便捷的信息產品��、服務和應用已成為人類社會生活賴以運轉的必需品��,信息安全的重要性不言而喻�。近年來發生的海量用戶數據泄露����、智能設備遭非法遠程控制�����、網絡勒索橫行等事件已成為全球性問題�����。據估算����,2016年網絡相關犯罪造成的損失超過4500億美元����。如果說網絡有江湖��,那亦是風雨飄搖�����,自古江湖正邪不兩立��,既有惡人橫行�����,自有俠客出山��。“白帽黑客”作為網絡江湖俠客�,正逐漸走入人們的視野�����。
在這一背景下�,2016年11月至今年1月����,美國陸軍開展了名為“黑進軍隊(Hack The Army)”的賞金計劃���,包括征兵網站和陸軍數據庫等重要信息系統在軍方授意下公開經受黑客的輪番測試�����。美國軍方共收到400多份漏洞報告��,派發獎金超10萬美元���。此外還將部分高危漏洞詳情向社會披露����,并計劃篩選出優秀“白帽”為國效力��。
1 黑客和他們的“帽子”
黑客(Hacker)指精通計算機技術�����,專注于程序設計的電腦高手��,通過挖掘安全漏洞進而可以破解密碼����、控制計算機�����、竊取數據的神秘群體�����。“黑客”的稱呼最初是中性甚至是褒義的���,擁有“自由”“共享”“創造性”的獨特文化��。黑客往往會通過漏洞工具自動化掃描�����,獲得一幅系統“漏洞地圖”后嘗試對信息產品和服務進行攻破��。網絡上無所不能的神秘黑客��,在現實生活中可能是普通學生�、程序員����、工程師����、研究人員或自由職業者��。
技術作為工具并無曲直����,但使用者的目的卻大相徑庭�。黑客大體可分為“白帽黑客”“黑帽黑客”和“灰帽黑客”三類����。“白帽黑客”會利用自己的能力維護信息安全�����,發現漏洞后及時向廠商或有關部門進行反饋����,保證漏洞在被惡意行為者利用前及時修復�,提升產品系統的安全性��;“黑帽黑客”則是利用技術損害產品和用戶安全惡意獲利的一群人����。媒體上有關黑客攻擊的報道指的就是“黑帽黑客”����,例如臭名昭著的全球最大黑客組織“匿名者”��,其核心成員超過千人��,針對政府和企業系統發動攻擊以表達不滿���,五角大樓��、美中情局��、索尼公司�����、萬事達公司和希臘央行等網絡系統均是其攻擊目標��。而“灰帽黑客”則是游走于二者之間�,既不以維護網絡安全為己任����,亦不齒于為害一方�,其關注重心只在于純粹的炫技�����,追求的是技術超越帶來的成就感�����。
換言之�����,“白帽”為安全而技術���,是網絡安全的建設者�����;“黑帽”為利益而技術����,是網絡安全的破壞者�����。黑與白的界限往往非常模糊�����,仿佛蒼茫大海中的白濤與黑浪�����,游戲世界中的白魔法與黑魔法��。白帽子一念之差可能鋌而走險���,黑帽子浪子回頭會變為網絡安全的堅強捍衛者��。
2 網絡漏洞:黑客的獵物
無論戴著什么樣的帽子��,對于黑客而言���,唯一的“獵物”就是網絡漏洞�。網絡漏洞是指在信息產品軟硬件���、協議實現或安全策略上存在的缺陷�����,可以讓攻擊者在未授權的情況下訪問或破壞系統�。當企業發現或被通知產品存在漏洞時����,會積極進行針對性地修復����。漏洞具有全球化�����、通用性等特征���,目前數量迅速增長���,影響范圍和程度不斷增大�����,是對國家安全�����、經濟發展的巨大威脅�。
