下载掌阅APP,畅读海量书库
立即打开
安全源于攻防,攻防源于黑客,而黑客是一群被神化和黑化的人。
“威胁宇宙”里最主要的两极就是病毒和黑客。黑客更像比特世界里的超人,他们能够打破任意国家和企业的疆界,只要网络存在,就能如入无人之境地“游走”于任何两台计算机之间。所以在艺术界,黑客往往被描述成天才少年,像《黑客帝国》里无所不能的“尼奥”(Neo),或者《独立日》里那个通过病毒将外星入侵者主机感染的软件工程师。
后来,黑客的形象演变成《V字仇杀队》里的主角,一个惨白的面带不羁笑容的面具人。这得归功于世界上著名的黑客组织“Anonymous”的自我宣传。于是黑客在人们的心中就成了法律意识淡薄、无所不为而又到处入侵搞破坏的无政府主义者。如今由于市场的猎奇性,一方面把一些典型黑客用少年、美女、最高颜值等标签来神化,另一方面又把整个黑客群体黑化成一类戴着黑帽子,看不到正脸的惊悚神秘人。
黑客本来是一个自我型称谓,是业内人士交流时对研究方向的一种划分,并没有更多的感情色彩,但是当把黑客拿到聚光灯下时,多少变了些味道。哪怕今天把一些正义的黑客叫作“白帽子”,那跟“安全专家”的叫法在气质上还是差很多。
随着意识形态的演变,黑客一词如今有了一些负面色彩,而为了解决这一问题,安全圈内又出现了白帽子的说法,试图将正义的网络攻防技术研究与邪恶的网络攻击区别开来。但是对于企业来说,黑客和白帽子之间只差道德,一旦道德约束消失,正义的白帽子就会瞬间变成黑客。在今天,随着市场的宣传,企业一方面似乎已经接受了白帽子这一特殊的群体,但是另一方面,在企业心里已经形成了一种轻微的偏见,不出问题还可,一旦有些风吹草动,这些企业首先想到的是:白帽子变坏了。
另外,看看黑客发展史,黑客在历史上也经历了几次“颜色”和时代的变迁。
黑客最早是英文“Hacker”的中文音译,该词本来跟“黑”一点关系都没有,但是翻译过来就成了“黑客”。早期的黑客崇尚一种“黑客精神”,他们认为互联网的精神是信息开放、平等、共享,任何互联网上的信息和资源都应该免费获得,他们的使命就是打破“信息不对称”的壁垒。这个时期的黑客虽然利用漏洞对系统进行入侵、获取信息,但是仅仅是为了“知情权”。
公认的世界第一黑客是凯文·大卫·米特尼克(Kevin David Mitnick),他1963年8月6日出生于美国洛杉矶,曾经成功闯入北美空中防护指挥系统,被美国FBI通缉并多次入狱,1999年获准出狱后便不断地在世界各地进行网络安全方面的演讲。出版了两本有影响力的著作—《反欺骗的艺术》和《反入侵的艺术》,分别介绍社交工程与网络入侵。如果用一句话对黑客行为做一个精准描述的话,就是“欺骗与入侵的艺术”。
中国红客联盟(Honker Union of China)成立于2000年12月31日,2004年12月31日,创始人lion关停了中国红客网站,7名核心成员在网络世界里消失。2011年9月22日,中国红客联盟宣布重新组建,新网站于2011年11月1日开放。但是这时候的互联网和安全行业已经发生了翻天覆地的变化,中国红客联盟已经失去了行业影响力。
信息的价值驱动了信息黑市和黑色产业(简称“黑产”)的发展。当入侵可以带来大量财富时,黑客开始变“黑”。2007年以后,全球病毒样本突然从几十万种暴增到800万种,各种木马大量涌现,标志着“黑客时代”正式到来。
我们仔细分析一下,黑产从形式上可大致分为四种形态:挂马与盗号、僵尸网络与DDoS攻击、Web入侵与拖库、勒索病毒攻击。
1.挂马与盗号
挂马是针对个人计算机用户的攻击方式,可以说,黑产是从挂马开始的。挂马就是利用网站的网页漏洞或浏览器漏洞,在网页里植入包含木马的链接,用户访问该网页时,浏览器就会自动下载并运行该网页里包含的木马,木马进入个人计算机系统后就会偷偷运行。早期这类木马主要会偷盗用户的银行账号、网络游戏账号等信息,然后把这些信息通过信息黑市销售出去,获得非法利益。
