原標題：白帽黑客傳奇:網絡安全高手年入幾百萬不稀奇

席卷全球的“永恒之藍”WannaCry(想哭)勒索病毒,宛如打開的潘多拉魔盒,讓整個互聯網行業如臨大敵,互聯網安全的警鐘再次敲響。而這背后,一條以“黑客”為主導的網絡黑產產業鏈漸漸浮出水面。金錢和信息從來沒有像今天這樣與互聯網技術緊密聯系在一起,這給了黑客們接近財富的機會。“一念天堂一念地獄”,是黑還是白,考驗著他們的底線。

數據來源/360　制圖/張銘偉

■與病毒賽跑

鎖定病毒樣本,72小時完善“補丁”

“雖然我們早有預警,但真正爆發了還是讓所有人都感到不可思議。”5月12日下午,在民眾意識到“永恒之藍”WannaCry(想哭)勒索病毒在互聯網上全面爆發前,北京360總部大樓內,一場互聯網病毒阻擊戰已經全面打響。

作為這家公司首席安全工程師,鄭文彬深知這個病毒的威力:全球150多個國家的無數臺電腦瞬間籠罩在病毒陰影之下。

除了波及范圍廣、中招個人用戶多之外,此次病毒攻擊還涉及醫院、教育、公安、石油、民航和鐵路等公共基礎設施。其中,英國國立醫療服務(NHS)在此次病毒攻擊中受到重大影響,英格蘭、蘇格蘭許多醫院正常的治療活動受到影響,英國政府表示,在NHS全國248個醫療機構中,共有48個受到了攻擊。而中國的一些高校是病毒剛開始發作的重災區之一。360監測數據顯示,5月12日“想哭”勒索病毒發起全球攻擊后,在中國部分校園網開始擴散,夜間高峰期每小時攻擊約4000次。

與此同時,北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在5月13日凌晨突然斷網,造成無法刷銀行卡及使用網絡支付,一天左右后才基本恢復正常。青島也有個別企業局域網遭到病毒勒索,經過緊急處理才脫險。這一切正如360董事長周鴻祎所言,“感覺像極了打開了潘多拉魔盒。”

5月12日17時許,在發現病毒警報兩小時后,鄭文彬迅速聯動其所在的技術團隊、產品團隊、客服部門以及負責企業安全的部門,成立了第一個應對這個病毒事件的群。此后,在360大樓6層應急響應中心,一個由各個部門聯動組成的安全技術團隊,都聚集在一起辦公,不論白天和晚上都保持十幾個人在那里值班,“為了避免更大損失,我們一直在跟對方賽跑”。

“偶然背后都有必然。”在與勒索病毒交戰過程中,反病毒工程師劉海粟感觸頗深。在病毒爆發的5月12日晚上,劉海粟接到線索,一名用戶的計算機遭遇入侵。在幫助用戶遠程看電腦Windows系統日志的過程中,劉海粟起初沒抱太大希望,但突然看到服務啟動這一項,憑經驗看不是正常程序,從而鎖定病毒樣本。鎖定之后,后續的分析就有的放矢了,他和團隊一起很快提出應對策略。

5月13日下午,應急響應中心里傳出好消息,終于解密了該病毒存在設計上的一個漏洞,當天晚上技術團隊接著熬夜做恢復工具,5月14日凌晨2點,工具正式發布。

“在360安全衛士5億用戶中,僅有約20萬沒有打補丁的用戶電腦被病毒攻擊,但基本都被攔截下來。正常安裝和開啟360的用戶不會中毒。”360安全產品負責人孫曉駿說。而針對不少企業和政府的計算機系統,沒有官方補丁的系統,或者官方補丁打不上的系統,鄭文彬的團隊又在5月15日上午發了一個熱補丁,以化解此類用戶的危機。此時距離蠕蟲勒索病毒爆發剛好72小時。

