前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全工作年度報告主題范文,僅供參考,歡迎閱讀并收藏。
這給了黑客們接近財富的機會,也改變著他們的生存環(huán)境。
“黑客”(Hack)這個詞,最早出現(xiàn)在麻省理工學(xué)院的計算機文化中,被創(chuàng)造的時候,完全是一個正面的稱呼。在乘車去往Menlo Park的路上,你會看到寫著“1 Hacker Way(黑客路1號)”的路牌,那就是Facebook的總部。
1946年,世界上第一臺電子計算機ENIAC在美國誕生。從此,一些最聰明、最有創(chuàng)造力的年輕人,開始進入這個行業(yè),在他們的身上逐漸形成了一種獨特的技術(shù)文化――“黑客文化”(Hacker Way)。
1961年,麻省理工學(xué)院(MIT)得到了第一臺PDP-1計算機,學(xué)院技術(shù)模型鐵路俱樂部(Tech Model Railroad Club,TMRC)的成員把它作為最時髦的科技玩具,最能干的聰明人會自豪地稱自己為“黑客”。他們認為,要完成一個hack,就必然包含著高度的革新、獨樹一幟的風(fēng)格和出色的技術(shù)。后來,這些黑客,成為了MIT人工智能實驗室的核心成員?!逗诳汀?(Hackers)的作者史蒂文?利維,把他們稱為計算機革命的英雄。
然而,隨著計算機的普及,計算機病毒泛濫,黑客開始和計算機犯罪聯(lián)系在一起。為了澄清“黑客”的概念,傳統(tǒng)意義上的黑客認為只有擁有高技術(shù)水平和職業(yè)道德的人才能被稱為Hacker,那些惡意入侵計算機系統(tǒng)的人應(yīng)該被稱為駭客(Cracker,入侵者)。
“今天的黑客文化已經(jīng)沒落了?!卑⒗锇桶桶踩偙O(jiān)陳樹華對《財經(jīng)天下》周刊感慨道。
如果說,最早的黑客是在追求有趣和探索精神,現(xiàn)在,更多的人則在追求更具實用性的名和利。
電商、互聯(lián)網(wǎng)金融、云計算,金錢和信息從來沒有像今天這樣與互聯(lián)網(wǎng)技術(shù)聯(lián)系在一起,這給了黑客們接近財富的機會,也改變著他們的生存環(huán)境。
英雄歸來
3月18日,冬天剛過,乍暖還寒。
北京海淀的銀科大廈和深圳的山區(qū)騰訊大廈里,一些人開始慶祝勝利,等待英雄歸來。這里是騰訊安全的技術(shù)部門。
在剛剛結(jié)束的Pwn2Own2016黑客大賽上,騰訊派出的KeenLab(科恩實驗室)戰(zhàn)隊,拿下了4個單項冠軍,以38分的滿分成績奪得世界冠軍頭銜,成為“世界破解大師”(Master of Pwn),獎金20萬美元。
Pwn2Own被稱為“黑客世界杯”,Pwn是一個黑客語言,指攻破設(shè)備或者系統(tǒng)。今年,參賽隊伍要攻破的是最新版本的微軟 Edge 瀏覽器、蘋果 Safari瀏覽器、谷歌 Chrome 瀏覽器、Adobe Flash 插件。每個參賽隊有15分鐘的時間,和3次試錯的機會。
騰訊派出了兩支隊伍,分別由科恩實驗室的陳良和來自騰訊電腦管家的鄧欣帶領(lǐng)。
尋找漏洞的程序是提前寫好的。但是,每次比賽前的一兩周,這些廠商都會推出一個超級補丁,修補他們最近發(fā)現(xiàn)的所有漏洞。這一補丁,也被稱為“超級大補丸”。如果準備的漏洞恰巧在這一刻被修補了,那么,之前的辛苦也就白費了。
