周凤婷
2015年9月下旬,XCodeGhost病毒事件成为国内互联网安全圈的热议话题。而这场由各大知名网络公司的程序员在不知情的情况下向苹果用户“投毒”的重大事故,几乎囊括了中国互联网在安全方面存在各个环节的疏漏。
国家互联网应急技术处理协调中心(CNCERT)在官网发布了预警公告,被植入恶意程序的苹果APP可以在App Store正常下载并安装使用,恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。这意味着感染病毒的手机随时随地具有被“恶意遥控”的风险。而腾讯安全应急响应中心发布的报告称,在App Store上的Top500应用有76款被感染。保守估计,受此事影响的用户数超过一亿。
苹果iOS系统一向以“封闭而安全”著称,XCodeGhost病毒事件和2014年因为iCloud密码泄露而引发好莱坞的明星艳照门事件似乎在表明,互联网已经没有秘密可言;一个完全不会被攻克的系统,只能是神话。
9月12日,腾讯安全团队在一次常规的测试中发现异常,经过分析和追查,团队基本还原了感染方式、病毒行为和影响面。
9月13日,产品团队发布了相关软件的新版本。同时考虑到事件影响面比较广,立即通知了国家互联网应急技术处理协调中心,该中心马上采取了相关措施,比如在官网发布预警公告。
9月16日,腾讯团队进一步检测发现,App Store上的Top 5000应用有76款被感染,于是向苹果官方及大部分受影响的厂商同步了这一情况。
9月18日,嗅觉敏锐的国外安全公司Palo Alto发现了这个问题,并发布第一版分析报告,指出在App Store上架的网易云音乐v2.3.8版本已经感染病毒。
至此,该病毒虽然入侵了超过一亿台苹果手机,但大量普通用户依然被蒙在鼓里。病毒曝光后,知道创宇安全研究团队发现,微信早前的版本同样受感染,只是,在发现病毒后腾讯第一时间悄悄进行了修复。而其他受感染的厂商在得到CNCERT的预警和腾讯的通报后,都没有通知用户,没有下架产品,没有更新产品,大家一起悄无声息地维持着表面的平静。
9月17日下午,乌云知识库作者蒸米对网友曝出的“通过非官方渠道下载的IOS开发工具Xcode被植入恶意代码”的内容进行了确认。该病毒被命名为XCodeGhost。18日中午,乌云安全中心向业界发布了预警。
这一天,事件开始在社交网络发酵。像被推倒的多米诺骨牌一样,包括滴滴出行、12306、中国联通手机营业厅、高德地图、中信银行行动卡空间等知名应用商被先后证实感染病毒。
乌云漏洞平台是介于厂商和安全研究人员的第三方独立平台,在业界以“坚持公开漏洞”著称,曾曝光过“携程网支付漏洞”“12306用户数据泄露”等网络安全漏洞,在社会上引起巨大反响。这一次,又是乌云率先捅出了这个漏洞。
多数受感染的厂商依然对此噤声。只有网易云音乐等少数平台轻描淡写地发布官方声明,称“此次感染及信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染制作者的服务器已经关闭,不会再产生任何威胁”,试图以此平息用户的恐慌。
但威胁远非如此简单。安全专家林正隆(coolfire)分析,因为黑客通过受病毒感染的软件能获得的资料权限与 App的权限一样,比如定位、照片、通讯录,安装越多受感染的App,用户的个人资料泄漏得就越全面。
虽然App Store紧急下架了所有受感染应用,但已经被下载到手机的应用风险并未消除。而那些错过了相关新闻而没有及时删除软件的用户,也许至今都用着“毒苹果”而不自知。
苹果有毒,源头在于国内互联网公司开发产品的不规范操作。因为国内从苹果官方下载Xcode速度慢,部分软件工程师直接从非官方渠道,比如各大论坛和网盘,寻找第三方资源而导致中招。