■“黑白”之爭

“攻防戰”就像打競技游戲

潘多拉魔盒被打開了。打開魔盒的黑手,正是游走于地下的網絡黑客。他們隱藏在黑暗之中,伺機而動,防不勝防。

鄭文彬告訴記者,勒索病毒是黑客利用美國國家安全局NSA不慎泄露的黑客武器“Eternal　Blue(永恒之藍)”進行的變種攻擊。無需任何操作,開機上網黑客就能在電腦和服務器中植入勒索軟件。一旦感染,電腦內的文件會被黑客加密,受害者需要支付300美元以上的贖金才能解密,且贖金隨著時間推移增加,如果一周內不付贖金,被加密的文件就會被“撕票”銷毀。

不過截至5月18日上午,全球僅有292人交了贖金,共約8萬美元。一方面,安全廠商在積極做數據恢復,很多機構通過斷網和安裝補丁阻止病毒擴算,另一方面,很多人和企業并不相信黑客。黑客也“食言”了,據說打錢的人并沒有收到數據解密,這甚至讓黑客圈發出了“盜亦有道”的呼吁,告誡勒索者“要言而有信,不要毀行業名聲”。

“黑客本來是個帶有褒義的詞,但是隨著病毒泛濫,黑客開始和網絡犯罪聯系在一起,黑客這個稱謂也有些變質了。”360反病毒工程師劉海粟介紹,為了區分“敵我”,網絡上把從事網絡安全防衛的黑客稱為“白帽黑客”,而從事網絡攻擊的則稱為“黑帽黑客”,另外還有介入黑白之間的“灰帽子黑客”。黑白之爭,攻防不斷。

360企業安全集團董事長齊向東曾用一個場景形象地說明三種黑客的區別:“看到有人家門沒關,進屋偷東西的是黑帽子;進屋轉一圈,再對你說‘門沒關嚴’的是灰帽子;提醒你‘門沒關嚴’,在征得同意后幫你把門關上的是白帽子。”如同人類進行語言表達時,常會出現語法、邏輯上的錯誤一樣,計算機語言中的“語法錯誤或邏輯性錯誤”,都叫“漏洞”。其實,無論是什么帽子,他們的“獵物”都是這些網絡漏洞。網絡漏洞是指在信息產品軟硬件、協議實現或安全策略上存在的缺陷,可以讓攻擊者在未授權的情況下訪問或破壞系統。當企業發現或被通知產品存在漏洞時,會積極進行針對性的修復。

“坊間對于‘黑客’的種種遐想都屬于一廂情愿,黑客多數是普通人,不過是術業有專攻,選擇了一個相對窄小的、不為外人熟悉的領域而已。”劉海粟始終不覺得自己的職業跟別人有什么不同。

1987年出生的劉海粟在上大二的時候開始接觸這一行當,當時他和一群好友整天研究如何尋找殺毒軟件漏洞,雖然技術還比較粗陋,但找到一個別人未發現的小漏洞照樣成就感十足。

2010年劉海粟正式進入互聯網安全行業后才發現,自己當初那點小得意是多么業余。“無論白帽黑帽,不斷學習是他們的共同特質。”劉海粟說,除了各種專業知識,行業里的“大神”也是他們學習的榜樣。

前文提到的鄭文彬就是劉海粟心目中的大神之一。鄭文彬與劉海粟同齡。2006年底,鄭文彬接受360邀請來北京時,只有19歲,彼時的網絡安全市場才剛剛起步。

初見鄭文彬,很多人可能會誤以為他是搞藝術的,但在黑客界,他有一個響亮的代號:MJ0011。

今年3月份,鄭文彬帶領的團隊在加拿大舉行的世界黑客大賽“Pwn2Own　2017”中戰勝來自全球的10支頂尖黑客隊伍奪得冠軍。比賽中,戰隊不僅只用時3秒鐘便攻破Adobe公司的PDF閱讀器,還先后拿下了蘋果Safari、MacOS、Flash、Windows10等項目。大賽最后一天,戰隊挑戰被稱為“史上最高難度”的連環破解項目,最終在63秒內,遠程攻破Edge拿下Win10系統權限,并突破VMware虛擬機成功逃逸,這也是Pwn2Own舉辦十年來首次打破VMware的“不敗金身”。

白帽黑客與黑帽黑客之間的對決就在于對網絡漏洞的攻防上。兩者之間的“攻防戰”就像打競技游戲,黑客們尋找系統漏洞的過程,就如同要在地圖要安裝的炸彈。“黑帽黑客發現漏洞,就會安裝炸彈,但白帽黑客發現,就會發出預警做好防衛。”

