網(wǎng)絡(luò)江湖中的黑與白 "白帽黑客"逐漸走入人們視野

責(zé)任編輯:editor006

作者:牛帥

2017-03-15 17:18:56

摘自:人民網(wǎng)

換言之,“白帽”為安全而技術(shù),是網(wǎng)絡(luò)安全的建設(shè)者;“黑帽”為利益而技術(shù),是網(wǎng)絡(luò)安全的破壞者。為吸引和鼓勵(lì)

 【環(huán)球科技】

便捷的信息產(chǎn)品、服務(wù)和應(yīng)用已成為人類社會(huì)生活賴以運(yùn)轉(zhuǎn)的必需品,信息安全的重要性不言而喻。近年來(lái)發(fā)生的海量用戶數(shù)據(jù)泄露、智能設(shè)備遭非法遠(yuǎn)程控制、網(wǎng)絡(luò)勒索橫行等事件已成為全球性問題。據(jù)估算,2016年網(wǎng)絡(luò)相關(guān)犯罪造成的損失超過(guò)4500億美元。如果說(shuō)網(wǎng)絡(luò)有江湖,那亦是風(fēng)雨飄搖,自古江湖正邪不兩立,既有惡人橫行,自有俠客出山。“白帽黑客”作為網(wǎng)絡(luò)江湖俠客,正逐漸走入人們的視野。

在這一背景下,2016年11月至今年1月,美國(guó)陸軍開展了名為“黑進(jìn)軍隊(duì)(Hack The Army)”的賞金計(jì)劃,包括征兵網(wǎng)站和陸軍數(shù)據(jù)庫(kù)等重要信息系統(tǒng)在軍方授意下公開經(jīng)受黑客的輪番測(cè)試。美國(guó)軍方共收到400多份漏洞報(bào)告,派發(fā)獎(jiǎng)金超10萬(wàn)美元。此外還將部分高危漏洞詳情向社會(huì)披露,并計(jì)劃篩選出優(yōu)秀“白帽”為國(guó)效力。

1 黑客和他們的“帽子”

黑客(Hacker)指精通計(jì)算機(jī)技術(shù),專注于程序設(shè)計(jì)的電腦高手,通過(guò)挖掘安全漏洞進(jìn)而可以破解密碼、控制計(jì)算機(jī)、竊取數(shù)據(jù)的神秘群體。“黑客”的稱呼最初是中性甚至是褒義的,擁有“自由”“共享”“創(chuàng)造性”的獨(dú)特文化。黑客往往會(huì)通過(guò)漏洞工具自動(dòng)化掃描,獲得一幅系統(tǒng)“漏洞地圖”后嘗試對(duì)信息產(chǎn)品和服務(wù)進(jìn)行攻破。網(wǎng)絡(luò)上無(wú)所不能的神秘黑客,在現(xiàn)實(shí)生活中可能是普通學(xué)生、程序員、工程師、研究人員或自由職業(yè)者。

技術(shù)作為工具并無(wú)曲直,但使用者的目的卻大相徑庭。黑客大體可分為“白帽黑客”“黑帽黑客”和“灰帽黑客”三類。“白帽黑客”會(huì)利用自己的能力維護(hù)信息安全,發(fā)現(xiàn)漏洞后及時(shí)向廠商或有關(guān)部門進(jìn)行反饋,保證漏洞在被惡意行為者利用前及時(shí)修復(fù),提升產(chǎn)品系統(tǒng)的安全性;“黑帽黑客”則是利用技術(shù)損害產(chǎn)品和用戶安全惡意獲利的一群人。媒體上有關(guān)黑客攻擊的報(bào)道指的就是“黑帽黑客”,例如臭名昭著的全球最大黑客組織“匿名者”,其核心成員超過(guò)千人,針對(duì)政府和企業(yè)系統(tǒng)發(fā)動(dòng)攻擊以表達(dá)不滿,五角大樓、美中情局、索尼公司、萬(wàn)事達(dá)公司和希臘央行等網(wǎng)絡(luò)系統(tǒng)均是其攻擊目標(biāo)。而“灰帽黑客”則是游走于二者之間,既不以維護(hù)網(wǎng)絡(luò)安全為己任,亦不齒于為害一方,其關(guān)注重心只在于純粹的炫技,追求的是技術(shù)超越帶來(lái)的成就感。