很不幸。賽前一周多,蘋果了最新的補丁,陳良下載安裝后發(fā)現(xiàn),此前科恩團隊找到的Safari的兩個漏洞不見了。
除非發(fā)現(xiàn)新的漏洞,否則只能退賽。
沒有時間悶悶不樂,科恩團隊的成員開始嘗試尋找新的漏洞,一位成員甚至把床都搬到了辦公室。到了第三天,他們發(fā)現(xiàn)在蘋果系統(tǒng)的視頻渲染程序中,當(dāng)兩個鋸齒重疊的時候,會發(fā)生微小的計算錯誤。陳良難掩興奮,不停地拍著桌子喊道:“有了,有了?!?/p>
代碼必須重寫,涉及到視頻渲染,非常復(fù)雜。在飛往溫哥華賽場的飛機上,陳良還在寫著代碼。
主要對手是來自韓國的黑客神童 Lokihardt。在2015年的Pwn2Own上,年僅17歲的黑客Lokihardt同時攻破了IE、Chrome和Safari。而最近三年,他以一己之力,幾乎拿到了世界黑客賽事的所有冠軍。
不過,就在所有人都認為Lokihardt會再次成功的時候,Windows 系統(tǒng)突然彈窗,提示用戶“該操作有風(fēng)險”。
事后陳良得知,Lokihardt自己的 Windows 是在聯(lián)網(wǎng)狀態(tài)下安裝的,但比賽用電腦的Windows卻是在脫機狀態(tài)下安裝的,因此在攻擊過程中突然多了一步對用戶 ID 的驗證。這是Lokihardt 在自己的電腦上無法發(fā)現(xiàn)的。 陳樹華所在的安全部,被稱為阿里“神盾局”。
“幸運之神站在了我們這邊?!标惲颊f。
打比賽,只是一小部分工作。更多的時候,他們都是在尋找漏洞,并及時反饋給廠商。
每個月他們都能發(fā)現(xiàn)十幾甚至二十幾個漏洞。4月份,鄧欣所在的騰訊電腦管家團隊報了14個漏洞給Adobe Flash?!拔覀兇虮荣惖哪莻€漏洞,被駭客掌握的話,給你發(fā)個PDF文檔,你只要點開它,對方就可以控制你的電腦了。”鄧欣對《財經(jīng)天下》周刊說。
不過,軟硬件廠商的安全意識也在不斷的提高。微軟、谷歌們除了修補漏洞,還出臺了一些安全策略。此外,微軟設(shè)置了緩解攻破獎金,如果你有一個很好的思路,能實現(xiàn)緩解攻破,就可以獲得一筆不菲的獎金。
漏洞獵手
黑客或者研究人員,總帶給人們一種神秘、酷炫的感覺?!澳阋詾槭且粋€非常有趣的事業(yè),事實上完全不是這樣,你要耐得住寂寞,像我們團隊的吳石,十幾年來很少出差,也很少出國旅游,基本上天天和代碼打交道。”陳良說。
陳良所說的吳石,是在國內(nèi)黑客圈被譽為“殿堂級”的人才,也是陳良的師兄。目前為止,他已經(jīng)發(fā)現(xiàn)并報告了IE、Safari和Chrome等瀏覽器中存在的近200個嚴重漏洞。
Keen Team的創(chuàng)始人王琦,在2007年負責(zé)創(chuàng)建微軟中國安全響應(yīng)中心。有一天,美國總部來了一個電話,讓他去找一個人,總部發(fā)現(xiàn),在Windows操作系統(tǒng)漏洞的上報者中,一個人的名字出現(xiàn)頻率極高,就是吳石。
王琦找到吳石時,完全被后者窮困潦倒的生活驚呆了。當(dāng)時,國內(nèi)的網(wǎng)絡(luò)安全研究人員的工資每月只有三四千元。實際上,很長一段時間,他們的待遇甚至比IT行業(yè)的平均水平還要低。