苹果有毒,源头在于国内互联网公司开发产品的不规范操作。这就相当于黑客在河流的上游投毒,所有用此开发工具的软件都成了小型木马。图/GETTY
这就相当于黑客在河流的上游投毒,所有用此开发工具的软件都成了小型木马,处于下游的用户毫无预警地集体躺枪。知名白帽黑客蔡晶晶称,这次事件足以载入移动安全的史册,他将黑客对苹果开发工具感染的技巧与著名的伊朗铀浓缩设备被蠕虫损坏的震网事件相提并论。后者由于西门子工业开发集成工具WinCC中被入侵者感染了恶意代码,使与WinCC连接的工业控制系统被间接感染,最后导致了大量伊朗核工业设备物理损坏。
一直到9月19日,腾讯安全应急响应中心才发布长文《你以为这就是全部了?我们来告诉你完整的XCodeGhost事件》,披露上述过程。而这么做的原因,是因为藏不住了。
可以想见,如果没有白帽子在乌云安全平台率先公布细节,这个影响巨大的病毒将依然被捂在企业内部,毒苹果将于暗处滋长,被地下黑色产业链慢慢吮吸,直至某个不可估量的损失到来。
不仅仅是下载到手机的软件,只要与互联网连接,现实生活的隐私也可能在瞬息之间被黑客侵入而曝光于众。网络摄像头便是其中的重灾区。根据摄像头漏洞原理,黑客可以通过固件缺陷和漏洞获取那些能够由网络访问的摄像头控制权限,达到窥探目的。而目前可以通过网络访问的摄像头已随处可见,它们不仅涉及到家用监控,而且蔓延至商业场所、赌博、酒店、银行等所有公共场所。此外,黑客还可以让用户在远程查看自己监控器画面时,永远看到的是一个静止的画面,而非真实现场环境。
9月初,一家名为“俺瞧瞧”的摄像头视频直播分享网站被媒体曝光,任何人都可以免费在线收看这些视频。根据相关报道,仅江苏一个省,13个市无一幸免,600多个直播点涵盖普通人上班、吃饭、游玩、住宿等各个生活环节,而被偷窥者大都对此一无所知。
在2014年一场的安全极客嘉年华暨GeekPwn活动上,国内著名的安全团队Keen Team现场演示了如何攻破声称是全美最安全汽车特斯拉的系统。在演示中,只要通过手机打开网页,就可以远程让一辆特斯拉打开车门、后备箱,让正向行使的汽车突然倒车,甚至熄火失控。
2015年7月举办的乌云白帽子大会上,很多泄露隐私的漏洞隐患在会上被曝光。会议吸引了超过700名黑客和企业安全圈的技术人员参加,
白帽子,是近几年新兴的一个称谓。为了和那些非法入侵谋取暴利的黑客区分开来,一部分有正义感、希望用掌握的技术维护网络安全的黑客称自己为“白帽黑客”,简称“白帽子”。他们的入侵行为点到为止,并主动将漏洞提交给企业,其中有信息安全爱好者,也不乏互联网安全从业者。
黑客的聚会自然也是黑客显身手的地方。黑客们要现场证明互联网漏洞无处不在防不胜防。
入场之前,组织了就一再告诫参会者,不要随意连接场内不明WIFI,那有可能是黑客们设置的诱饵。会场还专门设置了一道绵羊墙来公示那些因连接WIFI而被窃取的客户终端信息,这源于西方黑客大会的传统,用来教育粗心的人们——“你很可能随时都被监视”。但会场外依然有不明真相的人中招,绵羊墙上其中一条被入侵手机的短信写着,“×××,你要求的小妹已经给你安排好了,还是在昨天晚上的套房。”引来会场一片欢乐的笑声。
白帽子们在会议上现场演示的各类黑客技术让人不寒而栗。入侵电脑、“黑”掉一台手机、复制一张手机卡都是分分钟的“小把戏”;而利用漏洞劫持一台无人机,改变其航程和目的,在黑客的操作下也如探囊取物。
“黑客大会”,听起来是一小撮网络犯罪分子聚集起来共同搞破坏的地下组织,充满了不安全的因素。但白帽子们公开演示这些地下黑色产业的前端技术,恰恰是为了让警醒网民,提高对防范意识。
白帽子毕月乌在现场演示了如何伪造电话号码、通过伪基站发送钓鱼短信、以及让各大企业饱受伤害的羊毛党背后的黑手。