2015年,意大利的黑客公司Hacking　Team被入侵,公司郵件內容被公布,其中包含了很多漏洞信息。漏洞被公布在網絡上,擴大了危害面,黑帽黑客會利用公開出來的漏洞攻擊普通人。

這時候就是白帽黑客和黑帽黑客在賽跑。最終,360Vulcan團隊花了四五天從幾百G的文件中找到3個漏洞,涉及微軟、Adobe等廠商,立即報給廠商去修復,避免損失擴大。

采訪中,有業內人士也曾透露,因為擋了黑帽黑客的財路,有公司就曾被堵門,不僅如此,有些白帽黑客也曾收到過恐嚇短信。

■模糊的“界限”

“白帽黑客”年入幾百萬不稀奇

同樣是有千里之外攻城拔寨的功力,很多時候白帽與黑帽的界限并不明顯。

近期,青島警方破獲了一起非法竊取、販賣公民信息案件,摧毀了從黑客竊取到網絡販賣的全部犯罪鏈條。其中,犯罪嫌疑人張某(男,27歲,濰坊人)自2015年底利用黑客技術暴力破解某第三方支付平臺,并編寫“一種神奇的軟件”、“一種神奇的軟件2017”。販賣給下線,而下線則利用這一軟件非法獲取下載公民身份證及銀行卡等個人信并最終實施犯罪。據警方公布的數據顯示,這伙“個人信息大盜”獲利近百萬元。

“2008年前,白帽黑客在中國生存環境不好。”鄭文彬介紹。

一是收入不高。當時安全產業主要靠傳統方式賣安全軟件,一套光盤幾百元。產品價格貴,安全公司線下銷售成本高。技術高手賺不著錢,被迫去當黑客:稍有“良心”的,從事流氓軟件、販賣隱私;沒底線的,就會涉及經濟犯罪。除了不掙錢,當時社會對網絡安全領域不重視,從業人員地位不高。就個人素質而言,安全行業對天賦的要求甚至高于職業體育。很多頂尖高手甚至中學都沒上完,在傳統就業門檻面前,水平再高也難找工作。“所以當時很多技術很強的人要么轉行,要么就潛下去干了黑產。”鄭文彬說。

2008年后,安全行業發生大變革。360率先宣布做免費殺毒,這種商業邏輯是做大用戶數量,通過用戶流量帶來廣告和其他方面收入成級數級增長。

完成了這輪產業變革,這些年伴隨著中國互聯網紅利釋放,國內的安全公司無論是技術還是資金實力,都有了質的提升。技術過硬的“白帽黑客”在安全公司,有年薪、股票期權和比賽獎金激勵,收入不菲。“國內頂尖白帽子收入已經超過國外同行的收入水平,年入幾百萬甚至上千萬的不稀奇。”鄭文彬說。

地位提升也讓白帽黑客越來越有底氣。國家網信辦、教育部、科技部等多部門下發的文件指出,國家戰略層面要大力推動安全人才培養,行業數據顯示:2020年,我國重要行業的網絡安全人才需求量超過140萬人。

勒索病毒潮反思:

國家安全需要

“實戰試金”

勒索病毒潮事件背后,需國民整體安全素質提升。通常,我們認為企業和機構的內網是絕對封閉和安全的。但實際上,因為人員龐雜,操作不規范,導致病毒入侵。

另據IDC數據顯示,中國政府企業IT系統的建設投入中,安全投入金額只占2%;發達國家是9%;一分投入,一分收獲,勒索病毒潮中,金融系統因為對抗風險的能力、意識和投入最大,損失也是最小的。

實戰是最大的試金石,任何行業都是如此。這段時間,網上曝光多起傳統武術和自由散打人士比武,引發輿論對傳統武術“實戰型”的思考。

國內安全行業的實戰性較為樂觀。很多安全廠商內部會有安全AB隊,彼此互促,競爭十分殘酷;廠商間的競爭也如此。

任何行業,都是“實戰造行業整體強大和發展”。無論是勒索病毒和未來的種種危機,恰恰是對國內安全產業的“大考”,無論是國內黑產,還是國家間的安全對抗,都需要篩選出可以快速啟動和響應危機的“能力型供應商”。