從復(fù)旦大學(xué)數(shù)學(xué)系畢業(yè)后,吳石就利用業(yè)余時間查找漏洞。2007年8月,吳石收到了ZDI發(fā)來的一封郵件,向他詢問關(guān)于一個微軟的漏洞細節(jié)。ZDI是安全服務(wù)商惠普旗下的一個安全平臺。
吳石回復(fù)了ZDI的請求,ZDI回信稱,以后可以將發(fā)現(xiàn)的漏洞賣給ZDI專門做收購、分析的項目小組。當(dāng)年底,ZDI給吳石頒發(fā)了2萬美元的“白金獎”。
剛開始每個漏洞只有兩三千美元,但也不是所有的漏洞都能賣得出去,如果ZDI當(dāng)年的獎金經(jīng)費已經(jīng)用得差不多了,他們就不會再繼續(xù)收購吳石的漏洞,吳基本上每年賣給他們10個左右。
賣不出去的漏洞,吳石就干脆直接發(fā)送給出現(xiàn)漏洞的廠商。Google一開始會給500美元的獎勵,后來為了鼓勵人們發(fā)現(xiàn)漏洞以后直接跳過安全公司提交給他們,把獎金提高到3000美元。蘋果一開始壓根兒不給錢,后來,每個漏洞也提高到了兩三千美元。
在吳石看來,漏洞出售給企業(yè),比賣給安全公司更合法。不過,他也發(fā)現(xiàn),雖然國內(nèi)的企業(yè)也希望能夠修補漏洞,但不像國外企業(yè)那么積極。
王琦后來打算在國內(nèi)成立獨立的安全技術(shù)團隊,拉吳石入伙。吳石提不起興趣,周圍的朋友不是過得慘淡,就是做著黑產(chǎn)(黑色產(chǎn)業(yè)鏈)。但王琦勸他:“我們雖然看不到蛋糕,但你會揉面,他會生火,我們可以先做個饅頭出來養(yǎng)活自己,這樣至少大家都不會走(去做黑產(chǎn))?!庇谑?,Keen Team(震安全研究團隊)就這樣成立了。
Keen Team成立了兩三年,生意不溫不火。每年,他們賣漏洞給安全平臺或者廠商的收入只有一千多萬元,不及從事黑產(chǎn)的那些人的十分之一。
直到2010年6月,當(dāng)時蘋果公司針對iPhone操作系統(tǒng)了64個新補丁,其中15個漏洞都是吳石發(fā)現(xiàn)的,而蘋果內(nèi)部研究人員只發(fā)現(xiàn)了6個。美國《福布斯》把吳稱為“漏洞獵手”。Keen Team也因此走進了公眾的視線,并最終接受了騰訊的投資。
分水嶺
雖然奇虎360、騰訊和阿里巴巴在2010年就開始爭搶安全人才,但彼時安全人員的平均薪水只是與IT行業(yè)其他工種持平。
分水嶺出現(xiàn)在2013年,“斯諾登事件”爆發(fā),此后的2014年2月,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,網(wǎng)絡(luò)安全獲得前所未有的關(guān)注。
2014年,被黑客界尊稱為“TK教主”的于D(網(wǎng)名tombkeeper)離開綠盟科技加盟騰訊,年薪千萬,被稱為中國黑客界的標志性事件。
2001年9月18日,Nimda蠕蟲被發(fā)現(xiàn),于D在自己電腦上架設(shè)了一個“蜜罐”,在Nimda蠕蟲爆發(fā)當(dāng)天就捕獲了它,并寫了一份分析報告。那是國內(nèi)第一份對蠕蟲這種新型安全威脅做出多角度分析的報告。此后,于D開始研究軟件、硬件以及無線等各種安全風(fēng)險,曾發(fā)現(xiàn)并報告了Cisco、Microsoft等公司產(chǎn)品的多個安全漏洞。
