叶梦莹
网络安全的世界非黑即白,复杂的代码程序是他们的武器,在普通人看不到的网络空间,每天都在上演着没有硝烟的攻防大战。这个群体日趋年轻化,一批90后正在成为主力,他们游走于网络边缘,甚至传言能够年入百万;他们极少在公众面前亮相,却在网络中有极强的存在感。有人为了炫技,有人为了金钱,还有一些人为了信仰。此次WannaCry事件再一次将黑客拉入人们的视野。
神龙见首不见尾的黑客
什么样的人能成为黑客?《经济》记者带着疑问加入了几个黑客技术交流群,想了解黑客群体,静待时机提出问题。群主每天会发送公告,要求本群黑客必须到群管理员处报到,根据每个人的擅长领域做相关业务推荐。如果有业务需求可以找管理员咨询,未经群主或者管理员认可的交易,如若被骗与该群无关。
经过一段时间的摸索,记者联系到了nerd。他不是黑客,但懂一些黑客技术。当了解到记者想要学习黑客技术的想法时,nerd直言不讳地向记者表示,“你干不了这一行,外面的工具都是骗人的,只有程序员才做得了黑客。”nerd还非常好心地提醒记者,跟别人学习只是皮毛,还是要学习专业知识。如果没有通过国家计算机等级考试,做黑客就只是奢望,“最多就是一些黑客设计一个漏洞网站教你攻击,玩一下而已,其实做的是忽悠骗钱的勾当”。
nerd加群是为了找黑客渠道。据他描述,群里的人只是黑客的边缘群体,高级黑客自有渠道,是不屑加入黑客群聊天的。nerd表示,高级黑客不会轻易攻击网站,因为即使有付费也赚钱不多,还需要承担法律风险。目前存在一种黑色产业链运作是有些黑客专门负责做免费软件并留有后门,专业术语叫做“肉鸡”,其他黑客找到“肉鸡”可以转手交易到第二级做木马病毒的人,“木马人”会利用漏洞将用户的账号信息卖给下家,层层相套。“肉鸡”还能够刷各种网络排名、攻击网站游戏服务器等。
黑客:眼中只有漏洞?
一个黑客组织,想攻入某机关单位的电脑系统。当他发起攻击,管理员都会娴熟地处理木马病毒。几轮下来,双方僵持不下。后来黑客发现一个有趣的漏洞——管理员是单位中唯一一个技术高超的人。于是,黑客发起了车轮大战,轮番攻击电脑系统,令管理员身心俱疲。后来,黑客组织终于攻入了该系统,因为管理员辞职了。
“这次博弈已超出了技术范畴。”张凯在大学时期便痴迷于研究恶意软件,如今是北京永信至诚科技股份有限公司副总裁,他用这个故事告诉《经济》记者究竟什么是黑客。
多年前,调制解调器(俗称“猫”)在拨号时就会发出“嘀嘀嘀”的声音,紧接着发出一小串尖锐的音频信号。一个黑客做了一个小哨子,尝试着模拟这个音频。“有一天,他终于模仿成功了,可以免费打电话了。”
张凯表示,所谓最简单的黑客思维是“我不按照你原本的设计流程去做,你的系统会怎么样”。比如,系统原本的设计是要求输入1-9的数字,但黑客会尝试输入-1或符号。如果系统发生异常,那么黑客就发现了一个有可能被利用的漏洞,或者发现某系统漏洞的一个线索。
