在日本東京舉辦的世界頂級(jí)黑客大賽中，我國(guó)騰訊科恩實(shí)驗(yàn)室?jiàn)Z冠。

日前，2017補(bǔ)天白帽大會(huì)在深圳舉辦。會(huì)場(chǎng)中，人們能用手機(jī)搜索到不少無(wú)線網(wǎng)絡(luò)信號(hào)，卻無(wú)人敢輕易連接。原來(lái)，會(huì)場(chǎng)上黑客云集，如果不幸連上被黑客操控的釣魚(yú)WiFi，手機(jī)極有可能遭到入侵。

在許多人眼里，黑客仍然意味著“神秘”和“危險(xiǎn)”。但在網(wǎng)絡(luò)世界中，黑客卻有著三種不同的面孔：白帽、黑帽和灰帽。類似美國(guó)早期西部片中以“白帽”和“黑帽”區(qū)分正邪雙方，在網(wǎng)絡(luò)黑客世界中，白帽黑客和黑帽黑客的稱呼分別代表兩種對(duì)立角色——臨危救難的英雄和令人側(cè)目的反派：白帽黑客專事網(wǎng)絡(luò)、計(jì)算機(jī)技術(shù)防御；黑帽黑客研究操作系統(tǒng)，尋找漏洞，以個(gè)人意志為出發(fā)點(diǎn)攻擊網(wǎng)絡(luò)或者計(jì)算機(jī)；灰帽黑客則介于兩者中間，他們懂得技術(shù)防御原理，且有實(shí)力突破這些防御，一般情況下，不會(huì)發(fā)動(dòng)惡意攻擊。

360企業(yè)安全集團(tuán)董事長(zhǎng)齊向東用一個(gè)場(chǎng)景形象地說(shuō)明三種黑客的區(qū)別：“看到有人家門(mén)沒(méi)關(guān)，進(jìn)屋偷東西的是黑帽子；進(jìn)屋轉(zhuǎn)一圈，再對(duì)你說(shuō)"門(mén)沒(méi)關(guān)嚴(yán)"的是灰帽子；提醒你"門(mén)沒(méi)關(guān)嚴(yán)"，在征得同意后幫你把門(mén)關(guān)上的是白帽子。”

那條虛開(kāi)的門(mén)縫，則是黑客們攻防的對(duì)象——網(wǎng)絡(luò)漏洞。

“萬(wàn)物互聯(lián)”下的安全憂患

如同人類進(jìn)行語(yǔ)言表達(dá)時(shí)，常會(huì)出現(xiàn)語(yǔ)法、邏輯上的錯(cuò)誤一樣，計(jì)算機(jī)語(yǔ)言中的“語(yǔ)法錯(cuò)誤或邏輯性錯(cuò)誤”，都叫作“漏洞”。齊向東說(shuō)，“漏洞很容易被人拿來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，就像我們無(wú)意間說(shuō)話出現(xiàn)瑕疵之后，讓人抓住了把柄，"有心之人"會(huì)拿這些話反過(guò)來(lái)攻擊我們。在計(jì)算機(jī)領(lǐng)域也是一樣”。

漏洞被非法利用有何危害？齊向東認(rèn)為，危害在不同時(shí)期有著不同的嚴(yán)重性：在以內(nèi)容和應(yīng)用為核心的“消費(fèi)互聯(lián)網(wǎng)”時(shí)代，遭受網(wǎng)絡(luò)攻擊會(huì)丟隱私、丟錢(qián)，會(huì)“傷財(cái)”；而在已經(jīng)來(lái)臨的以大數(shù)據(jù)為核心的“工業(yè)互聯(lián)網(wǎng)”時(shí)代，互聯(lián)網(wǎng)背后是生產(chǎn)線、控制系統(tǒng)，直至萬(wàn)事萬(wàn)物。一旦遭受網(wǎng)絡(luò)攻擊，會(huì)控制失靈、車(chē)毀人亡、危及生命，是“損命”。