2015年初,吳石團隊也正式加盟騰訊,成立了專注于云計算與移動終端安全研究的科恩實驗室,其核心成員多來自原Keen Team團隊。
“薪水,忽然一下子就高了?!逼婊?60核心安全負責(zé)人鄭文彬說。2006年底,鄭文彬接受360邀請來北京時,只有19歲,網(wǎng)絡(luò)安全市場剛剛起步。
乍見鄭文彬,你可能會誤以為他是搞藝術(shù)的,但在黑客界,他有一個響亮的代號:MJ0011。他領(lǐng)導(dǎo)的伏爾甘團隊(360Vulcan Team),連續(xù)兩年在Pwn2Own攻破了IE和Chrome瀏覽器。
涼鞋、T恤、短褲、黑框眼鏡、略微卷曲的頭發(fā)和胖乎乎的身材,很難想象他就是中國最有名的網(wǎng)絡(luò)安全工程師之一。
“叫我們安全工程師也好,叫‘防火墻’也行,稱呼無所謂,做什么比叫什么更重要?!编嵨谋虻募译x單位半個多小時,每天10點上班,晚上無確定下班時間。工作就是每天與網(wǎng)絡(luò)上的病毒、木馬、漏洞等進行攻防對抗。核心團隊里細分了多個小團隊,有人負責(zé)安全產(chǎn)品的研發(fā),有人分析和處理病毒、木馬,還有人負責(zé)高端漏洞修補。鄭文彬是把控整個方向的那個。
2015年,伏爾甘團隊拿到Pwn2Own的冠軍時,公司的幾位老板以下命令的方式,要求鄭文彬把決賽中所使用的那部電腦“貢獻”出來,擺放在360公司的歷史榮譽展覽室里。 奇虎360核心安全負責(zé)人鄭文彬在黑客界有一個響亮的代號:MJ0011。
鄭文彬非常認真地跟團隊成員商量過這件事,但沒什么人回應(yīng)?!八麄兌純?nèi)向,太低調(diào)了?!?鄭文彬說,每次組織團隊成員出去演講,也是一樣沒人回應(yīng),甚至團建去KTV唱歌也沒人參與。
360樓下不遠處,是烏云平臺開的一個黑客酒吧,門口豎著一個牌子,上面寫著:內(nèi)有黑客,后果自負。但鄭文彬只去過一次,還是烏云平臺的人邀請過去的。
“我已經(jīng)是我們這里最外向的了。”鄭文彬自我調(diào)侃道。
但即便如此,還是有很多同事直接、間接地認識了他們。其他部門的同事們見面就會問:“聽說你們年薪幾百萬,還拿著大把股票?”對此,鄭文彬只能笑笑。
像鄭文彬這樣的人, 360還有幾十個。除了會向安全產(chǎn)品部門輸出一些核心技術(shù),更多的是純粹的研究,而多數(shù)研究成果還都很難立即商業(yè)化。
“所以,(養(yǎng)黑客)這個事只有在大公司里才有,而且會越來越貴。”鄭文彬說,從2014年開始,漏洞安全人才年薪動輒幾百萬元,甚至上千萬元。
紅與黑
公司和駭客打了一架,后者不斷發(fā)來信息堵塞系統(tǒng),并試圖盜取用戶信息,戰(zhàn)爭一直持續(xù)了一個星期,最后公司贏了。但是李苗卻不愿多說,因為“只會招來更多的攻擊”。
李苗所在的是一家互聯(lián)網(wǎng)金融公司。黑客的目的很簡單,想要盜取公司的用戶信息。
“這樣的故事太多了?!卑踩笨偛枚艝|亮向《財經(jīng)天下》周刊說道:“你給我任何一個電話號碼,我們就可以查到他五大銀行的所有存款信息?!?/p>
不過,你并不用擔(dān)心安塞盜取信息或者資產(chǎn),因為安塞是中國一些金融機構(gòu)的安全合作方,他們的行為也需要接受相關(guān)部門的監(jiān)督。