換言之,“白帽”為安全而技術(shù),是網(wǎng)絡(luò)安全的建設(shè)者;“黑帽”為利益而技術(shù),是網(wǎng)絡(luò)安全的破壞者。黑與白的界限往往非常模糊,仿佛蒼茫大海中的白濤與黑浪,游戲世界中的白魔法與黑魔法。白帽子一念之差可能鋌而走險(xiǎn),黑帽子浪子回頭會(huì)變?yōu)榫W(wǎng)絡(luò)安全的堅(jiān)強(qiáng)捍衛(wèi)者。

2 網(wǎng)絡(luò)漏洞:黑客的獵物

無(wú)論戴著什么樣的帽子,對(duì)于黑客而言,唯一的“獵物”就是網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)漏洞是指在信息產(chǎn)品軟硬件、協(xié)議實(shí)現(xiàn)或安全策略上存在的缺陷,可以讓攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)。當(dāng)企業(yè)發(fā)現(xiàn)或被通知產(chǎn)品存在漏洞時(shí),會(huì)積極進(jìn)行針對(duì)性地修復(fù)。漏洞具有全球化、通用性等特征,目前數(shù)量迅速增長(zhǎng),影響范圍和程度不斷增大,是對(duì)國(guó)家安全、經(jīng)濟(jì)發(fā)展的巨大威脅。

打個(gè)比方,信息技術(shù)公司好比“錢莊”,負(fù)責(zé)保管用戶的各類財(cái)產(chǎn)——我們的言行、資料、財(cái)產(chǎn)均以數(shù)字化形式被“錢莊”收集、保存、分析和利用。漏洞就是“錢莊”整個(gè)運(yùn)行流程中的風(fēng)險(xiǎn)點(diǎn),當(dāng)然,大多數(shù)“錢莊”的金庫(kù)圍墻不會(huì)有缺口,窗子也裝有護(hù)欄,會(huì)雇傭守衛(wèi)看護(hù),用戶存取財(cái)產(chǎn)也需要提供憑證。但安全風(fēng)險(xiǎn)并未完全消除:惡意行為者可以雇傭大量閑散人員在柜臺(tái)排隊(duì)導(dǎo)致“錢莊”無(wú)法為真正的用戶提供服務(wù);守衛(wèi)監(jiān)守自盜;年久失修的圍墻出現(xiàn)裂縫;市場(chǎng)上出現(xiàn)可以悄無(wú)聲息剪開護(hù)欄鋼筋的便攜液壓剪;或者直接通過(guò)地道挖進(jìn)金庫(kù)。黑客就是不斷找出這些漏洞的一群人。

網(wǎng)絡(luò)漏洞具有全球化、通用性的特征,能夠以點(diǎn)破面,筑再高的墻,換再?gòu)?fù)雜的門鎖都難免疏漏。那么是不是把金庫(kù)建造成銅墻鐵壁、堅(jiān)不可摧、處處監(jiān)控、只進(jìn)不出甚至深埋海底就可以保障絕對(duì)安全了呢?答案是否定的。首先信息領(lǐng)域沒有“堅(jiān)不可摧”,安全系統(tǒng)很快會(huì)隨著技術(shù)更新變得不堪一擊,安全系統(tǒng)需要不斷更新維護(hù);其次,互聯(lián)網(wǎng)的本質(zhì)是信息數(shù)據(jù)的自由流動(dòng)和充分利用,“錢莊”的龐大金庫(kù)需要被頻繁存取訪問,易訪問性必須得到保證,所以不具備絕對(duì)安全的條件。