近兩年，全球范圍內(nèi)先后發(fā)生多起引發(fā)廣泛關(guān)注的，針對(duì)工業(yè)、能源等關(guān)鍵基礎(chǔ)設(shè)施的攻擊，除了竊取敏感數(shù)據(jù)外，更多是以直接破壞工業(yè)設(shè)備系統(tǒng)為目標(biāo)，使目標(biāo)系統(tǒng)癱瘓、日常作業(yè)流程無(wú)法正常運(yùn)轉(zhuǎn)，嚴(yán)重者可大面積威脅百姓生命財(cái)產(chǎn)安全。2016年4月，德國(guó)核電站原料添加系統(tǒng)遭遇網(wǎng)絡(luò)攻擊，檢查人員發(fā)現(xiàn)系統(tǒng)內(nèi)被植入破壞性木馬，安全起見(jiàn)，核電站被臨時(shí)關(guān)閉；去年，卡巴斯基掃描了全球170個(gè)國(guó)家和地區(qū)的近20萬(wàn)套工業(yè)控制系統(tǒng)，其中92%都存在安全漏洞，存在遭遇黑客攻擊、接管甚至破壞設(shè)備正常運(yùn)行的風(fēng)險(xiǎn)。

有統(tǒng)計(jì)顯示，網(wǎng)絡(luò)攻擊每年給企業(yè)造成的損失高達(dá)5000億美元，并且，這個(gè)數(shù)字每年還在大幅上升。在針對(duì)企業(yè)的攻擊中，重點(diǎn)關(guān)注的領(lǐng)域依次是：通信網(wǎng)絡(luò)、電子電器、海洋與港口、能源化工、交通運(yùn)輸、航空航天和網(wǎng)絡(luò)安全。2015年，菲亞特克萊斯勒汽車(chē)美國(guó)公司在美國(guó)召回旗下大切諾基、自由光等車(chē)型共計(jì)140萬(wàn)輛，原因是這些車(chē)型存在重大安全漏洞，可能會(huì)讓黑客遠(yuǎn)程劫持車(chē)輛。

安全是發(fā)展的前提，在工業(yè)互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全至關(guān)重要。今年2月，國(guó)家發(fā)展改革委已批準(zhǔn)由360公司牽頭承建大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室，重點(diǎn)開(kāi)展數(shù)據(jù)匯聚隱私保護(hù)、數(shù)據(jù)防泄漏、系統(tǒng)漏洞分析、安全協(xié)同分析、大數(shù)據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估與安全監(jiān)測(cè)等技術(shù)的研發(fā)和工程化工作。日前，美國(guó)國(guó)防高級(jí)研究計(jì)劃局也啟動(dòng)開(kāi)發(fā)項(xiàng)目，核心目標(biāo)是開(kāi)發(fā)能夠檢測(cè)且自動(dòng)響應(yīng)針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的技術(shù)，參與者包括雷神公司、斯坦福研究院等主要供應(yīng)商，以及美國(guó)國(guó)土安全部等政府機(jī)構(gòu)。網(wǎng)絡(luò)安全防護(hù)，正在成為國(guó)家基礎(chǔ)設(shè)施領(lǐng)域建設(shè)的重要部分。

眾測(cè)之力鎖牢安全屏障

在世界范圍內(nèi)，科技型公司和重視品牌建設(shè)的企業(yè)，已經(jīng)在“挖漏洞”上先行一步。美國(guó)知名漏洞眾測(cè)平臺(tái)HackerOne首席運(yùn)營(yíng)官王寧表示，越來(lái)越多的美國(guó)公司意識(shí)到，僅依靠幾名技術(shù)人員維護(hù)安全的做法已經(jīng)過(guò)時(shí)。除了加強(qiáng)安全團(tuán)隊(duì)建設(shè)，這些公司也開(kāi)始與第三方平臺(tái)合作，借白帽黑客眾測(cè)之力，鎖牢安全屏障。近年來(lái)，我國(guó)不少企業(yè)也紛紛組建安全應(yīng)急響應(yīng)中心，提高安全防御能力。在烏云、補(bǔ)天、威客眾測(cè)等第三方漏洞響應(yīng)平臺(tái)上，企業(yè)授權(quán)白帽黑客進(jìn)行漏洞挖掘，并根據(jù)漏洞的危害程度、影響范圍提供相應(yīng)獎(jiǎng)勵(lì)，激勵(lì)越來(lái)越多的黑客戴上象征正義的“白帽子”。