參加“極棒”的比賽,最左側是孫磊,中間是趙漢青。(受訪者供圖)

本地人物

立志做醫生卻成“網絡醫生”　最不能接受的是:常被別人評價為“修電腦的”

其實在青島,也活躍著一群為維護網絡安全孜孜不倦的人。

趙漢青今年22歲,出生于即墨,目前是中國海洋大學信息科學與工程學院計算機科學與技術系一名大四學生,也是中國海洋大學信息安全實驗室(以下簡稱實驗室)的骨干成員。

5月18日下午,記者到海大采訪時,趙漢青正帶領著實驗室的隊員們對網絡安全領域的一些問題做分析和研究。

趙漢青一米八的個頭,瘦瘦的身材透露著一股子干練。

據介紹,趙漢青只是實驗室里的本科成員,而這個實驗室的成員還包括導師、博士生、碩士研究生等共計四十余人。

他們研究的是網絡安全領域,包括系統安全、協議安全以及密碼學。“系統安全中,有PC端、手機端的安全。協議安全中有網絡協議安全,比如是不是釣魚WiFi,或者假WiFi。再者,密碼算法是否存在問題等。”趙漢青介紹,這些都是他們研究目標中較為常見的。在這一領域里,只有22歲的趙漢青已經可以稱得上是業內的“武林高手”,甚至是校園里的“掃地僧”。

據介紹,他目前已經是國內頂尖的網絡信息安全公司長亭科技的安全研究員,世界三大黑客賽事之一的GeekPwn(極棒)名人堂成員。他在熟悉的智能設備漏洞挖掘與利用、Android本地權限提升漏洞挖掘與利用、瀏覽器漏洞挖掘與利用等方面非常專業,并且屢屢在國際、國內的大賽中獲獎。不過讓人意想不到的是,其實四年前的他還僅僅是個只會玩玩游戲的電腦“門外漢”,而且他的人生目標也并非是要成為一位計算機工作者。

趙漢青介紹,他的親戚當中有多位成員是醫生,所以從小,家里人也一直想把他培養成一名醫生。“當時在填報志愿的時候,我選擇的學校基本都是專業的醫學院校。”不過,趙漢青并未被醫學院校所錄取,最后他被中國海洋大學所錄取,并一直在信息科學與工程學院計算機科學與技術系學習。“現實中醫生的職責是為人看病治療,不過我現在也是‘看病治療’,只不過我服務的對象是計算機或者網絡,找出它們身上的‘毛病’,并‘對癥下藥’。”趙漢青笑著說。

幾十萬條指令里找BUG

5月13日,2017國際安全極客大賽GeekPwn年中賽在香港舉辦。趙漢青和他的搭檔孫磊演示了對十個知名品牌的路由器的攻擊過程,在接入無線網絡之后,幾秒鐘即可獲取路由器的最高控制權限。

在演示的攻擊場景中,在攻破路由器之后,就可以接管用戶的所有流量,任意篡改用戶的上網請求,劫持DNS域名解析過程,用虛假的登錄界面替代用戶的網銀頁面,獲得用戶的網銀賬號和密碼,進而威脅到用戶隱私和財產。

此次比賽中,他們獲得了大賽第二名,贏得10萬元獎金,并進入極棒名人堂。

其實,這次的比賽主要是由孫磊來負責展現。孫磊,1995年出生,今年也是22歲,是海大信息科學與工程學院計算機科學與技術系的一名大三學生。

5月18日下午,雖然離GeekPwn年中賽已經過去5天時間了,但當說起這次比賽時,孫磊那喜悅激動的心情溢于言表。孫磊說,這是他第一次參加這么高級別的比賽,而且還拿到了大獎,讓他一直興奮不已。孫磊性格內向,但這恰好能夠讓他沉下心來做事。2014年進入大學之后,他就順利加入了信息安全實驗室,跟著這個科研團隊里的導師以及師哥師姐們學習歷練。