因此,無(wú)論設(shè)計(jì)多么巧妙,實(shí)現(xiàn)能力多么強(qiáng)大,經(jīng)過(guò)多少輪測(cè)試檢驗(yàn),任何信息產(chǎn)品和服務(wù)都不可避免地存在漏洞。信息產(chǎn)品安全不可能一蹴而就,需要在產(chǎn)品的整個(gè)生命周期中得到重視,能夠及時(shí)發(fā)現(xiàn)并修復(fù)漏洞才是負(fù)責(zé)任企業(yè)的正確做法。以安全著稱的蘋果iOS系統(tǒng)僅在2015年就有387個(gè)安全漏洞被曝出,而微軟的“視窗XP”系統(tǒng)在十多年的漫長(zhǎng)生命周期中也有726個(gè)漏洞被曝出。正是因?yàn)檫@些產(chǎn)品的關(guān)注度高、用戶量大,才會(huì)在“聚光燈”和“放大鏡”下被研究得更徹底,修補(bǔ)漏洞后的產(chǎn)品也才會(huì)更安全和完善。因此,致力于發(fā)現(xiàn)并修補(bǔ)漏洞的白帽黑客們無(wú)疑是信息安全保障的重要助力之一。

3 “白帽黑客”與江湖歷練

當(dāng)然,漏洞不光是黑客們的獵物,亦是傳統(tǒng)殺毒軟件公司的勢(shì)力范圍。只不過(guò)殺毒軟件是漏洞被利用后“亡羊補(bǔ)牢”,“白帽黑客”則是主動(dòng)在羊圈外“巡視缺口”,力爭(zhēng)未亡先補(bǔ)。“白帽黑客”作為維護(hù)網(wǎng)絡(luò)安全的民間力量不斷得到各方肯定與重視,同時(shí)他們也面臨各類誘惑和困境。

社會(huì)偏見。為吸引眼球,大眾媒體往往對(duì)于黑客相關(guān)的新聞過(guò)度神秘化,所有負(fù)面安全事件均歸結(jié)到“無(wú)所不能”的黑客身上。技術(shù)公司往往對(duì)“白帽黑客”未經(jīng)授權(quán)的測(cè)試行為不滿,并懷疑其主動(dòng)報(bào)告的動(dòng)機(jī)。政府往往抵觸“外部黑客”的幫助,更不會(huì)建設(shè)獎(jiǎng)勵(lì)機(jī)制,打造正向反饋。

金錢誘惑。在地下黑色產(chǎn)業(yè)鏈中,惡意利用漏洞變現(xiàn)的速度驚人,一個(gè)高危漏洞在黑市上可以買到六位數(shù)的高價(jià),而“白帽黑客”通過(guò)正規(guī)渠道只能得到象征性的物質(zhì)獎(jiǎng)勵(lì)。盡管“白帽黑客”對(duì)技術(shù)和安全的追求高于對(duì)金錢追求,但面對(duì)數(shù)十倍的收入差距和一夜暴富的誘惑,心存“網(wǎng)絡(luò)犯罪難以追蹤”的僥幸,不少黑客且將白帽換黑帽,不可避免地進(jìn)入地下黑產(chǎn)鏈條。

年輕氣盛。年輕化是黑客團(tuán)體的一大特點(diǎn)。根據(jù)“HackerOne”漏洞報(bào)告平臺(tái)調(diào)查,35歲以下的黑客占比超過(guò)九成。手握最新技術(shù)、雄心勃勃但閱歷不足的年輕人面臨抉擇時(shí)即便不受金錢吸引,但難免不受聲名所累,迫切希望通過(guò)發(fā)起“破壞性”事件一舉成名。因此,作為一名“白帽黑客”,心志必須堅(jiān)定到年輕且耐得住寂寞。

