白帽黑客:技術理想抵抗現實慾望

文/廖仲陽

圖/何籽

傳統印象中的「黑客」

3月30日,2017補天白帽大會在深圳舉行。會場,記者在一些區域搜到了Wi-Fi,但是不敢連接,原因在於有一種黑客攻擊行為叫做「現場釣魚Wi-Fi」,所有連入現場Wi-Fi的手機都有被入侵的風險。

在黑客雲集的大會現場,這一風險顯然被無形中提高了數倍,倍數就是每個黑客心中的貪嗔痴。只要有一個人動了歪念頭,入侵了開會酒店的Wi-Fi,大多數連接者的個人數據都將被泄露。

黑客,在安全界外人的眼中是帶著《V字仇殺隊》男主角V一樣神秘個性的面具,擁有《黑客帝國》男主角尼奧一樣天賦異稟的能力,享有《我是誰:沒有絕對安全的系統》男主角本傑明·恩格爾一樣超脫眾人的智力。

如果問人們黑客酷不酷,幾乎所有的人都會說「酷」,如果問誰願意和他們真正成為交心的朋友,很多人會在內心咯噔一下,那一刻,大家猶豫的理由是一致的:「他們,做的事情,不是那種?做好朋友……安全嗎?」

許多人,對「黑客」一詞的傳統印象是兩個字——危險。

但實際上,黑客有著鮮明的劃分,簡單而言可分為三種,白帽子、灰帽子、黑帽子。獵網平台負責人裴智勇在接受採訪時說:「黑客這個詞在安全上沒有褒貶之分,舉個例子來說,看到你家門沒關進去偷東西的是黑帽子;看到你家門沒關進去偷完東西,再告訴你把門關上的是灰帽子;看到你家門沒關告訴你關上的是白帽子。」

如果明確了白帽子是一群提醒企業、用戶關門的人,那麼文章一開頭,連接現場Wi-Fi時成倍增加的不信任感,只證明了一件事——在看待黑客時,包括記者在內的許多人,都常以先入為主的固定思維,帶了一副有色眼鏡,把白帽子染黑了。

補天平台負責人白健在接受採訪時說:「我接觸的白帽子都很有正義感,是很單純做技術的年輕人,有的大學畢業拿著實習工資,雖然很低,但是他們通宵達旦的加班,就是幫助企業挖掘漏洞,降低安全風險,白帽子是一群很有夢想的人。

給黑客一個成為白帽的選項

補天平台的白帽子很年輕,他們的平均年齡約為22歲,1995年前後出生。學歷不高是他們中一些人的特徵,甚至占多數。在採訪時,每當碰到學歷問題,其中幾個年輕小夥子就會靦腆地低下頭說:「我學歷不高,不高的。」在聊起和技術有關的內容時,他們又生龍活虎起來。

白健說:「學校培訓黑客的攻擊方法是要負法律責任的,沒有人教攻擊技能,一般都是教防守技能,但是未知攻焉知防,不知道怎麼攻擊的防守教育體系導致白帽群體特別稀少,偶爾有一些有天賦的孩子一般也很難過應試教育。」

在大會開場前,屏幕上播放了一段視頻,它講述了一個普通白帽子的成長經歷。大意為:一個白帽子小雷(化名)在正常的教育系統中找不到自己的興趣點,聽不懂文化課程,成績較差,放棄中考後輟學在家,父母和學校給了他不小的壓力,但是在計算機中他尋找到了一絲希望的火種——技術志趣。

計算機語言成為了小雷的夥伴,成為了他傾訴、投入、交流的對象。積土成山,風雨興焉,慢慢地,希望的火種在風雨搖曳中熊熊燃燒,成為了足以直衝天際的烈焰。小雷憑藉堅持習得了一身技術本領,他以合法途徑幫助廠商挖掘網路漏洞——提醒廠商「關門」,他在守衛網路安全的同時,也獲得了廠商的致謝和獎金。

最終,當年那個初中輟學的孩子獲得了一份為外企實施網路安全維護的工作,他的父母和學校也逐漸開始理解孩子的興趣選擇。試想,如果沒有一個發揮小雷能力的渠道,有同樣經歷的白帽子將會為了生存何去何從?

U神(昵稱)是補天平台的一名普通白帽子,平時他正常在公司上班,業餘時間幫助企業進行漏洞挖掘,提醒企業「關門」。

當被問及黑帽子做黑產和白帽子挖漏洞的收入比例時,他說:「我沒有準確的數據,但如果一定要打個比方,可能黑帽子一天偷盜某個網站的數據在「地下」售賣,可以賺到白帽子挖一個月漏洞的獎金——如果有兩萬塊,黑帽子一天到手,白帽子需要一個月。」