根据国家互联网应急中心发布的《中国互联网站发展状况及其安全报告》,2014年,我国发现恶意仿冒钓鱼网站页面数量增至93136个,较2013年增长2.1倍。
伪基站不需要通过运营商可以直接给手机发短信。用户在接收到伪基站发送的诸如“中国移动积分兑换”的短信后,如果警惕性不高,很容易点击短息内的链接而进入仿冒的10086官网,一旦输入姓名、银行卡和密码这些信息后,黑客们就轻松盗取卡上的钱。在毕月乌入侵的一家钓鱼网站后台,赫然看到上面的红字,“欢迎来到尖刀科技工作室,我们不生产人民币,我们只是人民币的搬运工。”
不止个人,在“互联网+”金融市场崛起后,众多企业也开始深受地下产业的坑害。为了吸引客户,企业经常举办一些回报非常丰厚的活动,比如注册用户送十块钱代金券。“羊毛党”便应运而生,在一些薅羊毛网站专门收集发布各种注册送礼、返现的“薅羊毛”信息。看中这块蛋糕而迅速团队作案的黑客们,利用一种名叫“猫池”的设备,他们可以一次性注册成百上千个账号,以此获得返利。
白帽子Only_Guest就展示了大数据和云存储的时代,黑客们无孔不入普通用户无处藏身的境遇。他能入侵一个车辆查询系统,随便点击一辆出租车,就可以知道载客的状态;他还能随意修改租车所有的顶灯信息、并可以发送拍照的指令拍摄车上乘客,甚至让车断油断电。
有人曾提出,“在中国,存在三个互联网形态。一种是媒体给人灌输的互联网,以海外IPO为目标的;一种是草根互联网,低调掘金,却体量不容小觑;一种是深藏地下的互联网。”
在知名互联网评论人阑夕看来,第三类的“地下互联网”无意中直接或者间接的影响着普通网络用户的生活环境。而“黑客”则是地下互联网庞大冰山里的第一座山头。阑夕在他的文章中写道,“毫不夸张地说,它们真正意义上左右着中国互联网的某些时局。”
中国1994年才接入互联网,早期黑客并非从大学孕育而生,大都是民间高手通过自学成才,他们更具有草莽气息和江湖气质。
上个世纪90年代,年轻黑客们大多出于个人爱好研究计算机,他们带着好奇心和求知欲,并热衷于分享自己的最新研究成果。
在信息安全资料匮乏时期,台湾黑客林正隆(coolfire)写的关于“黑客入门”的八篇文章几乎是中国黑客的启蒙教材。林正隆纯粹出于兴趣自学入门和分享,八篇文章每一次开头都这样写道,“这不是一个教学文件,如果你能够将这份文件完全看完,你就能够知道电脑骇客们是如何入侵你的电脑, 写这篇文章的目的是要让大家明白电脑安全的重要性。”
虽然被尊称为中国黑客界的一代宗师,但林正隆一直在一家电子公司工作,从未踏足安全圈,甚至他身边的同事都不知道他早年的辉煌。但并不是所有掌握技术的人都可以不忘初心,保持纯粹。
当时计算机还是少数人的玩物,拨号上网费用昂贵。黑客入侵电脑的实质意义并不大,无非是通过实践增强技术,证明能力,在小圈子里博得名声。而被攻击的网站网页瘫痪也不会造成太大的损失。
但几场国家范围的黑客大战给了这群年轻黑客声名鹊起的机会。2001年中美黑客大战,黑客们使中国国旗占据美国白宫网站长达两个多小时。一个名叫“绿色兵团”的组织和他的核心成员也开始崭露头角,此基础上建立的绿盟被后来视为黑客界的“黄埔军校”。
到了2002年4月,中国互联网协会公告制止有组织的攻击行为。通过政治事件寻找存在感的机会被斩断。而彼时,“传奇”等网络游戏刚刚兴起,资深的游戏账号成为有价值的商品,各类网游私人服务器为了争夺资源相互厮杀,黑客通过DDoS攻击对方的网页直至瘫痪。
DDoS(Distributed Denial of Service,分布式拒绝服务)通过大量合法的请求占用大量网络资源,以达到使访问的网络瘫痪的目的。通俗来讲,就是原本只能容纳10个人的屋子,突然来了50个人,不但屋里的人动弹不得,后来者也无法再进入。
像电影《无间道》一样,因为价值观的对立,黑客们开始站队分流。“黑客”这个原本略带酷炫感的中性词也逐渐被染黑,成为恶的代名词,黑客被认为是指所有入侵计算机的人,不管他们是否有精湛的技术。