行為邊緣。檢測(cè)漏洞行為處于法律和觀念的模糊邊緣。法律中對(duì)“白帽黑客”自發(fā)性檢測(cè)系統(tǒng)漏洞(如黑進(jìn)目標(biāo)網(wǎng)站但不進(jìn)行破壞)的行為是否構(gòu)成犯罪尚未有明確界限,諸多空白區(qū)亟待填補(bǔ)。就像在沒有得到授權(quán)的情況下,某人在“錢莊”外不停巡視,進(jìn)行“模擬攻擊”,利用各類工具試探圍欄結(jié)實(shí)與否,防盜門鎖安全強(qiáng)度如何,甚至使用偽造憑證辦理業(yè)務(wù)。這會(huì)讓大部分“錢莊”和執(zhí)法者警惕和懷疑。在一些公司眼中,“白帽黑客”就是“借機(jī)勒索的壞小子”。

不受重視。“白帽黑客”缺乏有效的報(bào)告渠道,往往只能向公司發(fā)送電子郵件。不僅耗時(shí)漫長(zhǎng),面對(duì)“白帽黑客”報(bào)告的漏洞信息,政府和企業(yè)常常由于安全意識(shí)不到位而無(wú)動(dòng)于衷。美國(guó)“白帽黑客”David Helkowski曾在馬里蘭大學(xué)服務(wù)器發(fā)現(xiàn)能夠訪問大量學(xué)生和教員的個(gè)人數(shù)據(jù)的安全漏洞,遺憾的是學(xué)校并未重視這份報(bào)告。沒過(guò)多久,超過(guò)30萬(wàn)名該校在校生和畢業(yè)生的社會(huì)安全號(hào)碼等個(gè)人信息遭黑客竊取并曝光。報(bào)告渠道受阻、回應(yīng)遲緩嚴(yán)重打擊“白帽黑客”的積極性。

江湖圍堵。由于將漏洞信息透明化公開化,由于其行為事實(shí)上會(huì)阻斷黑色產(chǎn)業(yè)的利益鏈條,使得原本希望利用漏洞恐嚇公司和個(gè)人獲取暴利的安全公司或黑帽黑客惱羞成怒,“白帽黑客”不僅可能遭遇“單挑”,還極有可能面臨龐大黑色產(chǎn)業(yè)的圍堵。

4 “白帽黑客”的出路

道高一尺,魔高一丈。隨著萬(wàn)物互聯(lián)序幕的拉開,安全漏洞風(fēng)險(xiǎn)如影相隨,安全能力建設(shè)形勢(shì)更趨嚴(yán)峻。“白帽黑客”作為維護(hù)網(wǎng)絡(luò)安全的重要組成力量,其特殊性正在得到越來(lái)越多的重視。社會(huì)需要給“白帽黑客”信任和展示能力的機(jī)會(huì),為其設(shè)定行為邊界,并給出相應(yīng)激勵(lì),否則“白帽黑客”只不過(guò)是一個(gè)帶有浪漫主義色彩的稱呼而已。當(dāng)前,美國(guó)政府、企業(yè)和相關(guān)機(jī)構(gòu)正在積極探索,以期為他們提供“光明大道”,通過(guò)一套較為完善的體系,正確引導(dǎo)和激勵(lì)“白帽黑客”釋放正能量。

實(shí)施“賞金計(jì)劃”。一直以來(lái),美政府對(duì)獎(jiǎng)勵(lì)漏洞發(fā)現(xiàn)者不感興趣,對(duì)曝光的系統(tǒng)漏洞反應(yīng)較為遲緩。然而,安全風(fēng)險(xiǎn)日趨復(fù)雜,獨(dú)自應(yīng)對(duì)難以為繼,政府對(duì)黑客看法在不斷改變。努力探索保障網(wǎng)絡(luò)安全的新方法,積極為漏洞的提交廣開言路是大勢(shì)所趨。2016年3月到5月,美國(guó)防部發(fā)起名為“黑掉五角大樓”競(jìng)賽項(xiàng)目,設(shè)置超過(guò)15萬(wàn)美元獎(jiǎng)勵(lì)吸引本國(guó)黑客向其信息系統(tǒng)發(fā)起攻擊。該項(xiàng)目取得巨大成功,兩個(gè)月的競(jìng)賽項(xiàng)目共吸引1400名黑客參與,發(fā)現(xiàn)的漏洞多達(dá)138個(gè)。若通過(guò)外部商業(yè)安全公司發(fā)掘同等數(shù)量和質(zhì)量的漏洞,政府將花費(fèi)超過(guò)100萬(wàn)美元。防長(zhǎng)卡特對(duì)結(jié)果非常滿意,國(guó)防部認(rèn)為演練有利于“發(fā)現(xiàn)漏洞并制定保護(hù)五角大樓網(wǎng)絡(luò)系統(tǒng)的應(yīng)對(duì)措施”。此次政府部門效仿商業(yè)公司獎(jiǎng)勵(lì)“白帽黑客”的行為具有里程碑意義,為未來(lái)與“白帽黑客”建立長(zhǎng)期信任和合作奠定了基礎(chǔ)。國(guó)防部嘗到甜頭后,宣布發(fā)展該項(xiàng)目為永久性項(xiàng)目,擴(kuò)大更多國(guó)防部系統(tǒng)和網(wǎng)絡(luò)加入測(cè)試。

