我最喜爱的高智商犯罪美剧,《疑犯追踪》(person of interest)在这个夏天完结了,豆瓣评分9.6分。
主角Finch是一个黑客,“911”的第二天,他编写了一个通过监控人类行为,预测恐怖袭击的程序the machine(机器宝宝),以1美元的价格卖给了政府。
Finch是一个躲在幕后的隐形富豪和黑客天才。他的大学好友Ingram一直替他站在台前,充当成功CEO。但Ingram发现,机器宝宝不但可以预测恐怖袭击,还可以预测平民犯罪。每天,机器宝宝都会吐出一串串的数字,但政府对平民犯罪不感兴趣,他们的重点是恐怖袭击。
那些明明可以避免,但因为政府不作为而遇害的人,一直困扰着Ingram。更何况,号码每天都在不断产生。Ingram想把真相公之于众,但Finch叔一开始也不以为意。直到Ingram遇难,Finch自己也伤了脊椎瘸了一条腿,他决定拯救世界了。他找到了自暴自弃的前CIA特工Reese,两个人开始联手救人。当然,故事没有这么简单,正邪势力不断浮出水面,并且政府还暗地造了另一个邪恶程序撒玛利亚。Finch、Reese保护着机器宝宝,机器宝宝也保护着他们。
这样的黑客生活很酷炫,是不是?
但真实的世界并非如此。
5月的一各黑客大会上,数百个网络安全创业公司和个人,从各地赶来,大部分人的目的特别简单,BAT、360、京东等互联网公司那得到一笔订单或者合作的机会。
这些人自称为白帽子黑客。但他们中的大部分人,都谈不上天才的级别。黄石(化名)说,有出版社在找他,以他的经历为主线,写一本关于中国黑客的书。黄石没读过大学,是在一所中专学的计算机,并开始接触到黑客技术。
“白帽子和黑帽子是有明显的界限的。”黄石说。黑客有好坏正邪之分,传统的正直黑客称为白帽子黑客(白客),爱国的是红帽子黑客(红客),坏蛋被称为骇客。黄石没做过什么违法的事情,但技术水平也一般,没做过什么惊天动地的大事。
早年,黄石爱泡在各种黑客论坛里,后来线下的安全大会越来越频繁,黄石每次都会参加,慢慢的也就成了圈里人。
“今天的黑客文化已经没落了。”阿里巴巴安全总监陈树华不太喜欢这种所谓圈子的文化,他对《财经天下》周刊感慨道:如果说,最早的黑客是在追求有趣、探索精神。现在,更多的人追求的不过是更具实用性的名和利。
电商、互联网金融、云计算,金钱和信息从来没有像今天这样与互联网技术联系在一起。这给了黑客们接近财富的机会,也改变了他们的生存环境。
参加“黑客世界杯”的腾讯团队。
英雄归来
乘车去往Menlo Park的路上,你会看到一个写着“1 Hacker Way(黑客路1号)”的路牌,那就是Facebook的总部。
“黑客”(Hack),被创造的时候,完全是一个正面称呼,就像是英雄。
1961年,麻省理工学院(MIT)得到了第一台PDP-1计算机,学院技术模型铁路俱乐部(Tech Model Railroad Club,TMRC)的成员把它作为最时髦的科技玩具,最能干的聪明人自豪的称自己是“黑客”。
他们认为,要完成一个hack,必然包含着高度的革新、独树一帜的风格、和出色的技术。后来,这些黑客成为了MIT人工智能实验室的核心成员。《黑客》(Hackers)的作者史蒂.文利维,把他们称为计算机革命的英雄。
随着计算机的普及,计算机病毒泛滥,黑客逐渐和计算机犯罪联系在一起。为了澄清“黑客”的概念,传统黑客表示,只有拥有高技术和职业道德的人才能被称为Hacker,那些恶意入侵的人应该被称为骇客(Cracker,入侵者)。
“我们招人有明确的原则,只要做过骇客的,技术再高,我们也不招的。”腾讯电脑管家负责人邓欣说。因为骇客们赚钱太容易了,一旦走上这条路,很难完全回头。
