5.jpg

网络江湖中的黑与白

光明日报 2017-03-15

  便捷的信息产品、服务和应用已成为人类社会生活赖以运转的必需品,信息安全的重要性不言而喻。近年来发生的海量用户数据泄露、智能设备遭非法远程控制、网络勒索横行等事件已成为全球性问题。据估算,2016年网络相关犯罪造成的损失超过4500亿美元。如果说网络有江湖,那亦是风雨飘摇,自古江湖正邪不两立,既有恶人横行,自有侠客出山。“白帽黑客”作为网络江湖侠客,正逐渐走入人们的视野。

  在这一背景下,2016年11月至今年1月,美国陆军开展了名为“黑进军队(Hack The Army)”的赏金计划,包括征兵网站和陆军数据库等重要信息系统在军方授意下公开经受黑客的轮番测试。美国军方共收到400多份漏洞报告,派发奖金超10万美元。此外还将部分高危漏洞详情向社会披露,并计划筛选出优秀“白帽”为国效力。

  1 黑客和他们的“帽子”

  黑客(Hacker)指精通计算机技术,专注于程序设计的电脑高手,通过挖掘安全漏洞进而可以破解密码、控制计算机、窃取数据的神秘群体。“黑客”的称呼最初是中性甚至是褒义的,拥有“自由”“共享”“创造性”的独特文化。黑客往往会通过漏洞工具自动化扫描,获得一幅系统“漏洞地图”后尝试对信息产品和服务进行攻破。网络上无所不能的神秘黑客,在现实生活中可能是普通学生、程序员、工程师、研究人员或自由职业者。

  技术作为工具并无曲直,但使用者的目的却大相径庭。黑客大体可分为“白帽黑客”“黑帽黑客”和“灰帽黑客”三类。“白帽黑客”会利用自己的能力维护信息安全,发现漏洞后及时向厂商或有关部门进行反馈,保证漏洞在被恶意行为者利用前及时修复,提升产品系统的安全性;“黑帽黑客”则是利用技术损害产品和用户安全恶意获利的一群人。媒体上有关黑客攻击的报道指的就是“黑帽黑客”,例如臭名昭著的全球最大黑客组织“匿名者”,其核心成员超过千人,针对政府和企业系统发动攻击以表达不满,五角大楼、美中情局、索尼公司、万事达公司和希腊央行等网络系统均是其攻击目标。而“灰帽黑客”则是游走于二者之间,既不以维护网络安全为己任,亦不齿于为害一方,其关注重心只在于纯粹的炫技,追求的是技术超越带来的成就感。

  换言之,“白帽”为安全而技术,是网络安全的建设者;“黑帽”为利益而技术,是网络安全的破坏者。黑与白的界限往往非常模糊,仿佛苍茫大海中的白涛与黑浪,游戏世界中的白魔法与黑魔法。白帽子一念之差可能铤而走险,黑帽子浪子回头会变为网络安全的坚强捍卫者。

  2 网络漏洞:黑客的猎物

  无论戴着什么样的帽子,对于黑客而言,唯一的“猎物”就是网络漏洞。网络漏洞是指在信息产品软硬件、协议实现或安全策略上存在的缺陷,可以让攻击者在未授权的情况下访问或破坏系统。当企业发现或被通知产品存在漏洞时,会积极进行针对性地修复。漏洞具有全球化、通用性等特征,目前数量迅速增长,影响范围和程度不断增大,是对国家安全、经济发展的巨大威胁。

  打个比方,信息技术公司好比“钱庄”,负责保管用户的各类财产——我们的言行、资料、财产均以数字化形式被“钱庄”收集、保存、分析和利用。漏洞就是“钱庄”整个运行流程中的风险点,当然,大多数“钱庄”的金库围墙不会有缺口,窗子也装有护栏,会雇佣守卫看护,用户存取财产也需要提供凭证。但安全风险并未完全消除:恶意行为者可以雇佣大量闲散人员在柜台排队导致“钱庄”无法为真正的用户提供服务;守卫监守自盗;年久失修的围墙出现裂缝;市场上出现可以悄无声息剪开护栏钢筋的便携液压剪;或者直接通过地道挖进金库。黑客就是不断找出这些漏洞的一群人。

  网络漏洞具有全球化、通用性的特征,能够以点破面,筑再高的墙,换再复杂的门锁都难免疏漏。那么是不是把金库建造成铜墙铁壁、坚不可摧、处处监控、只进不出甚至深埋海底就可以保障绝对安全了呢?答案是否定的。首先信息领域没有“坚不可摧”,安全系统很快会随着技术更新变得不堪一击,安全系统需要不断更新维护;其次,互联网的本质是信息数据的自由流动和充分利用,“钱庄”的庞大金库需要被频繁存取访问,易访问性必须得到保证,所以不具备绝对安全的条件。

