揭密/揭密「白帽子」駭客 黑產利誘無處不在

揭密「白帽子」駭客:靠本事賺錢 。

網路安全隱患無處不在。近來,勒索病毒「永恆之藍」和「必加」在全球大規模爆發,再次敲響了警鐘。有攻就有防,面對網路世界的安全隱患,面對駭客攻擊及其布下的陷阱,「白帽子」駭客是我們的第一道屏障。

根據新華網報導,目前網路安全人才不足,既有供不應求的原因,也和人才培養模式相關。「白帽子」駭客們的工作究竟有哪些神秘之處?如何讓他們更好地發揮專長,守護網路使用安全?本報記者帶您走近這群「網路遊俠」。

任務不輕:應對病毒攻擊、發現安全隱患、保障重大活動

不久前,一個名為「暗雲」的木馬強勢來襲,數百萬台電腦被感染。「白帽子」駭客董志強隨即和團隊進行監測,對攻擊進行了溯源分析,查清了「暗雲」的攻擊途徑和方式。這一發現能幫助安全軟體有針對性地查殺「暗雲」,有效遏制它的傳播力和破壞力。

「白帽子」駭客是指網路安全從業人員,他們是網路世界的衛士。與利用漏洞、製作木馬病毒去牟利的不法分子不同,「白帽子」們是為了讓網路系統更加安全。

方家弘也是一名「白帽子」駭客,他是騰訊科恩實驗室的骨幹成員,擅長尋找網路世界無處不在的漏洞。「攻擊,是為了防御」,他通過嘗試攻擊,找到埋藏很深的漏洞,「逮」住它們,並上報給相關企業或組織,以便及時修補,保障安全。

「從手機、路由器,到機器人,再到汽車,任何智慧設備本身或使用環節中都可能存在隱患,任何一個漏洞被駭客利用,都可能造成隱私洩露甚至財產損失。」方家弘說。

2015年初,方家弘和團隊完成了一件很有成就感的工作。「我們發現Linux內核中一個漏洞,利用它可以獲得Root安卓手機的最高權限。比如,駭客可在你手機中安裝任意軟體,而你可能完全不知情。」方家弘和團隊上報漏洞後,因為危險等級高,1天之內便得到回應,Linux的作者林納斯.托瓦茲立即進行了修復。

杭州安恆安全研究院安全專家王欣也是挖掘漏洞的高手。在G20杭州峰會和歷屆世界互聯網大會等重大活動網路安全保障工作中,他面對的是一個個沒有硝煙的戰場。

「重大活動的網路基礎設施容易成為攻擊點,從一些攻擊手法分析,它們是有策略、有組織地攻擊,不像是普通駭客練手。」王欣說。G20杭州峰會期間,安恆作為峰會的網路安保技術支撐單位,承擔了包括G20官網、註冊網、重要工業控制系統等多個網路安保重點單位的安全保障任務。從接到任務到系統安全上線,僅有短短4天,王欣和團隊需要為酒店在線預訂系統搭建起一堵安全防護牆。那段時間,他每天工作至凌晨兩三點,在臨時辦公室,團隊24小時輪流值守,確保了安全事件零發生。

行規不少:靠本事賺錢,不許觸犯法律

中國大陸互聯網協會發布的《2016中國大陸網民權益保護調查報告》顯示,去年大陸網民僅僅因垃圾資訊、詐騙資訊、個人資訊洩露等遭受的經濟損失就高達915億元(以人民幣計算,以下同)。

國家互聯網應急中心運營部主任嚴寒冰認為,在IT產業軟硬體核心技術和代碼等自主研發能力不足、安全防護手段滯後、地下駭客業務已形成產業鏈的背景下,大陸網路安全正面臨日益嚴峻的挑戰。目前,「白帽子」駭客在保障網路安全中的作用無可替代。

比如,他們不斷上報發現的漏洞,預警風險,給網路安全樹立了第一道屏障。而隨著互聯網時代向物聯網時代過渡,安全隱患更複雜,「白帽子」駭客也需不斷「進化」。

董志強的興趣從最初的傳統反病毒轉向雲安全研究,方家弘則從PC端轉向移動端漏洞的研究,王欣從Web安全轉向物聯網安全研究,並開始關注工業自動化控制安全領域風險。他們還要研究前沿技術,做好技術儲備。

與一行行代碼打交道,在「0」和「1」的世界中尋找風險……從事這項工作,除興趣之外,「白帽子」駭客通常還要有點天分─他們大多不是科班出身,而是「江湖派」,屬於怪才、偏才。

在網路安全圈,董志強更響亮的名號是「Killer(殺手)」。他的專業是漢語言文學,研究古代漢語和影視文學。大學期間「邂逅」電腦後,他開始自學逆向工程。讓董志強聲名鵲起的,是他創建的「超級巡警」在2007年截殺「熊貓燒香」病毒時立下了赫赫戰功,甚至因其迅速回應和高效處理能力,招致非議。而今,他已成為雲安全領域的「大咖」,在雲網領域開展更多關於安全的研究。