除政府外,IT公司也積極行動(dòng),轉(zhuǎn)變思路。過(guò)去很長(zhǎng)一段時(shí)間,美國(guó)大公司并不希望自身產(chǎn)品被曝光存在漏洞,有的公司甚至要求“白帽黑客”刪除相關(guān)漏洞信息。其一,公司往往懷疑“白帽黑客”的好意,認(rèn)為是在索要報(bào)酬。其二,若不及時(shí)“打補(bǔ)丁”,會(huì)遭遇針對(duì)該漏洞的頻繁攻擊。其三,擔(dān)心影響企業(yè)聲譽(yù),曾有公司在產(chǎn)品漏洞曝光后股價(jià)暴跌。隨著企業(yè)對(duì)產(chǎn)品安全意識(shí)的增強(qiáng),對(duì)“白帽黑客”提供的漏洞信息需求迅速上升,企業(yè)會(huì)直接對(duì)“白帽黑客”送出獎(jiǎng)勵(lì)。谷歌、雅虎、微軟等眾多IT巨頭設(shè)置本公司的漏洞獎(jiǎng)勵(lì)計(jì)劃和安全響應(yīng)中心,鼓勵(lì)“白帽黑客”測(cè)試其系統(tǒng)。例如“臉譜”網(wǎng)建立了針對(duì)自己產(chǎn)品平臺(tái)的漏洞提交和獎(jiǎng)勵(lì)頁(yè)面,充分尊重黑客的隱私權(quán)和知情權(quán)并提供不少于500美元的獎(jiǎng)勵(lì)。谷歌設(shè)立獎(jiǎng)勵(lì)計(jì)劃,為找到安卓(Android)系統(tǒng)安全漏洞的黑客提供最高20萬(wàn)美元的獎(jiǎng)金。

提供專業(yè)場(chǎng)所。普通企業(yè)一般不會(huì)專門設(shè)置安全部門或漏洞獎(jiǎng)勵(lì)項(xiàng)目,為有效對(duì)接企業(yè)需求和社會(huì)資源,“眾測(cè)”模式應(yīng)運(yùn)而生。“眾測(cè)”是一種由廠商提供產(chǎn)品和獎(jiǎng)金,漏洞平臺(tái)組織黑客為其尋找安全漏洞并分配報(bào)酬的生產(chǎn)模式。廠商在降低運(yùn)營(yíng)成本的同時(shí),也充分調(diào)動(dòng)了“白帽黑客”勞動(dòng)的積極性。如美國(guó)舊金山的“HackerOne”漏洞平臺(tái)吸引了來(lái)自150個(gè)國(guó)家的3000多名黑客注冊(cè),為包括雅虎、優(yōu)步、推特在內(nèi)的超過(guò)500家公司提供漏洞測(cè)試服務(wù)。擁有強(qiáng)大號(hào)召力的“HackerOne”宣稱77%的公司能夠在24小時(shí)之內(nèi)利用該平臺(tái)找到安全漏洞,目前已經(jīng)修復(fù)近四萬(wàn)個(gè)漏洞。“白帽黑客”注冊(cè)后提交漏洞信息,“HackerOne”通知公司進(jìn)行修復(fù)廠商對(duì)漏洞有效性、嚴(yán)重性和影響范圍做出評(píng)價(jià),在漏洞未被解決之前,漏洞信息是加密的,甚至平臺(tái)也無(wú)權(quán)查看這些信息,充分保護(hù)企業(yè)和“白帽黑客”的權(quán)益。為吸引和鼓勵(lì)“白帽黑客”,“HackerOne”將漏洞獎(jiǎng)勵(lì)金額下限設(shè)置為100美元,并為高危漏洞提供獎(jiǎng)勵(lì)金額參考,最高漏洞獎(jiǎng)勵(lì)可達(dá)3萬(wàn)美元。