“他們(駭客)有些像強盜,有些像小偷。小偷可能會偷走你的錢,但強盜可能就是平白無故地打你一頓。” 杜東亮說。2013年12月5日,中國央行《關(guān)于防范比特幣風(fēng)險的通知》,表明不支持比特幣后,隨即遭受到大量來自國外的黑客攻擊,安塞作為央行的合作方,與這些入侵者較量了很長一段時間。
在這些入侵者的背后,是一條完整的黑色產(chǎn)業(yè)鏈,被簡稱為黑產(chǎn)。
陳樹華所在的安全部,被稱為阿里“神盾局”,這也是阿里最低調(diào)、最神秘的部門?!拔覀兠刻於家秃诋a(chǎn)打交道,由于強大的利益驅(qū)動,黑產(chǎn)的反應(yīng)速度非??欤瑢π录夹g(shù)手段的敏銳度非常高。”陳樹華說:“因此,在與黑產(chǎn)的斗爭中,傳統(tǒng)安全更多的處于防守位置,但借助大數(shù)據(jù)和縱深防御體系,阿里就有能力做前置化的預(yù)防工作了?!?陳樹華是阿里聚安全、錢盾產(chǎn)品創(chuàng)始人,也是國內(nèi)最早的一批移動安全專家之一。加入阿里之前,在騰訊負責(zé)安全工作。
傳統(tǒng)的安全廠商主要是解決內(nèi)網(wǎng)問題,但現(xiàn)在的安全問題,已經(jīng)沒有邊界了。每一個互聯(lián)網(wǎng)項目里都涉及到大量的資金和信息。“今天,你找出任何一個漏洞,帶來的價值都將超過我們想象?!标悩淙A說。
2015阿里安全年報顯示,在移動端,iOS系統(tǒng)的漏洞,2015年比2014年增長1.28倍。安卓系統(tǒng)更恐怖,當(dāng)前應(yīng)用市場中97%的應(yīng)用都有漏洞,平均每一個應(yīng)用上的漏洞達到87個,其中不少都是高危漏洞。
陳樹華一直做移動互聯(lián)網(wǎng)安全。他說,在這之前,手機感染病毒的幾率非常的低,但隨著整個互聯(lián)網(wǎng)業(yè)務(wù)的高速發(fā)展,18%的手機感染過病毒,95%的移動熱門應(yīng)用是仿冒。
據(jù)不完全統(tǒng)計,目前中國網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的“從業(yè)者”已經(jīng)超過了40萬人,依托其進行網(wǎng)絡(luò)詐騙產(chǎn)業(yè)的從業(yè)人數(shù)至少有160萬人,“年產(chǎn)值”超過1100億元。
2015年年初,騰訊曾針對網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈進行了一次全面調(diào)研,并了首份《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報告》。報告顯示,在移動支付安全領(lǐng)域,目前已逐漸形成一條分工明確、作案手法專業(yè)的黑色產(chǎn)業(yè)鏈。從業(yè)者主要是分布在二三線城市、年齡介于15至25歲之間的無業(yè)年輕人。騰訊移動安全實驗室數(shù)據(jù)顯示,2015年上半年,手機支付木馬病毒新增29762個,感染用戶總數(shù)達到1145.5萬,最高峰出現(xiàn)在6月,平均每天有6.8萬名用戶中毒。
黑色產(chǎn)業(yè)鏈的發(fā)展,也給各個公司的安全團隊招人帶來了困難。