资深黑客吴翰清在他2012年出版的《白帽子讲Web安全》一书中,将中国黑客的发展分为三个阶段:启蒙时代、黄金时代、黑暗时代。至此,黑客圈进入黑暗时代。黑客之间不再交流技术,漏洞成了谋利的工具,门户型的漏洞披露站点也不再公布任何漏洞相关的技术细节。
如今,黑客们基本掌握着各类社会工程学数据库(Social Engineering Data),简称社工库。而这些数据,大都通过公开或地下售卖的方式获得。而在Only_Guest演示的一个社工库上,他可以通过一个车牌立刻查到车主信息、联系方式、家庭住址等一系列资料。
数据窃取产业虽然隐藏得非常深,但因为发展历史较长,地下产业链也较成熟,把数据变成货币,已经有了非常完整的程序和渠道。一般只包括:拖库、洗库、撞库这三个阶段。
“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并通过黑市交易把用户数据变现,这通常也被称作“洗库”。
最后黑客将得到的数据在其它网站上尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”可能使黑客收获颇丰。
这意味着数据的泄露不仅危害到某一平台,因为互联网不仅共享信息、资源,也共享危机。
12306数据泄露就是典型的撞库事件。2014年12月,白帽子在乌云官网爆料,12306用户数据在互联网疯传,其中包括用户帐号、明文密码、身份证、邮箱等信息。这份涉及131653条用户数据信息在3个小时后被知道创宇安全研究团队证实,并基本确定其为黑客“撞库攻击”所得。
TOM sInsight团队通过对黑市的舆情监控和专业网络调查,对互联网每年的流量排名前 100 的网站(除去没有用户账号机制的)进行调查,结果显示,2014年数据泄露的网站达79%,是2009年38%的两倍多。如果把挖掘盗取数据比喻成盗墓,如果没有更好的防御机制,在云时代,互联网公司的数据库很可能“十墓九空”。
如果在一个漆黑的夜晚,没有摄像头,突然100万在你面前,没有任何监视和旁观者的情况下,这100万你拿不拿?这是黑客余弦向记者提出的道德困境,这也是黑客入侵后经常面临的情况。“当犯罪成本很低的时候,人性的恶和贪婪很容易被激发出来。”余弦说。
“一台电脑、一个网络足以让我影响世界。”这是余弦十年前踏进这个圈子时的想法,“黑客技术的掌握确实让我好几次有能力去影响世界,不过这种影响往往是破坏性的,但我希望的影响是正面的。”余弦在大学毕业后进入知道创宇,做到技术VP,这么多年来一直做与地下黑客对抗的事,包括去了解他们的模式。他说,“随便一个比较有知名度的产业链,比如诈骗电话,背后都极其庞大的利益。我们看到的只是水面上的冰山一角,水下非常大的部分我们没有办法看到。水下的世界是灰色的,甚至纯黑色的。”
在很长一段时间里,网络安全的发展是一潭死水,一个封闭的死循环。“行业的发展很快,但企业不重视安全,好多懂安全的技术人员没有机会进入企业,他可能会去做有害的事情。”乌云创始人方小顿说。
2010年起,中国互联网开始进入web2.0时代。根据中国互联网络信息中心(CNNIC)发布的报告,2011年中国互联网网民达到5.13亿,拥有2.5亿微博用户,较2010年增长296.0%,社交网站使用率达到47.6%,网上支付使用率达到32.5%。互联网开始全面介入普通人的生活,大数据因此变得有意义和价值,从而值钱。
醉心地下黑产的黑客们迅速发家致富,甚至招兵买马建立团队,成为隐形的富豪;而真正想为互联网安全守门的黑客,苦于没有业主赏识,要么在职场中变得苦闷,要么转型做开发或者其他技术工种。