邓欣带领的腾讯电脑管家和陈良带领的科恩实验室,在刚刚结束的Pwn2Own2016黑客大赛上,拿下了4个单项冠军,奖金20万美元。
Pwn是一个黑客语言,指攻破设备或者系统。Pwn2Own被称为“黑客世界杯”。今年,参赛队伍要攻破的是最新版本的微软 Edge 浏览器、苹果 Safari浏览器、谷歌 Chrome 浏览器、Adobe Flash 插件。每个参赛队有15分钟的时间,和3次试错的机会。
寻找漏洞的程序是提前写好的,但每次比赛前的一两周,这些厂商都会推出一个超级补丁,修补他们最近发现的所有漏洞。如果准备参赛的漏洞恰巧在这一刻被修补了,之前的辛苦也就白费了。
很不幸。赛前一周多,陈良发现,苹果最新的补丁修补了他们准备比赛的两个Safari漏洞。为了寻找新的漏洞,他们日夜不停的重新排查之前准备的资料,一位成员甚至把床都搬到了办公室。又很幸运。第三天的时候,他们发现苹果系统的视频渲染程序中,两个锯齿重叠的时候,会发生微小的计算错误。那一刻,陈良忍不住兴奋,不停的拍着桌子。
但代码必须重写,又涉及到视频渲染,非常复杂。直到在飞往温哥华赛场的飞机上,陈良还在写着代码。
主要对手是18岁的自韩国黑客神童 Lokihardt。2015年的Pwn2Own上,Lokihardt同时攻破了IE、Chrome、Safari,最近三年,他以一己之力,几乎拿到了世界黑客赛事的所有冠军。
不过,“幸运之神站在了我们这边。”陈良说。就在所有人都认为Lokihardt会成功的时候,Windows 系统突然弹窗,提示“该操作有风险”。Lokihardt比赛的电脑是在脱机状态下安装的,在攻击过程中多了一步对用户 ID 的验证,这是他在自己联网状态下安装的电脑上无法发现的。
打比赛,是邓欣和陈良工作的一小部分。更多的时候,他们在寻找漏洞,并反馈给厂商。每个月,他们都能发现十几甚至二十几个漏洞。
4月份,邓欣所在的腾讯电脑管家团队报了14个漏洞给Adobeflash。“我们打比赛的那个漏洞,被骇客掌握的话,给你发个pdf文档,你只要点开他就可以控制你的电脑了。”邓欣说。
漏洞猎手
“你以为黑客是一个非常有趣的事业,事实上完全不是这样,你要耐得住寂寞,像我们团队的吴石,十几年很少出差,很少出国旅游,基本上天天和代码打交道。”陈良说。
吴石在国内黑客圈被誉为“殿堂级”的人才,也是陈良的师兄。到现在,他已经发现并报告了IE、Safari和Chrome等浏览器中存在的近200个严重漏洞。
2007年的时候,王琦负责创建微软中国的安全响应中心时,美国总部给他打了一个电话,让他去找一个人。他们发现,当时在报告给Windows操作系统的漏洞中,有这个名字出现的频率特别高,就是吴石。
但王琦找到吴石时,完全被他穷困潦倒的生活惊呆了。当时,国内安全研究人员的工资只有三四千元。实际上,很长一段时间,网络安全技术人员的待遇甚至比IT行业的平均水平还要低。
复旦大学数学系毕业后,吴石就利用业余时间查找漏洞。2007年8月,吴磊收到了安全服务商惠普旗下一个安全平台ZDI发来的一封邮件,向他询问关于一个微软的漏洞细节。吴石回复了ZDI后,ZDI又来信表示,以后可以将发现的漏洞卖给ZDI专门做收购、分析的项目小组。当年底,ZDI给吴石颁发了2万美元的“白金奖”。
ZDI会给给每个漏洞两三千美元,但如果当年的奖金经已经用得差不多了,他们就不会再继续收购吴石的漏洞。基本上,吴石每年卖给他们10个左右的漏洞。