知名黑客黑色镰刀也给《经济》记者举了一个生活中的小例子。不久前,他在图书馆查询书籍时发现可以利用Ctrl+Shift键切换中英输入法,于是判断程序员没有关闭关于Ctrl和Shift键的其他快捷功能。他很快利用这个逻辑漏洞跳出了查询程序,并完全控制了图书馆的管理系统,进而发现了图书馆系统的更多缺点。身为黑客,获取信息的速度会与常人不同,他们对信息的分析速度也会比常人更快。
“我经常会收到不可理喻的求助信息。”比如,有的学生因为考试不合格而请求他帮助其修改教务系统的成绩,也有怀疑女友出轨的网友请其追查女友的通话记录等。黑色镰刀表示,对于不适合打交道的人只能选择屏蔽。
守卫幸福的白帽子
“我们都属于白帽子”,香港科技大学计算安全实验室主任张川教授告诉《经济》记者,所谓白帽子是“正面黑客”,属于主动侦测系统软件的漏洞,报告給相关软件生产商,以帮助软件在被其他人利用之前进行修补。“在实验室里,我们用工具监测软件里的各种漏洞,平均每天能发现好几十个漏洞。”企业开发的软件不断更新、演化,变得更复杂,漏洞也越来越多,“但并不是每个都像WannaCry有巨大的破坏性。”
谷歌、苹果、Facebook等大公司都会请白帽子帮忙查找软件漏洞,每个漏洞会有几千美元的奖励。黑色镰刀告诉记者,国内普通的渗透测试员月薪为1.2万元至1.5万元,技术稍微逊色的测试员月薪也在5000元至6000元。张川向记者透露,“漏洞的价值越高,赏金越高。当然也有不满足于赏金的黑客,铤而走险到黑市贩卖高危漏洞。甚至很多政府也会高价购买漏洞,作为自己的网络武器。”
“不懂网络信息安全的人是幸福的,我们的责任就是保卫他们的幸福。”阿华是一位隐藏在黑客的影子下,却在保卫网络安全的正义之士。
阿华已过而立之年,有自己的工作,平时也会在国内最大的漏洞应急响应平台补天。在高中刚接触电脑时他就有了当白帽子的念头,但当时条件不允许,没有经过系统性的学习,直到上大学时才开始啃专业书籍,在报选研究生专业后,阿华如愿学习到了网络安全方面的知识。
让阿华记忆深刻的是2008年汶川大地震时,一个黑客篡改了红十字会捐款网站的账号,操作别人捐钱到自己的账号。得知此事后,他非常愤怒,主动协助公安机关从福建抓回了黑客。“当时很兴奋,用自己的技能做了一件正义的事,蛮有意思。”
2014年,某市社保局的系统遭到黑客攻击,黑客利用社保系统的漏洞窃取了大量的社保数据。阿华再次协助公安部门排查这起事件。在追查的过程中,阿华发现来自一台某企业网站服务器的攻击,与该企业取得联系和授权后进行排查,发现该网站服务器已沦为黑客的“肉鸡”。在这台服务器上发现了黑客窃取的社保局数据,同时也发现了该黑客还攻击了其他社保局。阿华经过进一步分析后发现了黑客留下的后门,通过对后门的访问行为追查IP地址,最后定位到福建某高校的一个IP地址。通过这个IP地址,和当地运营商及公安部门联合定位,锁定这个黑客,公安部门将其缉拿归案。
骇客:眼中只有金钱?
