首页 » 黑客新闻 » 浏览内容

详谈中国黑客 “洗白”真的不容易

305 0 发表评论

从携程“漏洞门”到“心脏出血”漏洞,互联网安全成了近一段时间人们关注的热点。而在这些新闻背后,时不时能浮现出一个名词—黑客。自1997年,国内第一个黑客组织绿色兵团成立,到曝出携程“漏洞门”的乌云漏洞平台,再到全国顶级黑客大赛夺冠的Keen团队。一些怀有理想的著名黑客一直在消除外界的误解,经历“洗白”的过程。然而在当前互联网环境和外界的抵触情绪下,黑客“洗白”并不是一件容易的事情。

黑客教父 转型下海兼做公益

最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。“最早的那批中国黑客崇尚”免费、自由、平等、互助”的黑客精神,”IDF互联网情报威慑防御实验室万涛对记者说。1997年,国内第一个黑客组织绿色兵团成立,聚集了中国黑客历史上最有想法、最有创造力的一批人,“如今,我们中的大多数人已经成为中国信息安全界最具影响力的技术专家。”

现在的万涛已成为黑客界教父级人物,他十分怀念那段单纯的岁月。绿色兵团的成员们,恪守着13条黑客守则,他们只是进行一些单纯的技术讨论。可好景不长,2001年在商业化理念的冲击下,绿色兵团解散。万涛带着一部分怀有技术理想的成员,创建了中国鹰派联盟,继而发展成了公益信息化创新推广、改善互联网生态和预防青少年网络犯罪的NGO组织。

这些年万涛一直坚持黑客组织不能演变为商业组织,黑客技术这种强大的工具如果失去精神约束将会变得很可怕。万涛把鹰派联盟分成了两个部分,一个纯做公益的益云,一个专门关注网络安全的IDF互联网情报威慑防御实验室。“从2000年开始,网络游戏产业迅速发展,虚拟的”装备”和”金钱”也能拿金钱买卖,最疯狂的时候,有的黑客一晚上能赚600万元。”IDF负责人裴伟伟对记者说。裴伟伟说,他们的实验室就是在与这些黑客做攻防,为一些中小型企业做漏洞检测和安全防护,“虽然没有那些黑客赚得多,但我们生存并不成问题,甚至比一些中型企业还要好。”

白帽黑客 在理想和现实边缘挣扎

随着互联网发展,黑客分化出两个属性,像万涛和裴伟伟这样的人被称为“白帽子”,指对网络技术防御的黑客,他们识别计算机系统或网络系统中的安全漏洞,然后将其公布,以便系统在被“黑帽子”利用之前来修补。那些不择手段牟利的黑客被称为“黑帽子”,专门利用电脑网络搞破坏或恶作剧,并以此非法牟利,在英文中这些人叫做“cracker”。

“白帽子是一群挣扎在理想和现实边缘的黑客。”一头长发颇具文艺范儿的方小顿如此解释。他是国内著名安全组织80sec的成员,他的另一个身份更耀眼—乌云漏洞平台创始人。和大多数天才少年一样,方小顿15岁考取哈尔滨理工大学化学专业,自学掌握了网络攻防技术,因黑进一家网站主页而得到第一份工作,一度加盟百度。在那里他很受器重。为了理想,他离开百度,于2001年5月创立乌云,一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台。这个平台陆续曝出国内知名技术社区CSDN的600余万用户资料被泄露、人人网、开心网、天涯、世纪佳缘等网站数据库外泄以及最近携程“漏洞门”事件等安全漏洞问题。

方小顿坚称,乌云仍属于一个非营利组织,网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。接近5000名白帽子为乌云义务提供服务。但这并不能消除外界对他们的反感,他透露,乌云在把部分厂商的漏洞公开后,会受到来自厂商的一些报复,最严重时,乌云服务器还被拔过线。而裴伟伟则认为,这样一个公开的平台很容易受到厂商及企业的厌恶,“大多数企业都希望能用不公开的方式解决漏洞问题,把风险降到最低。而黑白之间的转变也没有界限,有可能一个黑帽子发现漏洞并牟利后,再发布出来,就成了白帽子。”