卖不出去的漏洞,吴石就直接发送给出现漏洞的厂商。Google一开始会给500美元的奖励,后来为了鼓励人们跳过安全公司直接把漏洞提交给他们,就把奖金提高到3000美元。苹果一开始压根儿不给钱,后来,每个漏洞也提高到了两三千美元。
吴石认为,把漏洞出售给出现漏洞的企业,比卖给安全公司更加合法。不过,虽然国内的企业也希望能够修补漏洞,但不像国外企业那么积极。
后来,王琦打算在中国成立独立的安全技术团队,就拉吴磊入伙。吴石提不起兴趣,周围的朋友不是过得惨淡,就是做着黑产。王劝他,“我们虽然看不到蛋糕,但你会揉面,他会生火,我们可以先做个馒头出来养活自己,这样至少大家都不会走(做黑产)。”于是,Kenn Team(碁震安全研究团队)就这样成立了。
Kenn Team成立了两三年,生意不温不火。每年,他们卖漏洞给安全平台或者厂商的收入只有一千多万元,不及从事黑产那帮人的十分之一。
直到2010年6月,当时苹果公司针对iPhone操作系统发布了64个新补丁,15个漏洞是由吴石发现的,而由苹果内部研究人员只发现了6个。美国《福布斯》把吴石称为漏洞猎手。Kenn Team也因此走进了公众的视线,并最终接受了腾讯的投资。
薪水,忽然一下子就高了
2010年,奇虎360、腾讯和阿里巴巴在2010年就开始争抢安全人才时,安全研究人员的平均薪水还只是与IT行业其他工种持平。
2013年,“斯诺登事件”爆发,让网络安全获得了前所未有的关注。2014年2月,中央网络安全和信息化领导小组成立。同年,被黑客界称为“TK教主”的于旸(Tombkeeper)离开绿盟科技加盟腾讯,年薪千万,成为中国黑客界的标志性事件。
2001年9月18日,Nimda蠕虫被发现,于旸在自己电脑上架设了一个“蜜罐”,在Nimda蠕虫爆发当天就捕获了它,并写了国内第一份对蠕虫做出多角度分析的报告。此后,于旸开始研究软件、硬件以及无线等各种安全风险。
2015年初,吴石团队正式加盟腾讯,成立了专注于云计算与移动终端安全研究的科恩实验室,核心成员多来自原Keen Team团队。
“薪水,忽然一下子就高了。”奇虎360核心安全负责人郑文彬说。2006年底,郑文彬接受360邀请来北京时,只有19岁,网络安全市场刚刚起步。
乍见郑文彬,你可能会误以为他是搞艺术的。凉鞋、T恤、短裤、黑框眼镜、略微卷曲的头发和胖乎乎的身材,很难想象他就是中国最有名的网络安全工程师之一。但在黑客界,他有一个响亮的代号:MJ0011。他领导的伏尔甘团队(360Vulcan Team),连续两年在Pwn2Own攻破了IE和Chrome浏览器。
“叫我们安全工程师也好,‘防火墙’也行,无所谓,做什么比叫什么更重要。”郑文彬的家离单位半个多小时,每天10点上班,晚上无确定下班时间。工作就是每天与网络上的病毒、木马、漏洞等进行攻防对抗。核心团队里细分了多个小团队,有人负责安全产品的研发,有人分析和处理病毒、木马,还有人负责高端漏洞修补。郑文彬是把控整个方向的那个。
2015年,伏尔甘团队拿到Pwn2Own的冠军时,公司要求郑文彬把决赛中所使用的那部电脑“贡献”出来,摆放在360公司的历史荣誉展览室里。
郑文彬非常认真地跟团队成员商量过这件事,但没什么人回应。“他们都内向,太低调了。”郑文彬说,每次组织团队成员出去演讲,甚至团建去KTV唱歌,都没人响应。
360楼下不远处,是乌云平台开的一个黑客酒吧,门口竖着一个牌子,上面写着:内有黑客,后果自负。但郑文彬只去过一次,还是乌云平台的人邀请过去的。
“我已经是我们这里最外向的了。”郑文彬自我调侃道。即便如此,还是有很多同事直接、间接地认识了他们。其他部门的同事们见面就会问:“听说你们年薪几百万,还拿着大把股票?”