三年的時間里,他從一個“傻白甜”已經變身為實驗室里的骨干成員。針對智能路由器設備中的內存漏洞,孫磊從今年的2月底便開始進行專門的分析研究。

當時,他在一家網絡銷售平臺輸入路由器的關鍵詞之后,把銷量、評價都比較高的路由器全都買了個遍。“盡量把一些大品牌的路由器全都買到,這樣我們的研究也更客觀。”孫磊說,當時一共購買了十多個品牌智能路由器,然后開始尋找這些路由器的內存漏洞及其他漏洞。

孫磊回憶,在拿到一個設備時,第一件事情通常是去收集一些關于固件、架構、端口等信息以方便分析攻擊面,之后要經歷漏洞挖掘、漏洞利用、演示準備、撰寫文檔等環節。孫磊說,真正破解一款路由器的話其實并不需要太久,完成一個設備的破解長則需要一周,短的話其實一晚上就夠了。

“不過這項工作是非常枯燥的。”孫磊說,與人腦用語言來思維一樣,其實機器也有自己的語言,機器語言是使用“二進制代碼指令”表達的計算機語言。指令是用0和1組成的一串代碼,它們有一定的位數,并分成若干段,各段的編碼表示不同的含義。

說起這次對智能路由器內存的分析,他稱“這個過程相當于至少從幾十萬條的指令里找出邏輯的疏漏和BUG。”

“幾十萬條的指令,就這么一條一條地看,然后去分析,做完這十多個路由器的破解工作整整用了兩個多月的時間。”孫磊說,由于平時還需要上課,這些工作都是他在課余時間完成的。“可以說,沒有足夠的興趣的話是肯定無法堅持下來的。”孫磊介紹。“從大量的計算機語言中找出邏輯漏洞,作為一個‘白帽’來說,有耐心、不浮躁是必須要做到的。”趙漢青說。事后,趙漢青也表示,此次比賽中所展示的這些漏洞不會流入社會,他們已提交各大路由器廠商對漏洞進行修補。

“不過有時候我們的工作并不被人理解。”趙漢青說,他們自己挖漏洞,一者是興趣使然,另外也是在為網絡安全做貢獻,發現哪家網站或者哪個企業的系統漏洞,可以提醒他們及時打補丁,避免被“黑產”們利用造成損失。“然而一個尷尬的現實是,被發現漏洞的企業中有部分往往對我們的好意抱以懷疑的態度。”

“最不想被人說成修電腦的”

趙漢青和孫磊都是中國海洋大學信息安全實驗室的骨干成員。尤其是對趙漢青而言,四年的大學生活基本上都是在實驗室里度過的。

從大一下半學期開始,他就自己跑去找研究生導師,并毛遂自薦進入了研究生的實驗室。在實驗室,他完全按照研究生的方法做學術科研,甚至爭取到了自己的座位。

盡管大學四年的時間他在計算機方面取得了很多的成績,但有時候他還是會羨慕文科生,“他們好像都生活得詩情畫意一般。”趙漢青笑著說。

不過,最令他無法接受的是,他們這個專業被很多人錯誤地評價為“修電腦的”。

“怎么才能成為黑客呢?能幫我找回QQ嗎?你會盜QQ號嗎?幫我盜一個吧?知道對方的IP,要怎么控制對方?幫我修改個數據充個會員唄?”這類的問題,往往會讓許多計算機專業的學生無言以對。“可以幫我修電腦嗎?”更是讓他們難以接受。

“修電腦這個問題不僅是黑客最怕的,對任何計算機專業出身的同學來說,都是惡夢。”事后,趙漢青也說。

另外,在采訪中,趙漢青向記者介紹,路由器作為家庭的上網入口,連接了許許多多的設備,不僅筆記本電腦、手機需要連網,還有越來越多的智能設備。例如,攝像頭、網絡電視、智能插座、智能烤箱等也同樣接入了家庭網絡。因此,路由器這個網絡入口設備的安全性就顯得尤其重要。一旦路由器存在安全漏洞被黑客攻破,家里的其他設備就會更容易被監聽、劫持,甚至長期植入后門。“這也是我們為何一直研究路由器的一個原因。”

他還特別提醒,平時通過一些措施可以大大降低自己家路由器被攻擊的幾率,比如說設置非常復雜的連入口令,再者不要讓不可信的人連入你家的WiFi等。

半島全媒體記者　景毅　徐新東

[編輯：帛幼]