來源:《三聯(lián)生活周刊》 記者:王海燕
WannaCry勒索病毒橫掃世界,其實起點(diǎn)并不是5月12日,而是4月15日,微軟的漏洞利用工具被公告天下時。那一天,行動起來的黑客有兩種,一種在準(zhǔn)備血洗全世界的網(wǎng)絡(luò),另一種試圖發(fā)出預(yù)警阻止戰(zhàn)爭。雖然勒索病毒事件讓國內(nèi)眾多一線網(wǎng)絡(luò)安全公司股票全線飄紅,但對試圖阻止戰(zhàn)爭的黑客來說,戰(zhàn)爭早就發(fā)生了,他們并沒有獲得勝利。
未被重視的預(yù)警
“3月的補(bǔ)丁,4月的預(yù)警,早知道的事情……”這是陳宇森在病毒事件爆發(fā)一周后發(fā)的朋友圈。這句話看起來有“事后諸葛亮”之嫌,但他的確有資格這么說。他的團(tuán)隊早在4月15日就作為國內(nèi)首家,發(fā)出過跟這次事件相關(guān)的公開詳細(xì)預(yù)警,他們當(dāng)時預(yù)估,“這次事件影響力堪稱網(wǎng)絡(luò)大地震”,一語成讖。
陳宇森是一家叫長亭科技的網(wǎng)絡(luò)安全創(chuàng)業(yè)公司CEO,因公司在應(yīng)用層安全領(lǐng)域的技術(shù)突破和市場表現(xiàn),今年名列福布斯“30 Under 30排行”。4月15日,公司高級安全工程師李昌志在知乎專欄發(fā)表了一篇文章“方程式又一波大規(guī)模0day攻擊泄漏,微軟這次要血崩”,稱黑客組織“方程式”放出了一批微軟漏洞利用工具,所有Windows服務(wù)器將暴露在危險之中,堪稱“核彈級爆炸”。
圖:長亭科技CEO陳宇森
方程式據(jù)稱是美國國家安全局下屬的黑客組織,握有大量的頂級網(wǎng)絡(luò)漏洞利用工具。2016年8月,一個名叫“影子”的黑客組織號稱入侵了方程式,盜竊了大量工具,希望公開拍賣,要價100萬比特幣(價值接近5億美元)。或許是為了證實自己握有工具,“影子”團(tuán)隊曾陸續(xù)放出部分工具作為先聲。在拍賣一直無法成功的情況下,“影子”團(tuán)隊放出了更多的漏洞利用工具。
漏洞是一個網(wǎng)絡(luò)安全術(shù)語,指網(wǎng)絡(luò)硬件和軟件的設(shè)計缺陷,黑客可以根據(jù)這些漏洞,開發(fā)出專門的工具,任何人都可以下載這些工具,使用漏洞進(jìn)行入侵。0day攻擊則通常是指使用未知漏洞進(jìn)行攻擊。雖然文章中的部分漏洞,微軟已經(jīng)在3月給出了最新補(bǔ)丁,但是泄露出來的工具生產(chǎn)時間是2011年,之前一直在使用未知漏洞,所以仍然稱得上“0day攻擊”。而因為工具被公開,對沒有及時升級補(bǔ)丁或使用特定端口的所有用戶來說,立刻如赤膊現(xiàn)于重炮之下。
關(guān)于“影子”團(tuán)隊放出漏洞利用工具的消息,長亭科技內(nèi)部是幾名實習(xí)生最早在Twitter上看到的,時間是4月14日晚上10點(diǎn)左右。因為預(yù)感事態(tài)嚴(yán)重,公司安全團(tuán)隊連夜組織了員工討論,一邊確認(rèn)消息的準(zhǔn)確性,一邊開始組織測試。測試完畢,團(tuán)隊將危害的等級確認(rèn)為最高,隨即寫文章在知乎發(fā)布。長亭科技確定危害等級主要是從兩個維度,一是危害程度,二是影響范圍。而根據(jù)長亭科技團(tuán)隊的經(jīng)驗,國內(nèi)眾多政府機(jī)關(guān)、國企、高校甚至部分互聯(lián)網(wǎng)公司依然在使用未升級的老版本W(wǎng)indows,使用的也正是幾個易被攻擊的端口,需要特別注意。到4月16日,國內(nèi)還有其他網(wǎng)絡(luò)安全公司如360也給出了簡短的預(yù)警信息。