打個比方���,信息技術公司好比“錢莊”�,負責保管用戶的各類財產——我們的言行��、資料�、財產均以數字化形式被“錢莊”收集�����、保存���、分析和利用��。漏洞就是“錢莊”整個運行流程中的風險點�����,當然���,大多數“錢莊”的金庫圍墻不會有缺口����,窗子也裝有護欄��,會雇傭守衛看護��,用戶存取財產也需要提供憑證�����。但安全風險并未完全消除:惡意行為者可以雇傭大量閑散人員在柜臺排隊導致“錢莊”無法為真正的用戶提供服務�����;守衛監守自盜����;年久失修的圍墻出現裂縫���;市場上出現可以悄無聲息剪開護欄鋼筋的便攜液壓剪�����;或者直接通過地道挖進金庫���。黑客就是不斷找出這些漏洞的一群人�。
網絡漏洞具有全球化���、通用性的特征��,能夠以點破面�,筑再高的墻�,換再復雜的門鎖都難免疏漏���。那么是不是把金庫建造成銅墻鐵壁����、堅不可摧�、處處監控�����、只進不出甚至深埋海底就可以保障絕對安全了呢���?答案是否定的�����。首先信息領域沒有“堅不可摧”���,安全系統很快會隨著技術更新變得不堪一擊�,安全系統需要不斷更新維護��;其次���,互聯網的本質是信息數據的自由流動和充分利用�����,“錢莊”的龐大金庫需要被頻繁存取訪問�����,易訪問性必須得到保證�����,所以不具備絕對安全的條件�����。
因此���,無論設計多么巧妙���,實現能力多么強大����,經過多少輪測試檢驗�����,任何信息產品和服務都不可避免地存在漏洞�����。信息產品安全不可能一蹴而就��,需要在產品的整個生命周期中得到重視����,能夠及時發現并修復漏洞才是負責任企業的正確做法�����。以安全著稱的蘋果iOS系統僅在2015年就有387個安全漏洞被曝出��,而微軟的“視窗XP”系統在十多年的漫長生命周期中也有726個漏洞被曝出����。正是因為這些產品的關注度高�����、用戶量大��,才會在“聚光燈”和“放大鏡”下被研究得更徹底�,修補漏洞后的產品也才會更安全和完善���。因此��,致力于發現并修補漏洞的白帽黑客們無疑是信息安全保障的重要助力之一�。
3 “白帽黑客”與江湖歷練
當然����,漏洞不光是黑客們的獵物���,亦是傳統殺毒軟件公司的勢力范圍�����。只不過殺毒軟件是漏洞被利用后“亡羊補牢”����,“白帽黑客”則是主動在羊圈外“巡視缺口”����,力爭未亡先補�����。“白帽黑客”作為維護網絡安全的民間力量不斷得到各方肯定與重視��,同時他們也面臨各類誘惑和困境��。
社會偏見����。為吸引眼球�,大眾媒體往往對于黑客相關的新聞過度神秘化�����,所有負面安全事件均歸結到“無所不能”的黑客身上�。技術公司往往對“白帽黑客”未經授權的測試行為不滿�����,并懷疑其主動報告的動機����。政府往往抵觸“外部黑客”的幫助�,更不會建設獎勵機制��,打造正向反饋�。
金錢誘惑��。在地下黑色產業鏈中��,惡意利用漏洞變現的速度驚人�,一個高危漏洞在黑市上可以買到六位數的高價����,而“白帽黑客”通過正規渠道只能得到象征性的物質獎勵�����。盡管“白帽黑客”對技術和安全的追求高于對金錢追求��,但面對數十倍的收入差距和一夜暴富的誘惑�����,心存“網絡犯罪難以追蹤”的僥幸��,不少黑客且將白帽換黑帽�,不可避免地進入地下黑產鏈條�����。
年輕氣盛�����。年輕化是黑客團體的一大特點���。根據“HackerOne”漏洞報告平臺調查��,35歲以下的黑客占比超過九成�����。手握最新技術�、雄心勃勃但閱歷不足的年輕人面臨抉擇時即便不受金錢吸引����,但難免不受聲名所累��,迫切希望通過發起“破壞性”事件一舉成名���。因此����,作為一名“白帽黑客”����,心志必須堅定到年輕且耐得住寂寞��。