  因此,无论设计多么巧妙,实现能力多么强大,经过多少轮测试检验,任何信息产品和服务都不可避免地存在漏洞。信息产品安全不可能一蹴而就,需要在产品的整个生命周期中得到重视,能够及时发现并修复漏洞才是负责任企业的正确做法。以安全著称的苹果iOS系统仅在2015年就有387个安全漏洞被曝出,而微软的“视窗XP”系统在十多年的漫长生命周期中也有726个漏洞被曝出。正是因为这些产品的关注度高、用户量大,才会在“聚光灯”和“放大镜”下被研究得更彻底,修补漏洞后的产品也才会更安全和完善。因此,致力于发现并修补漏洞的白帽黑客们无疑是信息安全保障的重要助力之一。

  3 “白帽黑客”与江湖历练

  当然,漏洞不光是黑客们的猎物,亦是传统杀毒软件公司的势力范围。只不过杀毒软件是漏洞被利用后“亡羊补牢”,“白帽黑客”则是主动在羊圈外“巡视缺口”,力争未亡先补。“白帽黑客”作为维护网络安全的民间力量不断得到各方肯定与重视,同时他们也面临各类诱惑和困境。

  社会偏见。为吸引眼球,大众媒体往往对于黑客相关的新闻过度神秘化,所有负面安全事件均归结到“无所不能”的黑客身上。技术公司往往对“白帽黑客”未经授权的测试行为不满,并怀疑其主动报告的动机。政府往往抵触“外部黑客”的帮助,更不会建设奖励机制,打造正向反馈。

  金钱诱惑。在地下黑色产业链中,恶意利用漏洞变现的速度惊人,一个高危漏洞在黑市上可以买到六位数的高价,而“白帽黑客”通过正规渠道只能得到象征性的物质奖励。尽管“白帽黑客”对技术和安全的追求高于对金钱追求,但面对数十倍的收入差距和一夜暴富的诱惑,心存“网络犯罪难以追踪”的侥幸,不少黑客且将白帽换黑帽,不可避免地进入地下黑产链条。

  年轻气盛。年轻化是黑客团体的一大特点。根据“HackerOne”漏洞报告平台调查,35岁以下的黑客占比超过九成。手握最新技术、雄心勃勃但阅历不足的年轻人面临抉择时即便不受金钱吸引,但难免不受声名所累,迫切希望通过发起“破坏性”事件一举成名。因此,作为一名“白帽黑客”,心志必须坚定到年轻且耐得住寂寞。

  行为边缘。检测漏洞行为处于法律和观念的模糊边缘。法律中对“白帽黑客”自发性检测系统漏洞(如黑进目标网站但不进行破坏)的行为是否构成犯罪尚未有明确界限,诸多空白区亟待填补。就像在没有得到授权的情况下,某人在“钱庄”外不停巡视,进行“模拟攻击”,利用各类工具试探围栏结实与否,防盗门锁安全强度如何,甚至使用伪造凭证办理业务。这会让大部分“钱庄”和执法者警惕和怀疑。在一些公司眼中,“白帽黑客”就是“借机勒索的坏小子”。

  不受重视。“白帽黑客”缺乏有效的报告渠道,往往只能向公司发送电子邮件。不仅耗时漫长,面对“白帽黑客”报告的漏洞信息,政府和企业常常由于安全意识不到位而无动于衷。美国“白帽黑客”David Helkowski曾在马里兰大学服务器发现能够访问大量学生和教员的个人数据的安全漏洞,遗憾的是学校并未重视这份报告。没过多久,超过30万名该校在校生和毕业生的社会安全号码等个人信息遭黑客窃取并曝光。报告渠道受阻、回应迟缓严重打击“白帽黑客”的积极性。

  江湖围堵。由于将漏洞信息透明化公开化,由于其行为事实上会阻断黑色产业的利益链条,使得原本希望利用漏洞恐吓公司和个人获取暴利的安全公司或黑帽黑客恼羞成怒,“白帽黑客”不仅可能遭遇“单挑”,还极有可能面临庞大黑色产业的围堵。

  4 “白帽黑客”的出路

  道高一尺,魔高一丈。随着万物互联序幕的拉开,安全漏洞风险如影相随,安全能力建设形势更趋严峻。“白帽黑客”作为维护网络安全的重要组成力量,其特殊性正在得到越来越多的重视。社会需要给“白帽黑客”信任和展示能力的机会,为其设定行为边界,并给出相应激励,否则“白帽黑客”只不过是一个带有浪漫主义色彩的称呼而已。当前,美国政府、企业和相关机构正在积极探索,以期为他们提供“光明大道”,通过一套较为完善的体系,正确引导和激励“白帽黑客”释放正能量。