“黑客越来越不道德了”,过去不少黑客只是为了炫技。黑客可以对被攻破的电脑做任何事情,勒索只是其中一种。黑客变得有组织、有目的,更多的是为了经济利益。这种做坏事的黑客又被称为“骇客”。
“很多零日漏洞都藏在黑市里,目前看到的漏洞只是冰山一角。”阿华表示,所谓零日漏洞(zero-day),即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。这次WannaCry就是NSA(美国国家安全局)研发的工具。
“想成为黑客的人很容易被一些伪黑客引入歧途。”黑色镰刀向记者透露,目前黑客群体普遍年龄偏小,和很多黑客一样,黑色镰刀最初也是因为兴趣入行,想成为黑客,需要学习代码编程等内容,这种枯燥且需要长时间积累的技能很难让人有坚持学下去的毅力。在这种情况下,伪黑客很容易见缝插针,将初学者引入歧途。
伪黑客之所以吸引人,是因为他们直接利用黑客已经编好的软件进行交易,不需要自己编写代码程序,使得伪黑客的工作更容易让人产生成就感,再加上伪黑客组织会给被诱导者加上一些无用的头衔,使他们更有成就感而无法自拔,因此没有足够知识和经验的初学者很难摆脱伪黑客的诱导,最终走进深渊。“只有权威的书籍和文章才是学习黑客真正的路径。”黑色镰刀表示。
黑客也是普通人
很多网络安全公司的创始团队都是“黑客”。他们精通各种编程语言、操作系统、网络通信技术和网络攻防技术的高手。北京卫达科技有限公司总裁张长河告诉《經济》记者,目前黑客行业要一分为二地看,正能量的黑客在保护和运维国家和单位的网络安全事业上发挥了巨大的作用。
微软公司创始人比尔·盖茨、美国苹果公司创办人史蒂夫·乔布斯、斯蒂夫·盖瑞·沃兹尼亚克等人都是早期黑客界鼎鼎有名的大咖,他们拥有高超的黑客技术,并没有把技术用在做坏事上,创造了Windows系统和苹果手机等产品。在一些国家黑客身份是受到保护和推崇的,一些网络安全的颠覆性技术往往是黑客发明的,这类黑客正在崛起和迅速发展壮大。
而负能量的黑客群体通过破坏他人的正常网络工作等不正常手段牟取利益,给正常的生活和社会发展造成了极坏的影响,国家对于这部分群体的打击力度正在加强,并且严格维护网络世界的和平秩序,这部分黑客群体数量多,人员杂,受利益驱动,目前国家对于这部分人员的控制力度还不够完善,需要进一步加强。
信息泄露,警惕内鬼
2017年3月7日,公安部破获一起窃取公民个人信息50亿条的案件。经公安部调查,郑某鹏利用京东网络安全部员工身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息、交易信息、个人身份等数据信息。事后京东发出了一份声明,声称郑某鹏是试用期员工。
丁杰告诉记者,在国外泄露个人隐私信息的后果很严重,一旦某企业被爆出丑闻,企业或相关负责人要为此付出沉重代价。譬如,2013年11月27日至12月15日,因遭遇黑客攻击,塔吉特全美1797家超市门店约4000万名消费的顾客信用卡和借记卡信息被盗,同时约有7000万顾客的个人用户信息被泄露。事后该公司首席董事长格雷格·斯坦哈费尔宣布辞职。
“过去对信息安全只是行政层面的约束,如今是法律监督。对于内鬼泄露信息的约束较强。”丁杰向记者透露,很多信息泄露是各个企业内部人员兜卖信息。如运营商、互联网金融服务商、公安内部人员都有这种情况存在。不少黑客攻击网站会使用黑客工具获取信息,而内鬼是在职责权限范围内获取信息,因而对内鬼的追查较难。“国内相关法律刚刚起步,即便发生内鬼泄漏事件,往往是风轻云淡。”
网络安全有法可依
“我曾经见过一个黑客攻入某蛋糕店点餐网络平台的后台,然后拿走了很多订餐用户的信息。”丁杰告诉《经济》记者,国内很多餐饮企业的外卖平台存在漏洞,包括知名的餐饮企业,黑客能够轻而易举地将信息盗走。
今年6月1日正式实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)将对上述盗取个人信息的行为进行法律约束。《网络安全法》标志着我国网络安全工作有了基础性的法律框架,有了网络安全的“基本法”。
《网络安全法》规定任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。白帽子阿华告诉记者,他在2008年以来协助公安机关逮捕的黑客,因对社会造成较大危害均被判刑。未来随着相关法律越来越健全,将有效打击危害网络安全的违法活动。
中国电子信息产业发展研究院网络空间研究所所长刘权告诉《经济》记者,在此次蠕虫病毒袭击前,各部委下发了防范病毒的通知,让很多单位通过打补丁、杀毒、拔网线等方式预防病毒感染。“各部委下发通知,也体现了《网络安全法》提及的国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁。”
刘权认为,《网络安全法》核心是网络产品和服务的安全审查。“网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。”此外,增强用户的网络安全意识,注重关键信息基础设施安全保护也是《网络安全法》的重点。