行為邊緣�。檢測漏洞行為處于法律和觀念的模糊邊緣�。法律中對“白帽黑客”自發性檢測系統漏洞(如黑進目標網站但不進行破壞)的行為是否構成犯罪尚未有明確界限���,諸多空白區亟待填補��。就像在沒有得到授權的情況下����,某人在“錢莊”外不停巡視�,進行“模擬攻擊”��,利用各類工具試探圍欄結實與否��,防盜門鎖安全強度如何����,甚至使用偽造憑證辦理業務��。這會讓大部分“錢莊”和執法者警惕和懷疑���。在一些公司眼中�����,“白帽黑客”就是“借機勒索的壞小子”���。
不受重視��。“白帽黑客”缺乏有效的報告渠道�����,往往只能向公司發送電子郵件��。不僅耗時漫長���,面對“白帽黑客”報告的漏洞信息�,政府和企業常常由于安全意識不到位而無動于衷���。美國“白帽黑客”David Helkowski曾在馬里蘭大學服務器發現能夠訪問大量學生和教員的個人數據的安全漏洞�,遺憾的是學校并未重視這份報告���。沒過多久���,超過30萬名該校在校生和畢業生的社會安全號碼等個人信息遭黑客竊取并曝光����。報告渠道受阻����、回應遲緩嚴重打擊“白帽黑客”的積極性�。
江湖圍堵�����。由于將漏洞信息透明化公開化��,由于其行為事實上會阻斷黑色產業的利益鏈條��,使得原本希望利用漏洞恐嚇公司和個人獲取暴利的安全公司或黑帽黑客惱羞成怒�,“白帽黑客”不僅可能遭遇“單挑”���,還極有可能面臨龐大黑色產業的圍堵��。
4 “白帽黑客”的出路
道高一尺�,魔高一丈����。隨著萬物互聯序幕的拉開�,安全漏洞風險如影相隨����,安全能力建設形勢更趨嚴峻��。“白帽黑客”作為維護網絡安全的重要組成力量���,其特殊性正在得到越來越多的重視���。社會需要給“白帽黑客”信任和展示能力的機會����,為其設定行為邊界����,并給出相應激勵�����,否則“白帽黑客”只不過是一個帶有浪漫主義色彩的稱呼而已���。當前����,美國政府�、企業和相關機構正在積極探索���,以期為他們提供“光明大道”��,通過一套較為完善的體系��,正確引導和激勵“白帽黑客”釋放正能量�。
實施“賞金計劃”��。一直以來���,美政府對獎勵漏洞發現者不感興趣�,對曝光的系統漏洞反應較為遲緩����。然而����,安全風險日趨復雜���,獨自應對難以為繼����,政府對黑客看法在不斷改變�。努力探索保障網絡安全的新方法�����,積極為漏洞的提交廣開言路是大勢所趨���。2016年3月到5月���,美國防部發起名為“黑掉五角大樓”競賽項目���,設置超過15萬美元獎勵吸引本國黑客向其信息系統發起攻擊����。該項目取得巨大成功�,兩個月的競賽項目共吸引1400名黑客參與���,發現的漏洞多達138個�。若通過外部商業安全公司發掘同等數量和質量的漏洞����,政府將花費超過100萬美元�����。防長卡特對結果非常滿意���,國防部認為演練有利于“發現漏洞并制定保護五角大樓網絡系統的應對措施”��。此次政府部門效仿商業公司獎勵“白帽黑客”的行為具有里程碑意義��,為未來與“白帽黑客”建立長期信任和合作奠定了基礎����。國防部嘗到甜頭后�����,宣布發展該項目為永久性項目��,擴大更多國防部系統和網絡加入測試�����。
除政府外�����,IT公司也積極行動����,轉變思路�。過去很長一段時間��,美國大公司并不希望自身產品被曝光存在漏洞�,有的公司甚至要求“白帽黑客”刪除相關漏洞信息���。其一���,公司往往懷疑“白帽黑客”的好意���,認為是在索要報酬���。其二��,若不及時“打補丁”����,會遭遇針對該漏洞的頻繁攻擊����。其三��,擔心影響企業聲譽����,曾有公司在產品漏洞曝光后股價暴跌��。隨著企業對產品安全意識的增強��,對“白帽黑客”提供的漏洞信息需求迅速上升���,企業會直接對“白帽黑客”送出獎勵�。谷歌�、雅虎�����、微軟等眾多IT巨頭設置本公司的漏洞獎勵計劃和安全響應中心���,鼓勵“白帽黑客”測試其系統�����。例如“臉譜”網建立了針對自己產品平臺的漏洞提交和獎勵頁面��,充分尊重黑客的隱私權和知情權并提供不少于500美元的獎勵���。谷歌設立獎勵計劃��,為找到安卓(Android)系統安全漏洞的黑客提供最高20萬美元的獎金�。