  实施“赏金计划”。一直以来,美政府对奖励漏洞发现者不感兴趣,对曝光的系统漏洞反应较为迟缓。然而,安全风险日趋复杂,独自应对难以为继,政府对黑客看法在不断改变。努力探索保障网络安全的新方法,积极为漏洞的提交广开言路是大势所趋。2016年3月到5月,美国防部发起名为“黑掉五角大楼”竞赛项目,设置超过15万美元奖励吸引本国黑客向其信息系统发起攻击。该项目取得巨大成功,两个月的竞赛项目共吸引1400名黑客参与,发现的漏洞多达138个。若通过外部商业安全公司发掘同等数量和质量的漏洞,政府将花费超过100万美元。防长卡特对结果非常满意,国防部认为演练有利于“发现漏洞并制定保护五角大楼网络系统的应对措施”。此次政府部门效仿商业公司奖励“白帽黑客”的行为具有里程碑意义,为未来与“白帽黑客”建立长期信任和合作奠定了基础。国防部尝到甜头后,宣布发展该项目为永久性项目,扩大更多国防部系统和网络加入测试。

  除政府外,IT公司也积极行动,转变思路。过去很长一段时间,美国大公司并不希望自身产品被曝光存在漏洞,有的公司甚至要求“白帽黑客”删除相关漏洞信息。其一,公司往往怀疑“白帽黑客”的好意,认为是在索要报酬。其二,若不及时“打补丁”,会遭遇针对该漏洞的频繁攻击。其三,担心影响企业声誉,曾有公司在产品漏洞曝光后股价暴跌。随着企业对产品安全意识的增强,对“白帽黑客”提供的漏洞信息需求迅速上升,企业会直接对“白帽黑客”送出奖励。谷歌、雅虎、微软等众多IT巨头设置本公司的漏洞奖励计划和安全响应中心,鼓励“白帽黑客”测试其系统。例如“脸谱”网建立了针对自己产品平台的漏洞提交和奖励页面,充分尊重黑客的隐私权和知情权并提供不少于500美元的奖励。谷歌设立奖励计划,为找到安卓(Android)系统安全漏洞的黑客提供最高20万美元的奖金。

  提供专业场所。普通企业一般不会专门设置安全部门或漏洞奖励项目,为有效对接企业需求和社会资源,“众测”模式应运而生。“众测”是一种由厂商提供产品和奖金,漏洞平台组织黑客为其寻找安全漏洞并分配报酬的生产模式。厂商在降低运营成本的同时,也充分调动了“白帽黑客”劳动的积极性。如美国旧金山的“HackerOne”漏洞平台吸引了来自150个国家的3000多名黑客注册,为包括雅虎、优步、推特在内的超过500家公司提供漏洞测试服务。拥有强大号召力的“HackerOne”宣称77%的公司能够在24小时之内利用该平台找到安全漏洞,目前已经修复近四万个漏洞。“白帽黑客”注册后提交漏洞信息,“HackerOne”通知公司进行修复厂商对漏洞有效性、严重性和影响范围做出评价,在漏洞未被解决之前,漏洞信息是加密的,甚至平台也无权查看这些信息,充分保护企业和“白帽黑客”的权益。为吸引和鼓励“白帽黑客”,“HackerOne”将漏洞奖励金额下限设置为100美元,并为高危漏洞提供奖励金额参考,最高漏洞奖励可达3万美元。

  举办“武林大会”。黑客大会是黑客文化交流的嘉年华,来自全球各地的技术大咖齐聚一堂,公开展示最新研究发现。如久负盛名的黑帽大会(BlackHat)作为全球顶尖的安全技术会议,是信息安全界每一位研究者的梦想舞台,会议内容包括前沿技术培训,黑客安全团队讲演、公司宣讲等。RSA安全会议每年吸引数万人参会,几乎所有安全研究人员都会参与其中,展示研究项目,研究行业热点问题。此外,CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB(hack in the box)、POC (Power of community)、HITCON 、CodeBlue 等侧重点各不相同的会议更是多点开花,“白帽黑客”参与度空前高涨。

  帮助验明正身。去年11月,美国防部制定了《漏洞披露政策》,为“白帽黑客”们提供政策安全保障。该政策允许自由安全研究人员通过合法途径披露国防部面向公众使用的信息系统存在的任何漏洞。该政策指出只要符合政策的限制和规定,将不会对黑客发起执法和诉讼活动,并可以为“白帽黑客”提供保护和证明。此外,美国防部高级研究计划局(DARPA)的“Improv”项目和网络挑战赛,也正在积极发掘网络漏洞和网罗全球优秀的“白帽黑客”。近年来,美国执法部门已经开始尝试直接从黑客大会现场物色黑客提供技术或为之效力。

  当前我国正处网络强国战略推进的关键阶段,信息技术能力和产业蓬勃发展的背后面临日益增大的安全压力。政府、企业、组织和民众对网络安全认识和需求不断提高,除建立健全政企网络安全信息共享机制、完善政策法律保障、明确企业责任外,做好“白帽”人才储备与有效使用亦应成为重要一环。从当前国际经验来看,如能妥善引导和规范“白帽黑客”,保障“白帽黑客”合法权利,无疑能够极大激发民间力量,为信息安全保驾护航。(作者:牛帅,单位:中国现代国际关系研究院信息与社会发展研究所)

责任编辑:王超

科普中国APP 科普中国微信 科普中国微博
光明日报
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