舉辦“武林大會(huì)”。黑客大會(huì)是黑客文化交流的嘉年華,來(lái)自全球各地的技術(shù)大咖齊聚一堂,公開展示最新研究發(fā)現(xiàn)。如久負(fù)盛名的黑帽大會(huì)(BlackHat)作為全球頂尖的安全技術(shù)會(huì)議,是信息安全界每一位研究者的夢(mèng)想舞臺(tái),會(huì)議內(nèi)容包括前沿技術(shù)培訓(xùn),黑客安全團(tuán)隊(duì)講演、公司宣講等。RSA安全會(huì)議每年吸引數(shù)萬(wàn)人參會(huì),幾乎所有安全研究人員都會(huì)參與其中,展示研究項(xiàng)目,研究行業(yè)熱點(diǎn)問題。此外,CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB(hack in the box)、POC (Power of community)、HITCON 、CodeBlue 等側(cè)重點(diǎn)各不相同的會(huì)議更是多點(diǎn)開花,“白帽黑客”參與度空前高漲。

幫助驗(yàn)明正身。去年11月,美國(guó)防部制定了《漏洞披露政策》,為“白帽黑客”們提供政策安全保障。該政策允許自由安全研究人員通過(guò)合法途徑披露國(guó)防部面向公眾使用的信息系統(tǒng)存在的任何漏洞。該政策指出只要符合政策的限制和規(guī)定,將不會(huì)對(duì)黑客發(fā)起執(zhí)法和訴訟活動(dòng),并可以為“白帽黑客”提供保護(hù)和證明。此外,美國(guó)防部高級(jí)研究計(jì)劃局(DARPA)的“Improv”項(xiàng)目和網(wǎng)絡(luò)挑戰(zhàn)賽,也正在積極發(fā)掘網(wǎng)絡(luò)漏洞和網(wǎng)羅全球優(yōu)秀的“白帽黑客”。近年來(lái),美國(guó)執(zhí)法部門已經(jīng)開始嘗試直接從黑客大會(huì)現(xiàn)場(chǎng)物色黑客提供技術(shù)或?yàn)橹ЯΑ?/p>

當(dāng)前我國(guó)正處網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略推進(jìn)的關(guān)鍵階段,信息技術(shù)能力和產(chǎn)業(yè)蓬勃發(fā)展的背后面臨日益增大的安全壓力。政府、企業(yè)、組織和民眾對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)和需求不斷提高,除建立健全政企網(wǎng)絡(luò)安全信息共享機(jī)制、完善政策法律保障、明確企業(yè)責(zé)任外,做好“白帽”人才儲(chǔ)備與有效使用亦應(yīng)成為重要一環(huán)。從當(dāng)前國(guó)際經(jīng)驗(yàn)來(lái)看,如能妥善引導(dǎo)和規(guī)范“白帽黑客”,保障“白帽黑客”合法權(quán)利,無(wú)疑能夠極大激發(fā)民間力量,為信息安全保駕護(hù)航。

(作者:牛帥,單位:中國(guó)現(xiàn)代國(guó)際關(guān)系研究院信息與社會(huì)發(fā)展研究所)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)