以國(guó)內(nèi)最大的在線旅行服務(wù)商攜程旅行網(wǎng)為例，攜程擁有開(kāi)發(fā)人員3000多名，安全人員卻僅有40名。在攜程旅行網(wǎng)信息安全總監(jiān)凌云看來(lái)，“以40人之力保障由3000多人開(kāi)發(fā)出來(lái)的程序安全性，無(wú)疑是不夠的”。為借助白帽黑客的力量讓系統(tǒng)更安全，過(guò)去一年攜程為各大漏洞響應(yīng)平臺(tái)的白帽子提供了約百萬(wàn)元獎(jiǎng)勵(lì)。

“網(wǎng)絡(luò)安全生態(tài)體系的建設(shè)必須群策群力、久久為功，單靠一家公司、一個(gè)組織不可能完成。技術(shù)共享、人才共享和更廣泛、更及時(shí)的漏洞響應(yīng)是未來(lái)的趨勢(shì)。”齊向東說(shuō)。國(guó)內(nèi)的補(bǔ)天平臺(tái)注冊(cè)白帽已達(dá)31633名，自2013年起，他們累計(jì)發(fā)現(xiàn)了20多萬(wàn)個(gè)漏洞，企業(yè)為這些白帽發(fā)出獎(jiǎng)金近900萬(wàn)元；美國(guó)的HackerOne已擁有來(lái)自150多個(gè)國(guó)家的注冊(cè)白帽約11萬(wàn)名，自2013年起，他們累計(jì)發(fā)現(xiàn)了18萬(wàn)多個(gè)漏洞，其中有4萬(wàn)多個(gè)漏洞已經(jīng)被修復(fù)。

精英白帽的“自我修養(yǎng)”

“90后”白帽黑客“華不再揚(yáng)”內(nèi)斂安靜，看上去只是一位鄰家小弟，但作為技術(shù)達(dá)人的他有著不尋常的經(jīng)歷：從小癡迷網(wǎng)絡(luò)游戲，進(jìn)入職業(yè)高中后鉆研黑客技術(shù)，畢業(yè)后曾在鞋廠做普工，很快又以安全分析師的身份被游戲公司聘用，并站上各大網(wǎng)絡(luò)安全專業(yè)沙龍的講臺(tái)。工作之余，“華不再揚(yáng)”熱衷參加企業(yè)漏洞懸賞計(jì)劃，在補(bǔ)天平臺(tái)的“風(fēng)云白帽排行榜”上，他的積分已經(jīng)高居總排行榜第八位。

大多數(shù)白帽黑客有著與“華不再揚(yáng)”相似的特征：年輕激進(jìn)、性格單純、學(xué)歷不高但對(duì)技術(shù)十分狂熱。這些涉世未深的白帽黑客，在網(wǎng)絡(luò)空間中俠肝義膽、叱咤風(fēng)云，但現(xiàn)實(shí)世界里，他們出自善意的“挖漏洞”行為，很可能給自己招來(lái)大麻煩。

2015年，烏云網(wǎng)某注冊(cè)白帽提交了某婚戀網(wǎng)站一個(gè)涉及大量會(huì)員信息的漏洞，當(dāng)時(shí)該網(wǎng)站確認(rèn)了這一漏洞，向白帽致謝并予以修復(fù)。不過(guò)，該網(wǎng)站隨即向公安局報(bào)案稱“有4000余條實(shí)名注冊(cè)信息被不法竊取”。不久后，以涉嫌“非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)犯罪”之名，該白帽被逮捕。

