“野蠻生長(zhǎng)”的過程。“隨著360這樣的安全公司的崛起，互聯(lián)網(wǎng)巨頭BAT也在網(wǎng)絡(luò)安全方面投入很大力量，國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境有很大改善。”

他認(rèn)為，亞洲的白帽黑客團(tuán)隊(duì)近兩年表現(xiàn)不錯(cuò)，“韓國(guó)政府非常重視黑客技術(shù)發(fā)展，通過在大學(xué)里舉辦對(duì)抗賽，從大學(xué)生中發(fā)掘人才。”

中國(guó)在這方面跟歐美有一定差距，“但現(xiàn)在不管是業(yè)界還是學(xué)界，都越來越重視網(wǎng)絡(luò)安全人才的培養(yǎng)。”鄭文彬稱，“國(guó)內(nèi)高校從去年開始，將計(jì)算信息安全作為一級(jí)學(xué)科，現(xiàn)在大部分985高校都設(shè)有信息安全專業(yè)，與計(jì)算機(jī)專業(yè)平級(jí)。”

“很多年輕的天才型人才，有著與眾不同的思維角度、方式，發(fā)現(xiàn)的漏洞也是我們從未想到過的，年紀(jì)輕輕就能‘亂拳打死老師傅’。”在他看來，信息安全工作更依賴靈感，國(guó)內(nèi)的安全環(huán)境還很復(fù)雜，希望有更多新鮮血液注入網(wǎng)絡(luò)安全行業(yè)。

下個(gè)月，360公司同韓國(guó)POC Security共同主辦的世界黑客大師挑戰(zhàn)賽(Belluminar Beijing)將開賽，作為此次活動(dòng)的負(fù)責(zé)人，鄭文彬希望借此搭建一個(gè)國(guó)內(nèi)外安全技術(shù)團(tuán)隊(duì)的交流平臺(tái)，為國(guó)內(nèi)培養(yǎng)出更多優(yōu)秀的白帽黑客。

和韓國(guó)POC Security合作是鄭文彬提出來的。去年，在韓國(guó)POC Security安全大會(huì)上，鄭文彬看到了跟其他比賽截然不同的新形式。“過去是比賽方出題黑客答題，而這個(gè)比賽是黑客之間互出題目。”鄭文彬記得，去年有一個(gè)國(guó)際前十的強(qiáng)隊(duì)在這個(gè)比賽中拿了零分，“可見比賽的難度有多高。”

除比賽外，最值得借鑒的是分享會(huì)，各個(gè)團(tuán)隊(duì)在賽后還會(huì)分享出題、解題的思路，面對(duì)面交流。鄭文彬希望把這樣的比賽帶到國(guó)內(nèi)，邀請(qǐng)俄羅斯、美國(guó)、韓國(guó)等多國(guó)的頂級(jí)黑客戰(zhàn)隊(duì)，和國(guó)內(nèi)團(tuán)隊(duì)一起，同臺(tái)競(jìng)技交流。據(jù)了解，此次比賽有兩個(gè)中國(guó)團(tuán)隊(duì)參賽，是上海交通大學(xué)的0ops和清華大學(xué)的藍(lán)蓮花（blue-lotus）。

缺乏安防的智能設(shè)備極易被黑客攻擊

隨著萬(wàn)物互聯(lián)時(shí)代的到來，網(wǎng)絡(luò)安全問題將比過去更加重要。

眼下，智能家居逐步走進(jìn)生活，其背后隱藏著巨大風(fēng)險(xiǎn)。鄭文彬的團(tuán)隊(duì)就曾經(jīng)攻破過家電、汽車等的智能設(shè)備，該團(tuán)隊(duì)一位女程序員回憶，攻破智能設(shè)備的瞬間，自己都嚇了一跳。

“我們攻破過豆?jié){機(jī)，還有電視機(jī)、洗衣機(jī)，發(fā)現(xiàn)通過網(wǎng)絡(luò)能找到很多智能設(shè)備漏洞，可以遠(yuǎn)程操控設(shè)備。”比如通過藍(lán)牙設(shè)備控制油電混動(dòng)的智能汽車，就可以造成緊急斷油、斷電。

她認(rèn)為，增加安全防護(hù)，經(jīng)濟(jì)成本不會(huì)太高，主要是時(shí)間成本問題。廠商為了搶占市場(chǎng)往往沒時(shí)間先搭建安全基礎(chǔ)，維護(hù)信息安全。“這就像是沒穿衣服，裸露在外，極易被攻擊。”

在團(tuán)隊(duì)看來，安防是基礎(chǔ)，但在實(shí)際發(fā)展中，安防反而是相對(duì)滯后的需求。“就像智能手機(jī)剛出來的時(shí)候，安全性能不盡人意。其后，安全事件頻發(fā)，廠商才慢慢開始重視，物聯(lián)網(wǎng)的發(fā)展也是這樣一個(gè)過程。”

鄭文彬認(rèn)為，物聯(lián)網(wǎng)時(shí)代面臨的安全問題會(huì)比較多，“過去的安全問題頂多是信息泄露，但物聯(lián)網(wǎng)時(shí)代，如果醫(yī)療設(shè)備或是家電被黑客攻擊，就可能威脅人的生命安全。”

目前，物聯(lián)網(wǎng)設(shè)備的發(fā)展還處于起步階段，物聯(lián)網(wǎng)設(shè)備和互聯(lián)網(wǎng)安全的結(jié)合度不高。他說，由于物聯(lián)網(wǎng)的安全性問題會(huì)直接影響普通人的真實(shí)生活，可能會(huì)更快解決這一問題。

他表示，互聯(lián)網(wǎng)安全是智慧城市發(fā)展的重要基石，“不管是智慧城市還是智能家居，沒有安全基石就會(huì)危害日常生活。”

黑客操縱信號(hào)燈，就會(huì)造成交通事故；黑客入侵發(fā)電站，就會(huì)導(dǎo)致城市電路癱瘓。一個(gè)典型的例子，去年烏克蘭近60座發(fā)電站在圣誕節(jié)期間被攻擊，導(dǎo)致首都基輔部分地區(qū)和烏克蘭西部地區(qū)整整斷電兩天。

目前國(guó)內(nèi)的安全防范基礎(chǔ)較弱，企業(yè)的安全意識(shí)尚不到位。“其實(shí)只要用最新的系統(tǒng)、打最好的補(bǔ)丁，安全門檻就會(huì)大大提高，但即便如此，仍有很多企業(yè)做不到。”他表示，“網(wǎng)絡(luò)安全就是國(guó)家安全，政府和企業(yè)都要增強(qiáng)安全意識(shí)，將信息安全作為重點(diǎn)來抓。”