像郑文彬这样的人,360还有几十个。除了会向安全产品部门输出一些核心技术,更多的是纯粹的研究,而多数研究成果还都很难立即商业化。
“所以,(养黑客)这个事只有在大公司里才有,而且会越来越贵。”郑文彬说,从2014年开始,漏洞安全人才年薪动辄几百万元,甚至上千万元。
陈树华所在的安全部,被称为阿里“神盾局”。
红与黑
公司和黑客(入侵者)打了一架,入侵者不断的发来信息堵塞系统,并试图盗取用户信息,战争一直持续了一个星期,最后公司赢了。但是李苗却不愿多说。
“谁要说自己的公司防御措施好,那就相当于公开下战书,只会招来更多的攻击。”李苗在一家互联网金融公司工作,总有黑客想要盗取公司的用户信息。
“这样的故事太多了。”安塞副总裁杜东亮说,给他任何一个电话号码,就可以查到五大银行的所有存款信息。不过,安塞是中国一些金融机构的安全合作方,他们的行为也需要接受相关部门的监督。
“他们(骇客)有些像强盗,有些像小偷。小偷可能会偷走你的钱,但强盗可能就是平白无故的打你一顿。”杜东亮说。2013年12月5日,中国央行发布《关于防范比特币风险的通知》,表明不支持比特币后,随即遭受到大量来自国外的黑客攻击,安塞作为央行的合作方,与这些入侵者较量了很长一段时间。
在这些入侵者的背后,是一条完整的黑色产业链,被简称为黑产。
陈树华所在的安全部,被称为阿里“神盾局”,这也是阿里最低调、最神秘的部门。“我们每天都要和黑产打交道。”陈树华说,他们不但要修补漏洞,还要研究防止刷单的方法。陈树华是阿里聚安全、钱盾产品创始人,也是国内最早的一批移动安全专家之一。2014年加入阿里之前,在腾讯负责安全工作。
今天,每一个互联网项目利都涉及到大量的资金和信息。“你找出任何一个漏洞,带来的价值将超过我们想象。”陈树华说。统计数据显示,在移动端,IOS系统的漏洞,2015年比2014增长1.28倍。安桌更恐怖,今天应用市场应用97%都有漏洞的,平均每一个应用上面达到87个漏洞,很多都是高危漏洞。
陈树华一直做移动互联网,他发现,在这之前,手机感染病毒非常的低,但随着整个互联网业务高峰发展,18%手机装过病毒,其中95%是因为安装了仿冒的移动热门应用。
不完全统计,目前中国网络黑色产业链的“从业者”已经超过了40万人,依托其进行网络诈骗产业的从业人数至少有160万人,“年产值”超过1100亿元。
2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,发布的《网络黑色产业链年度报告》显示,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链。从业者主要分布在二三线城市,是年龄介于15至25岁之间的无业年轻人。腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰6月平均每天6.8万名用户中毒。
黑色产业的发展,也给各个公司的安全团队招人带来了困难。
“我的团队完全是社会招聘,现在发现一个好苗子实在太难了。”郑文彬说。很多黑客都被黑色产业卷走,剩下的这些人,有着一个比较统一的性格标签,“道德洁癖”。因此,吴石、郑文彬们愿意出现各种黑客大赛上,甚至公开演讲,希望能够引导年轻人,走正确的路。
米特尼克是历史上第一个因网络犯罪而入狱的黑客,也是第一个被FBI通缉的电脑黑客。他在15岁的时候,就入侵了北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,后来又先后入侵了太平洋电脑公司、联邦调查局等系统。2002 年出狱后,他出版了畅销书《欺骗的艺术》,成为全球广受欢迎的计算机安全专家之一。
