谁来挑战无良黑客

陈庆春

白帽黑客、知道创宇总裁赵伟，13岁开始热爱计算机，1997年还在上大学的时候便开始在外面兼职做安全工作，2006年左右开始做反流氓软件，他的一个“战友”董海平还获得过2008年“3·15”晚会授予反流氓软件英雄的称号，而最近一次让他出名事件则是在一次创业大赛上挑战周鸿祎，让周恨不得对他动粗。

赵伟很喜欢爱因斯坦的一句话，“这个世界危险的不是那些邪恶的人，而是那些无动于衷的人。”奇虎360的安全报告称，目前国内约83%的网站存在各种安全漏洞，其中34%为高危漏洞。趋势科技的监测结果是，90%以上的网站存在安全漏洞。

2011年12月28日，一个名为“冰封刺客”的用户向乌云发布平台提交了“网易部分邮箱密码泄露”报告，其中涉及被泄露的密码账号达千万量级。但网易方面并没有给予重视。乌云平台创建人剑心说，他已经看过很多类似的事件了，“中国很多互联网企业在面对白帽黑客发布的信息漏洞时，常常选择否认，仿佛这是公关人员的工作，而不是安全人员的工作。”

企业：在信息安全上多投入一些

当CSDN信息泄露事件发生之后，大家都在忙什么？CSDN创始人蒋涛在微博中这样说：“1)某上市公司忙着造假库往外扔，栽赃其他公司，想摆脱被曝明文库的证据；2）有网站通知所有用户改密码，乘机激活用户 ；3）还有网站把这些公开库的数据直接导入自己用户库，也发通知给用户改密码 4）钓鱼的，垃圾邮件的都活跃起来了。”

人们在事件中看到的仍然是“商机”而不是“危机”。京东商城是此次事件中的另一个主角儿，据其内部人士说，“去年有过几次账号泄露的事情，也提醒了我们要有专门的安全人员去维护，现在我们已经有十几个人在做安全。”

“那是不是以前没有安全人员？”我问，对方只是支吾着回答：“以前不太重视。”但即便现在重视，安全人员也只是挂在运维部门之下。按照杨勇对中国信息安全发展历程的介绍，2003年左右大型互联网公司都将安全人员挂在运维部门之下，但现在基本都成立了单独的安全部门。京东商城目前已是第一大中国自营B2C，拥有员工2万名，在网络安全上似乎应该投入更多一些。

CSDN又是如何处理这起安全事件的呢？蒋涛说，事发后“第一时间做了1)联系下载源禁止下载；2)公开道歉；3）重置密码通知相关用户； 4）联系邮件服务商发送邮件通知（量太大请求他们支持）； 5）向公安机关报警，协助调查； 6）联系安全公司对CSDN全站系统进行审计，查补漏洞。” 杭州安恒技术有限公司总裁范渊也证实了，CSDN确实在第一时间联系了他们，当天夜里安恒工作人员便与CSDN运维人员一起协同工作，包括圣诞夜都还在机房。但是，除了这些之外，CSDN似乎应该尽快地建立起自己的安全团队。

“先有商业再建安全，在安全的危机中先照顾商机。”这是大多数互联网企业尤其是电子商务企业的运营法则。范渊称，电子商务企业为了尽快上业务，大多都是让第三方写代码，所有漏洞都大同小异，很不安全。而且，企业要控制成本的地方太多了，更何况中国电子商务企业尚且还没有大面积盈利的趋势，又如何让它们先去花大笔的钱投资到深不见底的安全上面呢？在企业界流行着这样一句话：“说起来重要，做起来次要，没钱的时候砍掉。”

专门为物流公司提供云服务的汇通天下总裁翟学魂，春节后便向客户提出了涨价30%～50%的要求，原因是为了提高安全性能，“以前是2个服务器现在要变成10个服务器。”翟学魂感触良多，“安全要做好，成本不是成倍的增加，而是几倍的增加。”

现阶段是互联网安全的建设初期，需要大投入，也是安全最脆弱的时期。杨勇说，经历过一系列的信息泄露和其他安全事件的洗礼，国内互联网公司逐渐开始重视起安全来。“一个最明显的例子便是，从猎头嘴里得知安全人才的工资涨了，以前是一二十万元的年薪，现在普遍升为30~60万元。”但是，安全并非一朝一夕、一蹴而就的事情。“那些有着丰富经验的安全人才，大多数在大公司里已经找到了自己的位置，不愿再跳槽了。”