這一事件在黑客中掀起軒然大波。一位普通白帽，不牟取任何私利，只是義務(wù)檢測(cè)漏洞，發(fā)現(xiàn)漏洞后告知廠家，也算犯罪嗎？

在齊向東看來(lái)，這個(gè)案例反映出企業(yè)和白帽黑客之間的微妙關(guān)系：不敢溝通、不敢交流，互不信任。他用了一句俗語(yǔ)來(lái)形容這個(gè)關(guān)系：“麻稈打狼兩頭怕。”

的確，核心白帽的技術(shù)實(shí)力之強(qiáng)，可能令任何一家專業(yè)廠商都無(wú)法小覷。補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人白健說(shuō)，補(bǔ)天平臺(tái)對(duì)注冊(cè)白帽實(shí)施了分層認(rèn)證管理，對(duì)越核心、技術(shù)能力越強(qiáng)的白帽子認(rèn)證越嚴(yán)格。最核心的那一批要有明確的身份信息，與平臺(tái)簽書(shū)面協(xié)議，甚至做專訪調(diào)查。“大家都清楚地知道"挖洞"白帽的個(gè)人基本信息，包括工作情況、家庭情況等。”白健說(shuō)，“在對(duì)白帽信息有所掌握的前提下，我們把大量政府、企業(yè)和機(jī)構(gòu)用戶也拉到平臺(tái)注冊(cè)。在平臺(tái)上，雙方才得以打消顧慮，正常溝通合作”。

法律已經(jīng)為黑客的行動(dòng)劃定了紅線?！吨腥A人民共和國(guó)刑法》第二百八十五條、第二百八十六條、第二百八十七條對(duì)侵入計(jì)算機(jī)信息系統(tǒng)、傳播計(jì)算機(jī)病毒、利用計(jì)算機(jī)實(shí)施金融詐騙等行為做出了約束。今年6月1日起，我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》也將施行。

然而，黑色產(chǎn)業(yè)的猖獗，仍讓不少企業(yè)高度警覺(jué)。目前，在國(guó)內(nèi)外各大漏洞響應(yīng)平臺(tái)，大部分情況下，只有企業(yè)授權(quán)之后，白帽才能尋找并且提交漏洞。“盡管多方力量嚴(yán)加把控，白帽的不少細(xì)微動(dòng)作仍可能在無(wú)意中碰觸邊界。"挖洞"時(shí)必須盡量低調(diào)、點(diǎn)到為止。”經(jīng)驗(yàn)豐富的白帽“U神”說(shuō)，“對(duì)于黑色產(chǎn)業(yè)尤其要多加小心。許多進(jìn)入黑色產(chǎn)業(yè)的人，最初認(rèn)為可以做一次就"金盆洗手"。但感受過(guò)黑色產(chǎn)業(yè)的賺錢(qián)速度后，就會(huì)鋌而走險(xiǎn)繼續(xù)干，直到陷入深淵”。

“華不再揚(yáng)”比照佛教中的“力戒"貪嗔癡"三毒”，來(lái)形容白帽黑客自我修養(yǎng)的最高境界。“戒貪，要認(rèn)清自己的原則，遵照漏洞挖掘測(cè)試規(guī)定的事項(xiàng)，發(fā)現(xiàn)安全風(fēng)險(xiǎn)，協(xié)助廠商解決問(wèn)題；戒嗔，或許有些漏洞計(jì)劃，獎(jiǎng)勵(lì)不能如自己所愿，也不要計(jì)較；戒癡，黑色產(chǎn)業(yè)的誘惑很大，要理智地看待問(wèn)題。”

時(shí)代巨輪滾滾前行，工業(yè)互聯(lián)網(wǎng)如約而至。繁雜的互聯(lián)網(wǎng)生態(tài)與多變的人性，為黑客的色譜添上無(wú)窮的灰度。顏色深淺各異的黑帽、白帽與灰帽，在網(wǎng)絡(luò)叢林間展開(kāi)的對(duì)抗與博弈，或許才剛剛開(kāi)始。