米特尼克曾说,骇客是条错误的道路,如果能回到过去,他绝不会重蹈覆辙。
奇虎360核心安全负责人郑文彬在黑客界有一个响亮的代号:MJ0011。
“袁炜”们的尴尬
并不是所有的人,都进入了大公司。那些单独作战的孤狼,有时也会面临尴尬的境地。
最近一个安全大会上,一位父亲闯了进来,拿着一沓打印的资料,希望有人能够帮到他的儿子袁炜。
2015年12月3日,袁炜对世纪佳缘网站进行SQL网络漏洞注入攻击,并把漏洞发在了与世纪佳缘有合作的乌云平台上。12月4日,乌云通知了世纪佳缘存在SQL数据库注入漏洞。但随后,世纪佳缘选择了报警,称袁炜获取了900多条有效数据。袁炜最终被批捕。
袁炜不是个例。
2011年低,中国互联网爆发了一次大规模用户信息泄漏事件,当时天涯社区、技术开发网站 CSDN、游戏门户多玩网、婚恋网站珍爱网等多家网站用户资料被泄露,被业内人士称之为“脱裤门”。京东商城也没有幸免。
2011年4月,贾伟,常用ID“我心飞翔”在京东购物时,无意间发现了京东“后门”(技术漏洞),可以获取京东所有客户账号和密码及个人信息。随即,他将这一漏洞反馈给京东,一位技术人员“鱼蛋”主动联系贾询问漏洞,表示将在第一时间内修复。
贾伟连续跟踪观察领了8个月,发现漏洞没有实际性的改变。他便把漏洞发布在了乌云平台上,京东也验证了自己存在的漏洞,并以官方身份进行了漏洞确认。但京东技术人员还是无法确认具体的漏洞所在,贾伟表示只要聘请自己为高级技术顾问,并支付约240万元劳务费,就可以为京东商城修复该漏洞。结果,京东商城以网络被入侵并被“敲诈勒索”为由,向北京朝阳区公安局报警,2011年12月30日,贾伟被警方带走,一个多月后,被保释出狱。
“这就像我家有个后门,开着,但我没有允许你进来看啊。你不但进来了,还把我家房间的摆设都看了一遍。我当然不高兴了。”孙义(化名)在一家大型国产手机厂商做安全运维——负责与黑客接触,发现漏洞并作出响应。
孙义虽然在会上看到了袁炜的父亲,却没有对他的遭遇表现出同情。“乌云也只是一个平台,你把信息发在上面,出了事,他们一样不管的。”
每个月,孙义都能收几十起安全漏洞的报告。“我们会给他(发现漏洞的黑客)一些精神奖励,给他证书,甚至帮他申请国际漏洞编号。这些他都可以写在他的简历里,找工作好使啊。”至于金钱上的报酬,没有。
“我们鼓励‘白帽子’一起建设安全生态,会给漏洞发现者提供精神和物质上的双重奖励。”阿里巴巴安全总监陈树华说。
而京东也在贾伟事件之后,设立了应急响应中心。京东商城信息安全部经理李学庆说,作为一个安全应急响应中心,和腾讯的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一样,京东的 JSRC 有一个主要任务——堵住一切有可能产生破坏的漏洞。
不过,与国外的厂商相比,国内厂商给予的奖励仍然缺少竞争力。根据京东的数据,提交任何可以攻击京东的漏洞,大概能够获得1000元的京东购物卡奖励。在6.18 之前,京东搞了一个双倍积分的活动,“白帽子”提交高危漏洞,最高可以得到折合价值12000元的奖励。
====================================分割线================================
本文转自d1net(转载)