提供專業場所�。普通企業一般不會專門設置安全部門或漏洞獎勵項目�����,為有效對接企業需求和社會資源���,“眾測”模式應運而生�����。“眾測”是一種由廠商提供產品和獎金�����,漏洞平臺組織黑客為其尋找安全漏洞并分配報酬的生產模式��。廠商在降低運營成本的同時���,也充分調動了“白帽黑客”勞動的積極性����。如美國舊金山的“HackerOne”漏洞平臺吸引了來自150個國家的3000多名黑客注冊�����,為包括雅虎�、優步����、推特在內的超過500家公司提供漏洞測試服務�����。擁有強大號召力的“HackerOne”宣稱77%的公司能夠在24小時之內利用該平臺找到安全漏洞��,目前已經修復近四萬個漏洞�。“白帽黑客”注冊后提交漏洞信息�����,“HackerOne”通知公司進行修復廠商對漏洞有效性��、嚴重性和影響范圍做出評價����,在漏洞未被解決之前����,漏洞信息是加密的�,甚至平臺也無權查看這些信息�����,充分保護企業和“白帽黑客”的權益��。為吸引和鼓勵“白帽黑客”�����,“HackerOne”將漏洞獎勵金額下限設置為100美元��,并為高危漏洞提供獎勵金額參考��,最高漏洞獎勵可達3萬美元�����。
舉辦“武林大會”��。黑客大會是黑客文化交流的嘉年華��,來自全球各地的技術大咖齊聚一堂����,公開展示最新研究發現����。如久負盛名的黑帽大會(BlackHat)作為全球頂尖的安全技術會議�����,是信息安全界每一位研究者的夢想舞臺����,會議內容包括前沿技術培訓���,黑客安全團隊講演����、公司宣講等�����。RSA安全會議每年吸引數萬人參會��,幾乎所有安全研究人員都會參與其中�,展示研究項目��,研究行業熱點問題����。此外�����,CanSecWest���、DEFCON��、Qualcomm Mobile Security Summit����、HITB(hack in the box)�、POC (Power of community)�、HITCON �、CodeBlue 等側重點各不相同的會議更是多點開花����,“白帽黑客”參與度空前高漲���。
幫助驗明正身�。去年11月�����,美國防部制定了《漏洞披露政策》�,為“白帽黑客”們提供政策安全保障�����。該政策允許自由安全研究人員通過合法途徑披露國防部面向公眾使用的信息系統存在的任何漏洞��。該政策指出只要符合政策的限制和規定��,將不會對黑客發起執法和訴訟活動���,并可以為“白帽黑客”提供保護和證明��。此外��,美國防部高級研究計劃局(DARPA)的“Improv”項目和網絡挑戰賽��,也正在積極發掘網絡漏洞和網羅全球優秀的“白帽黑客”���。近年來�,美國執法部門已經開始嘗試直接從黑客大會現場物色黑客提供技術或為之效力��。
當前我國正處網絡強國戰略推進的關鍵階段���,信息技術能力和產業蓬勃發展的背后面臨日益增大的安全壓力���。政府����、企業�、組織和民眾對網絡安全認識和需求不斷提高���,除建立健全政企網絡安全信息共享機制����、完善政策法律保障��、明確企業責任外��,做好“白帽”人才儲備與有效使用亦應成為重要一環�����。從當前國際經驗來看���,如能妥善引導和規范“白帽黑客”��,保障“白帽黑客”合法權利�,無疑能夠極大激發民間力量����,為信息安全保駕護航����。 |
咨詢服務熱線:400-099-8848