孟卓曾在新浪的安全部门工作。他感觉,做安全是一件特别沉闷的事情。就好像守城门的士兵,没有入侵者,日复一日的补漏洞,付出了很多,但看不到效果。而作为技术人员,他经常发现一些网站存在安全漏洞,“我们把资料提供给网站,但网站并不重视自己的安全。”
曾在百度负责安全团队的方小顿也感觉到了行业对安全的限制。“百度可以把安全要求在60分,但是它的安全为什么不能是80、90分?这就是我在公司的天花板。”
在与一个名叫80 Sec的安全组织相识后,因为有相同的理念,2010年,方小顿和孟卓成立成立乌云漏洞报告平台,以公开、透明的原则披露网络漏洞。在蒸蒸日上一派祥和的互联网环境里,乌云以作为一个“搅局者”而饱受攻击,网站几次被迫关闭,甚至因为坚持不删除某运营商的漏洞报告而被拔掉网线。
据孟卓回忆,2011年12月21日,由白帽子提交的“CSDN社区网站被入侵,近600万用户账号密码被泄露”的报告是乌云发展史上的里程碑事件。
CSDN拥有中国最大的IT技术社区,泄露的账户多为分布在各个互联网企业的核心技术人员,因为黑客可以用“撞库”的方式测试企业网络入口的相关口令。“这相当于企业的命根子丢了。”孟卓说。
在漏洞被披露的第二天,CSDN公司才向北京警方报案。经历40余天,辗转10余个城市后,警方抓获黑客曾某。曾某供认,早在2010年4月,他就已经利用网站漏洞窃取数据并公开售卖。
虽然案件破获,但CSND漏洞事件产生的影响是不可逆的。就好像一片被污染的海域,杂质虽会被稀释但永远存在,只是不知道飘向何方。CSDN事件使乌云第一次爆发能量,但因其极强的余震而被关停整改。
2013年11月,乌云网再次曝料,一份涉及7000多万个QQ群、12亿个部分重复的QQ号的QQ群关系数据被泄露。根据QQ号,可以查询到用户备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。随后虽然腾讯称,这一漏洞发生于2011并已及时修复。但直至漏洞曝光前,腾讯从未告知用户泄露事件。
对于从事地下黑色产业链的黑客们来说,如果没有“好事者”曝光,他们可以长期利用同一个漏洞入侵牟利。
而因为乌云公布的漏洞报告也是通过大量的入侵获得的,一段时间内,乌云也被戏称为国内最大的“黑客培训基地”。
让白帽子欣喜的是,经过相当长一段时间的沉默,国家终于开始关注互联网信息安全。2012年底,人大颁布了《关于加强网络信息保护的决定》。2013年,斯诺登事件更是唤醒了政府的信息安全意识。2014年2月,中央网络安全和信息化领导小组成立。2015年6月,《中华人民共和国网络安全法(草案)》审议通过,向社会征集意见。
而成立于2002年的国家互联网应急服务中心也积极发起国家信息安全漏洞共享平台(CNVD)和中国反网络病毒联盟(ANVA),并以每周简报的方式发布全国范围内的安全监测报告。
8月,白帽子们通过乌云提交国内知名票务网站大麦网存在安全漏洞的报告,称600余万用户账户密码遭到泄露。另外,根据雷锋网的统计,在过去一年半的时间里,大麦网因为“不同严重程度”的漏洞问题已经陆续被乌云平台提醒41次,其中包括3次严重性安全漏洞问题。
历经五年,乌云和白帽子的坚持逐渐改变了一部分企业对“漏洞”的看法。
一开始,漏洞提交给厂商后,很有可能被“无情忽略”。如果漏洞涉及的知名度较高的公司,影响过大,公司往往会第一时间联系乌云进行公关,而不是让技术部门积极予以解决。有些企业很直白:“技术无所谓,名誉上(的影响)要处理掉。”
但现在不同了,多数企业会主动与他们沟通。比如大麦网主动调查受影响的数据,发布声明,并通知受损的用户修改密码,开始表达“我们很重视这个事情”的姿态。孟卓觉得,他们最初建立乌云的一部分心愿已经达成。
但乌云和白帽子门依然面临争议。一个形象的比喻是,在没有得到邀请的情况下,白帽子门擅自闯入别人的家,并告诉主人你家的门窗不安全。这种行为本身是否越界?