但也許是因為預(yù)警太專業(yè),也許是缺乏一線運(yùn)維安全人員,對包括多所著名高校和部分地方公安在內(nèi)的網(wǎng)絡(luò)系統(tǒng),這些預(yù)警信息并沒有發(fā)揮作用。清華大學(xué)計算機(jī)安全中心倒是于4月15日貼出過一則“預(yù)防攻擊、關(guān)閉相關(guān)端口”的公告,在病毒爆發(fā)后的微博和朋友圈里火了一把,成為“為什么要努力考清華”的新梗。
當(dāng)然,無論長亭科技還是其他安全公司的預(yù)警,都沒有提到“病毒”兩個字,因為他們也無法預(yù)知其他黑客下載這些工具會如何使用,實際上,勒索病毒只利用了那批工具中的一小部分,根據(jù)美國網(wǎng)絡(luò)安全公司Proofpoint的調(diào)查,在勒索病毒爆發(fā)之前,黑客已經(jīng)利用這些工具入侵了全球數(shù)十萬臺PC和服務(wù)器,遠(yuǎn)程操控這些設(shè)備進(jìn)行數(shù)字貨幣挖礦,入侵規(guī)模可能比勒索病毒更大,只是無人察覺,正如安全圈內(nèi)流傳的那句名言,“互聯(lián)網(wǎng)世界里,只分被黑過的和不知道自己被黑過的”。
畢竟對普通用戶和媒體來說,“漏洞利用工具”是一個陌生的名詞,病毒才是可以理解的。在勒索病毒事件爆發(fā)之初,甚至有媒體將之冠名為“比特幣病毒”,雖然比特幣只是黑客要求的支付手段而已。更多的人則將這款病毒與“熊貓燒香”聯(lián)系起來,看起來,那個屏幕上彈出來的紅框和10年前無數(shù)人電腦里彈出來的熊貓頗有相似性。
鮮為人知的漏洞
但勒索病毒和“熊貓燒香”除了名聲,幾乎沒有可比性。熊貓燒香是用蠕蟲侵入個人電腦,修改文件,損人不利己,更像一場“事件營銷”。勒索病毒卻直接指向經(jīng)濟(jì)收益,是一門可觀的生意。并且,隨著以比特幣為首匿名支付手段日漸成熟,從2014年開始,這門生意的市場就在持續(xù)翻倍增長,目標(biāo)則逐漸從個人用戶向高價值機(jī)構(gòu)用戶轉(zhuǎn)移,帶來影響更廣泛的公共影響。
除了動機(jī)不同,勒索病毒與“熊貓燒香”的不同還在于,熊貓燒香是通過用戶主動在網(wǎng)站上下載的文檔植入計算機(jī)并傳染,可以預(yù)防也可以治理。勒索病毒則是,利用“方程式”已經(jīng)為攻擊者找到并鋪好道路的Windows漏洞,橫掃所有符合攻擊條件的用戶,快速傳播,直接開啟了上帝模式。
陳宇森介紹,挖掘并利用類似的漏洞,也是所有從事網(wǎng)絡(luò)安全攻防的黑客的核心技能。1992年出生的陳宇森畢業(yè)于浙江大學(xué)竺可楨學(xué)院求是科學(xué)班,從大學(xué)時代進(jìn)入網(wǎng)絡(luò)攻防領(lǐng)域,曾是源自清華大學(xué)的著名網(wǎng)絡(luò)安全技術(shù)競賽和研究團(tuán)隊“藍(lán)蓮花戰(zhàn)隊”的一員。陳宇森的創(chuàng)業(yè)公司伙伴也大多來自這個戰(zhàn)隊。
如果利用病毒入侵網(wǎng)絡(luò)只需要一個簡單程序,那高水平的漏洞挖掘和利用,則需要掌握系統(tǒng)的計算機(jī)知識,從編程、匯編到操作系統(tǒng),以及逆向工程,都要有所涉獵,同時還需要如同排雷手般豐富的經(jīng)驗。雖然媒體經(jīng)常曝光一些“天才少年”,以后者入侵了大型重要網(wǎng)站為例彰顯他們的水平,黑客圈也充斥著各種掌握極大量數(shù)據(jù)的傳奇黑客。但在陳宇森看來,這些人都算不上真正的或者說頂級黑客。