王欣學應用化學出身,他說從事安全行業,之前純粹是因為愛好,當參加完多次網路安保任務後,感受到的是這項工作的榮譽感和使命感。

不錄用有前科的人,是「白帽子」圈的行規。他們有明確的是非觀:要靠自己的本事光明正大地賺錢,不許觸犯法律。

成長不易:培養模式滯後,「黑產」利誘無處不在

「白帽子」駭客的作用,以往並不受重視,捨得投入的企業並不多。直到近幾年安全事件頻發,網路安全人才的生存和成長環境才逐漸改善。不過,人才缺口依舊很大。

國家互聯網資訊辦公室2015年公布的資料顯示,截至2014年底,大陸重要行業資訊系統和資訊基礎設施所需網路安全人才缺口達70萬人左右,預計到2020年,需要各類網路安全人才約140萬人。可見,光靠高校培養遠遠不能滿足需求。

「網路安全的本質,是智慧的對抗;網路空間的競爭,歸根到底是人才的競爭。」天融信總裁於海波說,建設網路強國,就要打造出一支強大的網路安全人才隊伍。

網路安全人才供不應求,與人才培養模式滯後於網路發展速度相關。嚴寒冰說,傳統高校的學科課程,強調基礎理論,忽視培養學生在電腦上的應用能力建設,沒有相關專業設置,大多數「白帽子」駭客都是靠興趣「自學成才」。

「高校在專業設計上還存在與企業需求脫節的問題,學校閉門造車,學生缺乏實際操作經驗,難以扛起維護網路安全的重任。」於海波說。

社會對網路安全的「後知後覺」,也影響了早期一批安全人才的成長。方家弘是上海交通大學資訊安全專業的第一批畢業生。他回憶,2006年,安全專業比較邊緣,畢業後多數同學進了金融行業,同學中還留在安全行業的人已經非常少了。

掌握安全技術的人才還面臨黑產巨額收益的誘惑。天融信的資訊安全教育專家李躍忠說,駭客通過非法倒賣個人資訊、倒賣遊戲帳號、刷流量、製作網路病毒等,幾個月甚至幾天就能獲得上百萬元的收入。「「網路黑產」一夜暴富的情形,也不利於引導安全人才健康成長。」

「過去,由於網路安全法律法規不完善,從事「黑產」的違法成本極低,使得很多人鋌而走險。」安恆資訊副總裁馮旭杭說。直到現在,安全圈子的人,有時還會收到黑產的報價,比如10萬元黑掉競爭對手的網站,30萬元攻擊一家遊戲的私人伺服器,50萬元告知一款常用伺服器軟體的漏洞。

待遇不高:增加「白帽子」駭客收入,強化歸屬感榮譽感,明確其合法地位

在培養「白帽子」駭客這一特殊群體方面,大陸做出了一些有益探索。2015年,教育部增設「網路空間安全」一級學科,要求加快網路安全學科專業和院系建設,量身訂製適應網路安全人才成長的系統性培養方案。

安全企業也參與到人才培育中。比如,杭州安恆資訊與高校合作進行學科共建,開發具有實際教學意義的攻防實驗室,幫助高校提升教學水平。方家弘所在的科恩實驗室嘗試將前沿的安全研究成果推向大學課堂,目前已受邀在上海交大和浙江大學開設講座,並將在復旦大學等高校推廣。

於海波建議,國家可拿出部分資源扶持專業的安全企業,整合社會教育力量,通過國家、教育機構、安全企業的努力,加強網路安全人才培養。

要切實提高「白帽子」駭客的收入。「雖然「白帽子」收入已有較大改善,但和「黑產」收益相比還有非常大的差距。要想辦法提高報酬,激發他們擔當網路「俠客」、除暴安良的熱情。」李躍忠說。

此外,還要強化「白帽子」駭客的歸屬感、榮譽感,明確他們合法的社會地位。

採訪中,專家指出,政府和安全圈應更多組織一些安全會議、論壇、競賽等活動,為網路安全人才搭起與政府、企業溝通互動的平台。
今年6月1日,大陸互聯網領域的首部基礎性法律《中華人民共和國網路安全法》(以下簡稱《網路安全法》)正式實施。嚴寒冰表示,《網路安全法》從法律層面明確了網路安全從業人員應該承擔的責任和義務。「包括哪些事情可以做、哪些事情不能做以及做到什麼程度可受法律保護。它在為打擊網路違法行為提供明確法律依據的同時,也為網路安全從業人員提供了合法的社會地位。」

法律專家表示,《網路安全法》為網路安全人員行為邊界做出了規範。比如規定任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路資料等危害網路安全的活動。「白帽子」們一定要注意邊界,堅守法律底線。

馮旭杭認為,讓「白帽子」駭客們遠離黑產,還有必要調整現有的評價體系。「比如,職稱評定能加強安全從業者的責任心和榮譽感,但很多安全人才是實戰型的,學歷並不高,按傳統方式評定,連資格都沒有。」他建議將網路安全人才的評定資格下放到企業,由企業的信譽做背書,參考同行評議制度,讓業內同行來評價。「這個圈子很小,你有幾斤幾兩,大家都清楚。」