对此,方小顿的回应是,如果企业通过用户赚了钱,但却没有保护用户的数据和资产,为何反倒去指责那些发现问题的人。
截至2014年底,全国信息安全人只有6万余。全国2500多所高校中,开设信息安全专业的仅有103所,其中博士点、硕士点不到40个,每年我国信息安全专业毕业生不足1万人,信息安全专业人才缺口70万。
而根据《2015年中国大学生就业报告》对2014届毕业生毕业半年后月收入统计,信息安全专业已位于榜首。
信息安全前所未有地得到重视,而另一方面也意味着,信息安全形势从未如此严峻过。
安全咨询师岑义涛认为,“互联网公司其实是非常不注重安全的,尤其是在A轮或者B轮融资的时候,不管如何先让业务上线,聚拢一批用户,去拉风投,然后改进第二版再去拉一轮。他们会把所有的钱都放在扩大办公场所、招人、改界面、修改交互设计、完成业务上。”
互联网思维强调快速迭代,以用户需求为导向,即用户为王、体验为王。但体验和安全有时候是相悖的。“比如调用一个功能需要有0.5秒和0.1秒两种设计,前者肯定比后者安全但速度慢、体验差。”岑义涛说。
方小顿一直觉得互联网行业发展太快,导致大家对安全的忽视。原本是要经过深思熟虑、投入足够的时间保证产品安全性的问题,一旦走得太快会容易出现隐患。安全始终是一件重要但不紧急的事情,但一旦兵临城下,为时已晚。
目前,闯入“互联网+”的传统企业们确实面临着兵临城下的窘境,尤其是金融业。
根据乌云漏洞平台的统计,2015年仅上半年的P2P金融行业漏洞数量累计235个,比2014年全年增长了40.7%。其中高危漏洞占了很大比例,达56.2%。P2P的迅速兴起使得行业并没有在安全上投入太多资源和精力,这些漏洞危及资金、危及客户,一个小漏洞有可能成为公司覆灭的导火索。
安全架构的建设,对中小企业来说,不仅缺钱,还缺人。暮然回首,第一代黑客中的那些曾拒绝黑产但又在行业内找不到位置的技术高手,已经黯然离开这个行业;而坚持下来的第一代黑客,大都已经被BAT等互联网巨头们归拢。
没有百分之一百完美的防御体系。白帽子的存在只是不断增加了黑客的攻击成本,攻守双方的技术是胶着上升。僵尸、蠕虫、木马,DDoS攻击,伪基站,APT攻击,孟卓坦言,“地下黑产目的明确,他们对攻击技术的探索和掌握是超过我们的。现在我们在捡他们的剩。”
与云端和智能手机关联的智能设备已成了新的安全重灾区,其中只要任何一方出问题都可能入侵到整个系统。而手机端和云端本就防不胜防,目前正在研究这一领域的技术人员王书魁告诉《中国新闻周刊》,大部分智能硬件厂商,在设计制造的时候,没有真正周详考虑安全性。
“我们现在做的研究是,只要我能知道你的设备ID,我就可以对你的设备进行控制。有的甚至都不用知道,我只要知道你家里用这个东西,我就可以对你家里的设备进行控制。”他说。
安言咨询的总经理张耀疆2000年进入信息安全行业,浸淫多年,见证了互联网信息安全的演变。他把信息安全比作网络世界的环保,“我们为了发展经济一定程度上忽略环保,积重难返。互联网刚发展时,没人在乎安全,好用就行,但现在暴露的问题已经让我们惊慌,如果没有一开始未雨绸缪考虑治理,真正想改造是非常难了。”