對,和大眾的固有印象不同,相比安全人員這個標(biāo)簽,陳宇森更希望稱自己是一名黑客。對他來說,黑客應(yīng)該如同其英文母詞“hacker”一樣,是對計算機(jī)有狂熱愛好和深入研究者的中性描述。他引用第一個破解iPhone的著名黑客Geohot的話,說黑客精神的核心是:“我渴望權(quán)力,不是針對人的權(quán)力,而是針對自然力量和技術(shù)目標(biāo)的權(quán)力。我只是想知道這一切是如何運(yùn)作的”。
在黑客圈內(nèi),黑客也有白帽黑客和黑帽黑客之分,兩者都會挖掘漏洞,這也是他們交手的主戰(zhàn)場。不同的是,白帽黑客將漏洞交予廠商和第三方平臺,幫助修復(fù)產(chǎn)品;黑帽黑客則利用漏洞獲得非法收益。陳宇森也不知道為什么,在中國,黑客直接成了一個負(fù)面詞語,“有點(diǎn)逼良為娼的意思”。
長亭科技首席安全研究員、還在清華大學(xué)就讀博士的楊坤,就是一名典型的白帽黑客。他經(jīng)常帶領(lǐng)公司和學(xué)校的團(tuán)隊進(jìn)行各類攻防比賽,挖過模擬漏洞,也挖過真實的互聯(lián)網(wǎng)產(chǎn)品漏洞,他做得最多的事情是,長時間枯坐在電腦前面,從上百萬行代碼里面找出開發(fā)人員的紕漏。這是一件看起來絲毫不酷的事情,卻也是一名黑客走向頂尖高度的必經(jīng)之路。
通常,一般的大型互聯(lián)網(wǎng)公司在自己的安全部門,都有負(fù)責(zé)挖掘漏洞的白帽黑客,同時,無論國內(nèi)還是國外,都有來自政府、企業(yè)和第三方的漏洞平臺負(fù)責(zé)收取白帽黑客們挖掘的漏洞,并給予現(xiàn)金和物質(zhì)回報。其中如BAT等大型互聯(lián)網(wǎng)公司,根據(jù)對不同漏洞的評估,單個漏洞的收購價格上幾萬是常事。
只是,和回報巨大的黑色產(chǎn)業(yè)比起來,白帽黑客通過挖掘漏洞得到的物質(zhì)獎勵仍然顯得單薄。已經(jīng)關(guān)閉的國內(nèi)漏洞平臺烏云負(fù)責(zé)人方小頓曾將這種差距形容為,“月入一萬和日入一萬的差距”。陳宇森則認(rèn)為這個差距還將繼續(xù)增大。“很簡單,連入互聯(lián)網(wǎng)的東西越來越多了。”有過多年黑客經(jīng)驗的馮梓則提供了另外的信息,“過去一份QQ名單可能幾百塊就能買到,那時候的黑客不知道這些信息的價值,現(xiàn)在翻10倍也不一定買得到了。”
異常殘酷的戰(zhàn)爭
事實上,在網(wǎng)絡(luò)攻防這條路上,陳宇森和他的團(tuán)隊顯得“根正苗紅”,即使不創(chuàng)業(yè),團(tuán)隊絕大多數(shù)成員都可以順利拿到國內(nèi)外著名互聯(lián)網(wǎng)公司的錄取通知書。他們進(jìn)入安全領(lǐng)域,成為白帽黑客,都是從系統(tǒng)學(xué)習(xí)和模擬比賽一路打怪晉級,并沒有進(jìn)入黑色產(chǎn)業(yè)的動力和推力。但學(xué)霸型的黑客只是鳳毛麟角,在中國,更多的黑客卻只能像老鼠和蝙蝠一樣,活在暗無邊際的夜色中,游走在道德和法律的邊緣,稍有不慎就會跌下懸崖。
一直以來,中國有“白帽黑客”覺悟和立場的安全人才是嚴(yán)重缺乏的。根據(jù)上海交通大學(xué)信息安全工程學(xué)院院長李建華在2017中國網(wǎng)絡(luò)安全年會的報告,中國目前平均每年增長的安全人才不過兩三萬,但總需求量卻超過70萬,缺口高達(dá)95%。李建華還認(rèn)為勒索病毒背后表明,中國目前極缺源碼分析專業(yè)人才和一線運(yùn)維服務(wù)的安全人才。