方小顿也认为,所有白帽子黑客都站在理想和现实边缘。白帽子和黑帽子的收入对比,是月入万元和日入万元的差距。

互联网的自由就像一把双刃剑,在缺少有效监管和利益诱惑下,黑白转换只是一念之差。4月13日,乌云曝出的最新漏洞是“利用中科曙光集群管控平台漏洞轻松拿下超级计算机中心”。

技术黑客 面临创业艰难期

15秒能干什么,来自上海的Keen安全团队,用15秒攻破最新的苹果桌面操作系统MacOS X。同时被他们攻破的还有Windows 8.1,耗时仅20秒。这个8人创业团队,头顶着世界顶尖黑客的光环却蹒跚地走在创业路上。

2011年,在微软安全响应中心工作10年的吕一平辞职,和几个微软同事、几个历年高考状元、几个数学专业高材生,8个人凑了几十万元启动资金,成立了一个名叫碁震云计算的科技公司,提供软件缺陷测试与漏洞挖掘、在线服务异常云监测等安全服务,与万涛的IDF实验室如出一辙。

因为成立较晚,8个技术出身的人得亲自跑市场,把公司撑了下来。去年,Keen从浦东六七十平方米的民宅搬到了徐家汇(002561,股吧)。为了节省开支,这群技术宅男又学会了当木匠、搬运工和室内设计师。虽然Keen已经在业内达到了世界顶尖水平,可公司运转并不好。他的梦想是建立一支信息安全“国家队”,而目前公司十几人的规模,显然无法实现这个愿望。

网络安全行业充满了巨大诱惑,有些黑帽子将漏洞高价卖给黑市,形成信息安全的“黑产”。如今“黑产”的规模已相当大,业内的一个共识是,目前国内“黑产”涉及的金额是正规信息安全产业的数十倍甚至百倍以上。“Keen是坚决与”黑产”划清界限的,这也是圈内的”道德洁癖”,一个人一旦有意涉足过”黑产”,便再也不会被信息安全圈内接受。”吕一平说,这是我们的底线。对于Keen面临的困境,上海市信息安全行业协会秘书长王强在接受媒体采访时表示,国内的创业环境还有待完善,投资人太过于现实,追求的是快速变现,而像Keen这样的公司,虽然技术实力超群,但财务上目前还很难做出好看的估值。另外,国内的企业等机构对信息安全的重视程度还不够,未雨绸缪加强安全的意识还不强,使得整个市场还没被开发起来。

未来攻击目标 移动无线设备

白帽们在创业路上艰难前行。在方小顿看来,互联网安全行业应该受到更高的重视,还需要国家、企业、媒体以及第三方平台等参与进来,“来自各行各业的人士会从不同的角度分析判断网络安全问题;另一方面,企业的参与也能够从一定程度上改善白帽黑客的生活质量,对其也是一种正确方向的引导。”而裴伟伟则更关心黑帽子攻击的下一个目标—移动无线设备。“系统越来越安全,互联网安全也越来越受重视,接下来这些黑客们攻击的目标就是移动无线设备,从路由器到手机终端,这两年无线漏洞的检测和攻防,我们也逐渐开始在做。”裴伟伟说,一些可穿戴互联网设备的流行,也给了黑客攻击的机会,“这样的攻击不仅能获取利益,甚至连人的作息时间和健康状况都能获知,一旦被不法分子利用,比互联网安全更可怕。”

方小顿认为,基于云时代的互联网安全状况,企业在一定程度上应把数据的控制权交还给用户,给用户一个选择权,让用户有权力删除记录,以保障这部分数据的安全性。另一方面,国家或第三方监管机构加强对终端公司的把控,防止企业在用户不知情的情况下收集用户电脑里的数据、记录,甚至从云端下发策略。利好消息是,对于互联网的监管也在慢慢收紧。去年11月和今年2月,国家安全委员会、中央网络安全和信息化领导小组的相继成立,将信息安全的重要性提升到了国家战略层面。

标签:

评论 共 0 条 (RSS 2.0) 发表 评论

  1. 暂无评论,快来抢沙发!

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:477 篇
  • 评论数目:1480 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:25 个
  • 建站日期:2011-02-13
  • 运行天数:2125 天
  • 最后更新:2016-12-6

订阅博客