所以,这类木马被统称为盗号木马,盗号木马面临的最大问题就是杀毒软件的剿杀,因此这时相关的黑产组织要做的工作就是通过免杀技术来尽可能让木马存活得久一些。但是随着云查杀技术和免费安全的兴起,木马存活的时间越来越短,因此这类攻击的成本越来越高了。
2.僵尸网络与DDoS攻击
僵尸网络是挂马的另外一种黑产变现形式。除了盗号木马,还有一种远控木马。当用户的计算机被远控木马感染后,就会受到一个远程控制中心的统一控制,黑客可以通过远程控制中心下达任何命令。被远控木马感染的计算机俗称“肉鸡”,数以万计的“肉鸡”就形成了僵尸网络。黑客操纵僵尸网络,可以对一些企业网站发起DDoS/CC攻击,给企业带来损失。
3. Web入侵与拖库
随着互联网的发展,互联网公司越来越多,通过互联网来开展业务的传统公司也越来越多,这些业务都是通过We b服务实现的。We b业务的高速发展导致We b漏洞越来越多,黑客通过Web漏洞就可以轻易拿到企业的经营数据和用户数据,然后在黑市上售卖。业内把利用Web漏洞非法拿到企业的经营数据或用户数据的行为称为“拖库”,也就是非法入侵你的Web网站后,用合法操作指令把你的数据库数据全部拖走的意思。
2010年以后,各大互联网公司就不断被曝出用户信息泄露的新闻,在社会上引起了极大的反响。
4.勒索病毒攻击
2014年以后,黑产组织又发明了勒索病毒这种新的获利模式,该病毒的影响随着2017年5月12日“永恒之蓝”的爆发而达到顶峰。勒索病毒是目前最流行的一种黑产模式,见效快且难以追踪,几乎各大行业都受到过影响。
从上面的介绍中可以看出,除了Web入侵与拖库这一攻击行为是点对点的人工攻击形式外,挂马与盗号、僵尸网络与DDoS攻击、勒索病毒都是黑产组织操纵病毒进行攻击,因此你会发现一个事实:在互联网时代,病毒与攻击已经密不可分了。
在传统的攻防文化领域,攻防研究爱好者也被称为黑客。这些黑客为了标榜自己跟那些从事黑产的黑客不同,开始自称为“白帽子”,从此黑客被分成了黑、白两大阵营。
漏洞响应模式是鼓励白帽子提交各个企业的漏洞,平台方审核之后无条件公开。白帽子在这个平台上可以从事技术交流并获得社区认可,企业在这里可以获得自己的漏洞详情,并鞭策自己提高安全性。漏洞响应模式面向的是企业已经上线的业务系统,白帽子提交漏洞和企业领取漏洞都是免费的。
安全众测模式则是面向企业未上线的业务系统,企业支付一定的奖金,吸引白帽子主动发现企业业务系统的漏洞并帮助企业快速修复,从而保证正式上线的系统具有足够的安全性。奖金根据漏洞的危险等级来定价,危险等级一般分为低危、中危和高危。一般情况下,低危漏洞价格是几十元,中危漏洞价格是几百元,高危漏洞价格是几千元,有的厂商为了吸引眼球或者为了鼓励更多的白帽子发现更多的高危漏洞,会发出几万乃至几十万元的高额奖金。
这两种模式都是网聚了民间的力量,后来又被业内人士总结为“安全的共享经济”模式。其核心内容就是平台方利用互联网连接更多的企业和白帽子,让白帽子利用自己的专业能力,通过平台为企业发现更多的安全问题。平台方作为监管方和服务方,既为企业和白帽子提供了服务的平台,又为双方提供了“信任缓冲”,避免了白帽子直接和企业打交道,这对双方都是一种保护。这种模式比传统的由安全厂商提供的安全渗透或安全评估服务更加有效,而且费用更低。
当黑客的含义从“自由战神”演变成作恶的“黑客”时,白帽子就成了有作恶能力但是不作恶的黑客的新称谓。今天,随着各厂商SRC的设立和像“补天平台”“漏洞盒子”这样第三方漏洞响应平台的崛起,“白帽子”便成了只发现漏洞而不利用漏洞的民间安全研究人员的代名词,而“黑客”则变成特指利用漏洞干坏事的人的代名词。
现在国家对黑产打击的力度越来越大,相关法律越来越健全,企业对安全越来越重视,社会对安全人员需求的缺口越来越大。白帽子可以去甲方公司,可以去安全公司,还可以在各大SRC平台提交漏洞,做个安全的自由职业者。总之,白帽子利用技术可以帮助更多的企业,从而合法地获得更好的回报,而不是踏入黑色产业,走一条不归路。