與之對應(yīng)的是盡管誰都看得出網(wǎng)絡(luò)安全市場必然崛起。但傳統(tǒng)企業(yè)和單位仍然只注意到業(yè)務(wù)安全的層面,比如發(fā)生了電信詐騙,能否幫忙溯源。也就只有為數(shù)不多的一些互聯(lián)網(wǎng)企業(yè)現(xiàn)在強(qiáng)調(diào)的是系統(tǒng)層和代碼層的安全,比如系統(tǒng)是否有漏洞。勒索病毒事件發(fā)生后,國內(nèi)一線安全公司的股票通通飄了紅,網(wǎng)絡(luò)安全、信息安全一下子成了熱門話題,但短期內(nèi)中國互聯(lián)網(wǎng)安全現(xiàn)狀依然嚴(yán)峻。
從多起網(wǎng)絡(luò)軍火商泄漏的信息可以表明,一直以來中國都是國際化網(wǎng)絡(luò)攻擊的受害者。如在Hacking Team的泄漏數(shù)據(jù)中發(fā)現(xiàn),一些亞洲地區(qū)國家對我國進(jìn)行的網(wǎng)絡(luò)攻擊竊密的鐵證,甚至一些攻擊已經(jīng)得手,成功的控制了國內(nèi)目標(biāo)的PC或手機(jī)。攻擊方還會對新發(fā)現(xiàn)的問題做針對性的要求,保證更隱秘的監(jiān)控與機(jī)密信息的回傳。這也意味著,國際上對我國的網(wǎng)絡(luò)間諜行為是真實存在的。相信這次事件也將成為網(wǎng)絡(luò)安全的里程碑,讓我們所有人都深刻的意識到國家網(wǎng)絡(luò)安全的重要與緊迫性。
業(yè)內(nèi)評論認(rèn)為。歸根結(jié)底網(wǎng)絡(luò)安全是一場國力與民智的綜合對抗戰(zhàn),政府、企業(yè)、個人各司其職環(huán)環(huán)相扣,那一個環(huán)節(jié)掉鏈子都得付出慘痛的代價。相信這次席卷全球的勒索病毒事件過后,絕大多數(shù)遭劫或僥幸躲過的企業(yè),會意識到網(wǎng)絡(luò)安全、信息安全的重要性,“最起碼以后我們的工程師發(fā)個預(yù)警信息,他們打個補(bǔ)丁總沒那么困難了吧”,長亭科技CEO陳宇森擺了個無奈的笑臉說道,當(dāng)然還是建議有意向、有想法的企業(yè)用戶或個人,關(guān)注長亭科技的官網(wǎng)、官微及知乎等新媒體平臺的公眾號,或許就能幫你避免下一次類似或者更嚴(yán)重的攻擊。(原標(biāo)題《網(wǎng)絡(luò)安全戰(zhàn)爭里,白帽黑客與攻擊者的較量》,有刪節(jié)改編。)
關(guān)于長亭科技:
長亭科技是國內(nèi)一家成立三年的網(wǎng)絡(luò)安全公司,專注為企業(yè)用戶提供針對應(yīng)用層防護(hù)的解決方案,其創(chuàng)新性地將語義分析和自動機(jī)技術(shù)引入傳統(tǒng)應(yīng)用層防護(hù)產(chǎn)品中,使得復(fù)雜的產(chǎn)品操作簡化成一鍵操控的可視化智能安全產(chǎn)品,更在準(zhǔn)確率提升的基礎(chǔ)上將速度提升了百倍,曾受邀在美國的Blackhat大會上分享核心技術(shù)。目前,公司已為招商銀行、招商證券、滴滴、BiliBili、邏輯思維等諸多金融及互聯(lián)網(wǎng)企業(yè)提供簡單智能的安全防護(hù),去年獲得啟明、真格、滴滴等公司的數(shù)千萬A輪融資。