“我的團隊完全是社會招聘,現(xiàn)在發(fā)現(xiàn)一個好苗子實在太難了?!编嵨谋蛘f。很多黑客都被黑色產(chǎn)業(yè)卷走,剩下的這些人,有著一個比較統(tǒng)一的性格標簽:道德潔癖。因此,吳石、鄭文彬們愿意出現(xiàn)在各種黑客大賽上,甚至公開演講,希望能夠引導(dǎo)年輕人,走正確的路。
米特尼克是歷史上第一個因網(wǎng)絡(luò)犯罪而入獄的黑客,也是第一個被FBI通緝的電腦黑客。他在15歲的時候就入侵了北美空中防務(wù)指揮系統(tǒng),翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料,后來又先后入侵了太平洋電腦公司、聯(lián)邦調(diào)查局等系統(tǒng)。2002 年出獄后,他出版了暢銷書《欺騙的藝術(shù)》,成了全球廣受歡迎的計算機安全專家之一。
在接受媒體采訪時,米特尼克曾說道,駭客是條錯誤的道路,如果能回到過去,他絕不會重蹈覆轍。
孤狼的尷尬
并不是所有的黑客都進了大公司。而那些單獨作戰(zhàn)的孤狼,有時也會面臨尷尬的境地。
在一次安全大會上,一位父親闖了進來,拿著一沓打印的資料,希望在參會的這些人里,有人能夠幫到他的兒子――不久前,他的兒子破解了某婚戀網(wǎng)站的漏洞,并把這個漏洞到了烏云平臺上,但是,他的兒子還是被這家婚戀網(wǎng)站,并被批捕了。
《財經(jīng)天下》周刊記者向該網(wǎng)站核實是否了一名黑客,但沒有得到答復(fù)。
更有名的案例是京東案。2011年12月30日,賈偉在陜西咸陽一家制藥廠被警方帶走,他的老父親顫顫巍巍地在拘留證上簽了字,然后整整一個月沒睡著過。
2011年底,中國互聯(lián)網(wǎng)爆發(fā)了一次大規(guī)模用戶信息泄漏事件。當(dāng)時天涯社區(qū)、技術(shù)開發(fā)網(wǎng)站CSDN、游戲門戶多玩網(wǎng)、婚戀網(wǎng)站珍愛網(wǎng)等多家網(wǎng)站用戶資料被泄露,被業(yè)內(nèi)人士稱之為“脫褲門”。京東商城也沒有幸免。
京東漏洞的發(fā)現(xiàn)者正是賈偉。賈偉有一個常用ID:我心飛翔。在京東商城內(nèi)部技術(shù)人員遲遲無法修復(fù)漏洞的情況下,賈偉表示只要聘請自己為高級技術(shù)顧問,并支付約240萬元勞務(wù)費,就將為京東商城修復(fù)該漏洞。結(jié)果,京東商城以網(wǎng)絡(luò)被入侵并被“敲詐勒索”為由,向北京朝陽區(qū)公安局報警。一個多月后,賈偉被保釋。
“這就像我家有個后門,開著,但我沒有允許你進來看啊。你不但進來了,還把我家房間的擺設(shè)都看了一遍。我當(dāng)然不高興了。”孫義在一家大型國產(chǎn)手機廠商做安全運維――負責(zé)與黑客接觸,發(fā)現(xiàn)漏洞并作出響應(yīng)。
孫義在那次安全大會上也看到了為黑客兒子求助的父親,但卻沒有表現(xiàn)出同情?!熬褪菫踉?,也只是一個平臺。你把信息發(fā)在上面,但是出了事,他們一樣不管。”
每個月,孫義都能收幾十起安全漏洞的報告?!拔覀儠o他(發(fā)現(xiàn)漏洞的黑客)一些精神獎勵,給他證書,甚至幫他申請國際漏洞編號。這些他都可以寫在他的簡歷里,找工作好使啊?!敝劣诮疱X上的報酬,沒有。
“我們鼓勵‘白帽子’一起建設(shè)安全生態(tài),會給漏洞發(fā)現(xiàn)者提供精神和物質(zhì)上的雙重獎勵?!卑⒗锇桶桶踩偙O(jiān)陳樹華說。