黑客世界的隐秘江湖:1个漏洞叫价300万

实际上,安全从业者跟入侵黑客本质是同一班人,做的是同一件事,就是不停开锁找漏洞。在他们眼中,系统只有两种,一种是可以侵入的,一种是即将被侵入的。简单点理解,就是只有不勤快的开锁匠,没有开不了的锁。

NetSmell 出品

在诱惑前转身 白帽黑客的黑白人生

实际上,安全从业者跟入侵黑客本质是同一班人,做的是同一件事,就是不停开锁找漏洞。在他们眼中,系统只有两种,一种是可以侵入的,一种是即将被侵入的。简单点理解,就是只有不勤快的开锁匠,没有开不了的锁。

但 这是一个很奇特的圈子。在业内,如果找到漏洞后交给企业让他赶紧“修锁”,这种人就是安全从业者,俗称“whitehat”,这个开锁的事情就叫做“深度 测试”;如果找到漏洞,直接进屋子把有价值的东西拖出来卖,这种人就是入侵黑客,俗称“blackhat”,这件事就是大家所熟悉的信息泄露了。

事 实上,“whitehat”与“blackhat”之间的区别很多时候只是一念之差。“相对于‘whitehat’而言,‘blackhat’技术更高, 赚得钱也更多”,黑客小林(化名)向南都记者表示。知道创宇超级安全体检团队负责人王宇说,“我看过的黑市叫价最贵的漏洞达到300万元以上,相比较来 说,国内较有安全意识的厂商肯为漏洞付出的费用最高也才几十万。”据悉,小林去年在全网挖出了300多个漏洞,其中也就30%会付费。更多时候,个人黑客 行为取决于所谓的“正义感”。

不仅如此,黑客行为可能还会遭到企业敌视。美国一黑客发现了波音公司一个漏洞,但后者一直不予理睬。他最终买 了一张波音公司的机票,在飞机上成功把飞行系统劫持,以此证明漏洞的存在。他的朋友、McAfee创始人约翰·迈克菲告诉南都记者,“波音应该给他发一块 奖牌感谢,但事实上,他一下飞机就被FBI直接逮捕了。”

“就我所知,国内大部分个人黑客,黑白都会做,今年乌云事件爆发后大家才躲起来的。”另一位黑客小金如是表示。

维护安全的灰色地带

奖励与敲诈瓜田李下讲不清楚

但 “blackhat”实际已是犯罪行为。“为了证明安全漏洞存在而进行的技术验证,一般不涉及刑事犯罪。但如果检测过程中入侵国家事务、国防建设、尖端科 学技术领域的计算机信息系统,即使不获取数据,没有从事破坏行为,也构成犯罪。”IT知名律师赵占领表示,如果属于其他领域的计算机信息系统,首先不能非 法获取数据,否则也涉嫌构成非法获取计算机信息系统数据罪。

除此之外,漏洞众测的机制本身也有灰色边界。“你要试试这个锁行不行,你总得撬 两下,这个动作的法律定义很难讲清楚。”360董事长周鸿祎告诉南都记者,目前乌云等众测平台提交漏洞给企业后,企业会自主定价打赏黑客。“但奖励也是 ‘瓜田李下’讲不清楚的,跟‘敲诈’没法区别。”

“对于黑客提交漏洞的行为,企业专门给予现金或者物质奖励,一般没有问题,这是企业主动从事的赠与行为。除非在提交漏洞之前,向相关企业索要钱财,否则提交给乌云网按流程予以公开披露,这种情况涉嫌敲诈勒索。”赵占领表示。

谁在为安全防御?

企业内部养不起技术大神

与 强悍的进攻方相比,大部分中小企业没有自己的防御团队。“安全看不到收益,纯烧钱,中小企业首先考虑的是控制成本,所以基本只是网管跟运维。”小金说,一 个技术大牛年薪起码百万以上,他们“养不起”。另一方面,大部分技术大牛也不考虑去企业,“几十年对着同一套系统太枯燥了。”

作为个体户与员工之间的中间地带,现在许多公司化的安全团队可能是一个比较成熟的模式,但他们必须接到企业授权的订单才能模拟攻击。

近期,知道创宇就接到一个中学教育类创业网站对新版本深度测试的需求,王碰负责这个项目两个域名的分析。测试后发现,该系统年级筛选的搜索框有代码漏洞,于是将背后核心题库“拖”了出来。因为题库数据也涉及企业核心商业利益,这个漏洞提交半月后就被修复。

但 如果拖出来的是与企业利益无关的用户个人信息,企业的态度可能不同。“360补天发现过一个国内高校的漏洞,给他们技术方反复提交了半年愣是没改,”周鸿 祎说,这些校园B B S是信息泄露重灾区,“他们觉得自己是小网站,没有敏感信息,不会被攻击。实际上学生在这上面的ID密码可能同时用在支付宝上。”

王 碰说,“其实企业内部查找漏洞跟修复漏洞不是同一班人,如果不是特别敏感的信息,这种内部沟通效率就是问题。”打个比方,小A盖了房子给公司,小B找外部 第三方检测发现锁不行,如果是卧室锁坏了,小A会赶紧修;但如果只是跟房间格局无关的某个抽屉锁坏了,小A承受的指责、增加的工作量以及心中的怨念可想而 知。

安全的命门在哪?

最终还是人与人的较量

“现在厂商宁愿多买服务器硬件,也不愿雇一个安全人员进行长期监测。”周鸿祎曾告诉南都记者,但安全不是机器与机器斗,而是人与人斗,永远没有一个方案可以一劳永逸,人的服务才是安全最好的解决方案。简单说来,一个写字楼会有门锁,但日常管理进出人员还是得依赖保安。

实际上,安全隐患很多时候来自人为伤害,也就是“内鬼”。“其实信息‘拖库’简单说来就是获得管理员权限。”王碰说,技术可以通过伪装获得权限,而企业内部人员不需要懂技术就已经有这个权限。

白 帽汇首席安全官邓焕说,“一般安全领域主要有三类人员,一类安全管理者,制定安全域安全规则;一类‘白核’,主要看代码逻辑性;一类是‘黑核’,不看代 码,以黑客思维模拟攻击。”但现在大部分安全团队接到的客户需求都类似王碰接到的项目,很少长期监测,“白核”工作并不多。

这主要是在于“白核”的工作很难量化考核。“其实不管是外部攻击还是内鬼作祟,都有相应的攻防方案可以对付。”王宇说,现在国内安全的最大难题就是决策者本人的重视态度问题。

显示余下内容
 

发表评论

电子邮件地址不会被公开。 必填项已用*标注