此時參與群訪的記者們爭相詢問:「誘惑那麼大,會不會有很多白帽子禁不住就去做黑產了?」

U神說:「我沒做過黑產,但是想想也知道,做黑產壓力很大,可能睡覺也不能安心。」

360公司核心安全事業部總經理、助理總裁MJ說:「漏洞挖掘是白帽子實現自身價值的方式,黑產賺錢肯定比白帽子賺的多,但如果有的選的話,大家肯定不願意選黑產。

細究原因,以前鋌而走險的人也多是「不得不」才選擇黑產,做黑產騙人或者把別人的錢據為己有,除了有法律制裁,稍微有一點道德感的人,他良心上也會覺得不是什麼好事。而現在,有了像補天平台、Hacker One這樣公開的白帽平台,大家有的選了,誰都會希望做一些可以產生自我認同的事情。」

截至撰稿日,在國內,僅補天平台,白帽子的註冊人數便達到了31633名,他們自2013年起累計發現了20多萬個漏洞,企業為這些白帽發出獎金接近900萬元。

在國外,最大的白帽子平台HackerOne,註冊白帽約為11萬名,他們自2013年起累計發現了18萬多個漏洞,其中有4萬多個漏洞已經被修復——這裡的每一個漏洞,低危、中危、高危,都在不同程度威脅著個人、企業、國家甚至國際安全。

漏洞的危害與白帽的價值

什麼是漏洞?

360企業安全集團董事長齊向東在接受媒體群訪時打了幾個不懂技術的人也能懂的比喻:「計算機的網路,包括軟體和硬體,是通過計算機語言由程序員(人)開發,既然是用一種語言來開發,那就像我們人類用語言進行演說、用語言來表述一樣。

在表述的過程當中會經常出現一些語法性的錯誤,這樣一些錯誤容易引起語義上的差別或者差異,在計算機領域裡頭把這樣一些邏輯性的錯誤和說話的時候考慮的不周全等,都叫做漏洞。

漏洞很容易被人拿來進行網路攻擊,就像我們說話不注意出現了瑕疵之後讓人抓住了把柄,「有心的人」拿住這些話反過來攻擊我們。在計算機領域也是一樣。」

如果漏洞被非法利用有什麼危害?

齊向東說:「與說話被抓把柄有所不同的是,漏洞攻擊不會順著你自己的邏輯來進行,比如我們寫了一個軟體,我們的邏輯是有一個登錄的界面,所有使用這個軟體或硬體的人都需要輸入用戶名和密碼從這個埠進入,才能控制這個軟體或硬體,但這只是生產廠商和研發者的邏輯。

一旦邏輯出現漏洞之後,網路攻擊者可以不順著這個邏輯,不用登錄界面,不通過用戶名和密碼,直接操作軟體或硬體。

舉三個真實案例。第一,2015年,美國克萊斯勒汽車的車聯網部件出現漏洞,最後導致克萊斯勒在全球範圍內召回了一百多萬輛汽車,一百萬輛的汽車召回要花的代價不言而喻。

第二,去年360處理了國內一個大型企業,它的大型生產線一天的產值上億,但有一天,這個生產線突然停工,用以往傳統維修的方法修好之後兩個小時之內又停工,如此反覆多次,車間就失控,不能正常工作了。

在所有方法想完之後,這家公司突然想到了360,說是不是網路被人控制了。我們的網路工程師到現場看的時候確實是,車間被一種「蠕蟲病毒」遠程控制了生產系統。

第三個例子,也是最近360處理的一個事故,是一個大型的電力供應系統,類似烏克蘭斷電事件,實際上不僅僅存在於烏克蘭。

我們的基礎設施包括電力、供水、電站、大壩、航空、金融等等,這些都屬於涉及到國家、民生的基礎設施,大家這幾年為了提升效率不斷地通過IT網路化建設,實現了不同程度的自動化,如果這些系統出現漏洞,後果不堪設想。

通過這三件事我們能夠非常明確的感受到網路安全至少決定了兩件事。第一,生產系統是否能夠正常的工作,生產出產品;第二,生產出來的產品賣出去之後在網路上是不是安全。」

白帽子的價值是什麼?

齊向東說:「漏洞的存在是客觀的,是永遠不會消失的,因為任何一個程序員都是人,人的能力都是有限的,對新技術的認識都是局限的。

白帽子就是專門找邏輯漏洞的,和軟硬體的開發者形成了上下游的合作關係。

如果說開發者是負責每天不斷創新,給我們提供新的軟硬體產品和服務。那麼白帽子就是負責再研究,他們幫助開發者尋找到他們考慮不周和設計不當的漏洞,找到這些漏洞之後及時提交給開發者,讓開發者把這樣一些不足和缺陷彌補上。這樣我們拿到的產品或服務就變得更加完美。

白帽子實名註冊與法律邊界

對於被挖掘漏洞廠商來說,面臨著一個巨大的難題,他們無法區分前來攻擊的是白帽子還是黑帽子。早些年,對於白帽子來說,他們每次挖掘漏洞,都像是在走鋼絲,一旦廠商不理解的他們行為,他們就將面臨法律制裁的風險。

齊向東說:「用我們的俗語來說,這叫『麻竿打狼,兩頭害怕』,廠商和白帽子之間不敢溝通、不敢交流,互不信任。」

U神說:「因為我自己對信息安全法律這塊比較了解,很多白帽細微的動作都可能觸犯到法律,所以我挖洞經常也是點到為止,不會太高調。但是做黑產的人,很多是因為生活壓力或者需要賺更多的錢,開始他們認為只做一次黑產就金盆洗手,結果有些人感受了一次黑產賺錢的速度後,就沉淪下去,一直陷入到黑產的深淵之地。」