互联网上没有国界，黑客们可以在全球呼风唤雨。那么国外的互联网企业如何确保自己信息安全呢？

黑色方阵

剑心很欣赏奇虎360干的事情，“他帮我们每个PC终端查杀木马，等于是终结了病毒黑色产业链，所以这群人才不得不去干数据交易的事情。”在病毒黑色产业链之后，一条数据交易的黑色产业链逐渐形成了。

在这次CSDN密码泄露事件中，屡次提到“明文密码”的概念。意思是，用户的密码没有加密保管，黑客入侵数据库之后，不用实施什么手法便可对密码一览无遗。但即使是加密过的密码，对黑客来说又有多大的难度呢？

目前的密码数据库均是通过哈希函数的方式进行加密，存储的数据是用户密码的哈希值。但是哈希函数并非万无一失，两个不同的密码可能哈希值会一样，这种情况被成为“碰撞”，而这正是黑客用来竊取数据库获得信息的途径。安全专家称，现在哈希函数都是公开的，除非自己设计一个很好的能够避免出现“碰撞”的哈希算法，否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。

即便设计出了碰撞几率低的算法，但黑客手中掌握了大量的碰撞库，这些都是常用密码所对应的哈希值，一旦有密码数据库泄露，黑客就会比对其中的哈希值与手中的碰撞库，如果匹配成功，就能找到用户的原始密码。也就是黑客圈几乎人手一份的彩虹表，即一庞大的、针对各种可能的字母组合预先计算好的哈希值的集合，有了它可以快速破解各类密码。越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。

黑客们技艺的增进，也与专业分工有关。自从360断了病毒黑色产业链之后，这几年数据交易的黑色产业链却日臻成熟。有人负责发掘漏洞，有人负责根据漏洞开发制作入侵工具，有人负责销售入侵工具，有人负责刷库，有人负责洗库，有人负责销售，还有人利用数据库钓鱼、诈骗、发送垃圾邮件等。术业有专攻，必然就产生了每个环节的专家。

据一位黑客介绍，专门负责挖漏洞的都是技术高手，但可能对漏洞开发利用工具一窍不通。不过，说到底漏洞作为这条产业链的上游（核心产业环节），一直都炙手可热。一个0DAY漏洞（没公布的漏洞）能换50个普通漏洞，拿去卖市价可能有几十万元，传言说还有一些女黑客为了骗0DAY漏洞情愿跟人上床。

获得漏洞之后便要去刷库。刷库分4个过程：第一是否能进得来；第二个是就算进得来，但能否看得见；第三是就算看得见核心数据，但能否拿得走；最后一步是就算能偷取整个数据库，但最终能否解得开。随着技术的进步，刷库倒变成了没有多少技术含量的活计。

这个产业链直接产生价值的环节是洗库，其中又分好几层：第一次“洗”是先对虚拟币等信息进行剥离，例如支付宝和QQ等，拿到用户的账号后就会进入账户尝试，如果有虚拟金钱就会转走，或将QQ号倒卖；第二次“洗”是对于个人信息的收集，有些账户可能包括个人信息内容，这些会卖给那些需要的人；第三次“洗”是关联手机号的信息，卖给转发垃圾短信的，这样一层层“洗”下去直到没有价值为止。

据中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚介绍，“刷库和洗库的分工很明确，洗库的人不会去刷卡，而且有专人负责对于各类不同账号的尝试，例如有人擅长操作QQ等。”这条黑色产业链的分工已经细到令人咂舌的地步。赵伟开玩笑地说，如果没有这条黑色产业链，哪儿有中国游戏产业的飞速发展？“黑客可以把国外游戏网站的源代码整个的搞到手，再卖给国内做游戏的，一套源代码要价都在几百万美元，一个黑客每天进账4万元人民币，是正常的事情。”

在惊叹黑客产业链强大之余，不禁也感到后怕：从发现漏洞到被“洗”到没有价值像扔垃圾一样扔出来，这中间是需要时间的。所以，安全人员一致认为，此次CSDN密码泄露其实已经是两年前的事情了，而在这两年间我们的数据信息可能被“洗”、被利用了多次。