齊向東說:「依託360的誠信,補天平台負責對這些認證白帽子的信譽進行擔保的同時,也採取一系列技術措施,對白帽子一時糊塗做壞事的行為及時的發現和制止。」

白健說:「補天是分層認證,越核心、技術能力越強的白帽子認證越嚴格,最核心的那一批要有明確的身份信息,跟我們簽書面協議,甚至於做一些專訪,大家都很清楚的知道在挖洞的白帽子的基本個人信息,甚至在哪家公司工作、家庭情況如何等。」

白帽黑客衰大,大會主持人之一,其經歷曾多次被媒體報道

齊向東說:「在對白帽信譽有所保障的前提下,我們把大量的政府、企業和機構用戶也拉到補天,作為企業註冊用戶。由此,企業註冊用戶和白帽子註冊用戶之間就可以溝通交流。

在商業模式上,如果白帽子發現註冊企業的漏洞,補天平台就會對這個漏洞的危險級別進行評級,根據危險程度估算一個參考獎金,註冊的企業可以根據實際情況,或高給或低開,這樣就真正建立起白帽子和廠家之間的溝通。」

國外最大白帽子平台Hacker One的COO Ning Wang說:「任何一個在我們平台上註冊的白帽子要同意我們的條約,確定『能做什麼、不能做什麼』。

有一點很清晰,白帽子不是我們的僱員,我們是提供了一個可以把他們和企業連接起來的橋樑,法律上是我們的客戶和白帽之間在產生關係,哪個項目對白帽有什麼樣的要求,由客戶決定。在註冊階段白帽子只需要郵箱,但是在發放獎金的報稅階段,我們會拿到白帽子的個人基本信息。」

白健說:「美國對白帽的認知度和成熟度更高,而國內相對還處於探索階段,比如剛剛還有記者問白帽和黑產的聯繫,這種想法證明我們面臨的環境更複雜,這時監管就要更仔細,身份信息就要更透明。」

補天精英白帽華不再揚說:「我挖漏洞,不會主動隨便挖一個公司的漏洞然後報過去,而是要看獎金,獎金高低說明了企業是否真的有需求。

例如本來是一個很高危的漏洞,你報給了一個需求度不高的企業,企業不理解,只是覺得你很頻繁地攻擊他,一定會不開心,最後企業乾脆就給了一個中危或低危漏洞的獎金,很低,白帽子們也會覺得誠意不夠,就不會再去挖這家公司的漏洞,雙方是建立在良性基礎上進行互動的。」

白帽黑客華不再揚 議題演講人 其經歷曾多次被媒體報道

2016年11月7日,全國人民代表大會常務委員會發布《中華人民共和國網路安全法》,並宣布自於2017年6月1日起施行。

隨著法律的逐步完善,白帽的法律邊界將會更加清晰;白帽與廠商、政府之間的協作機制將會更加成熟;企業的安全意識和白帽的法律意識將會同步提高;國家、企業、個人的網路安全都將更有保障。

但上述的一切都並非一蹴而就,甚至很難完全解決,它需要各方的協調理解,不斷磨合。正如劉志毅在《黑客暗戰》一文中所言:「世界上有三種人,一種是被黑過;一種是不知道自己被黑過;還有一種是不承認自己被黑過。」

德國將萬物互聯的時代稱為工業4.0,也就是第四次工業革命,它意味著傳統產業將會在網路中緊密聯繫,牽一髮而動全身。

當下,網路攻擊的破壞性,已經不亞於任何直接的物理傷害,不僅能夠傷財(如信息詐騙),而且能夠損命(如徐玉玉事件),而這種趨勢將會在智能時代(或稱大數據時代、物聯網時代)越來越明顯。

發現漏洞,拆除隱患,守護著那扇安全鐵門的正是白帽子。他們的每一分、每一秒和所有人一樣,都面臨著殘酷的現實和艱難的選擇,他們可以放棄鐵門離開,可以「投靠」黑產陣營,或者他們可以堅持下,與那些永遠修復不完的漏洞和永遠都存在的黑帽子決戰。

黑客就像古代的劍客一樣,懂得武林絕學,手中握著上古神劍,但最終劍如何使用才是重點,是成為忠肝義膽、鋤強扶弱的俠客,還是成為衣錦夜行、殺人如麻的劍魔,除了法律和機制的約束,更多的,還是他們內心的選擇。

——你可曾還記得,最初熱衷的技術理想?

——是,我從未忘記。

——給我一次機會,放過這個漏洞?

——對不起,我是一個白帽子。

推薦閱讀:

調戲勒索軟體大黑客
馬雲想要的刷臉支付,谷歌真的幫他實現了!
[長期]CTF相關書籍以及個人簡評
NO.12 最近跟AppScan幹上了

TAG:黑客Hacker | 白帽黑客WhiteHat | 信息安全 |