首页 »

白帽黑客的江湖

2019/10/10 3:31:54

白帽黑客的江湖

 

泄密:随时可能

 

国人对于黑客的印象,多半是道听途说、拼凑而成。美剧中很牛掰的黑客案例,确实存在。一个非常经典的案例发生在2011年。HBGary是美国著名的安全公司,其安全防护措施做的非常完美,但最终还是被黑客组织Anonymous轻易攻破。

 

这类复杂攻击案例,在日常生活中也时有发生。而黑客攻击之所以会得逞,灵活运用技术是一方面,关键是利用“人”这一安全体系中最薄弱的环节——

 

在现实生活中,我们收到一些低级诈骗短信,大多数人都不会轻易点击其恶意链接。但如果黑客先对某一攻击对象做一些了解,譬如在得知某人正在申请美国签证,此时以美领馆签证官的假身份与其通话要求在线更新护照信息,随后发出短信,这种情况下当事人点击恶意链接的几率会大大增加。

 

从技术层面来讲,不经意点开一个恶意链接,或者接听一个恶意陌生来电,就已经暴露了自己的个人信息。现在的技术甚至已经可以做到:恶意电话打进来,只要你接通了电话,对方就控制了你的手机,甚至可以看到你前一分钟手机拍的照片。

 

黑客:正邪两道

 

在中国,很多人觉得黑客很神秘。

 

黑客一词源于英文Hacker,其本意是对某一技术非常执着钻研并且精通的人——中性词,并无褒贬。但到了中国,因其翻译带有“黑”字,中国人就把黑帽(blackhat)黑客与黑客混为一谈。

 

黑帽黑客一般以恶意破坏对方系统、获取经济利益为目的。上述案例中提到的攻击行为,一般由黑帽黑客所为,这有违信息安全界的道德准则。而“白帽”黑客通常以安全厂商或民间安全研究员为主,主要研究前沿领域的安全攻防技术。

 

国内的黑客现状是:“白帽”黑客非常稀少,而“黑帽”黑客由于从事的工作内容不合法,需藏身暗处。前者主要通过为公司加强产品安全特性、提供服务安全保障等来获取报酬,而后者则以黑色产业链(也称“黑产”)来获取利益。

 

这些年来,信用卡数据泄漏、酒店开房数据泄漏事件层出不穷,迫使相关企业不得不加大在信息安全上的投入。但即便如此,国内公司支付给白帽的费用,与黑帽通过病毒木马窃取用户隐私然后出售所得相比,前者还不到后者的十分之一。

 

诱惑:要能抵挡

 

当一名白帽黑客,收益可以说微不足道。比如,前段时间我同事发现一个qq的漏洞,报给腾讯,得到了该公司1万元的奖励。但如果把这个漏洞卖给黑产链,其收益会是数十倍甚至上百倍。在这种诱惑下,还能坚持做白帽黑客,真的需要定力。这应该也是国内“白帽”发展迟缓的原因。

 

成为一名白帽黑客,的确需要具备一些物质条件。就我自己的情况来说,我从小家境不错,在我小学五年级时就有了自己电脑。当时电脑游戏还不泛滥,我的主要精力都放在了钻研电脑技术上,很小就试着学习系统重装、调试程序等技能。

 

之后听到了许多关于中国红客、中美黑客大战的故事,也会思考这些黑客是如何攻破系统的。这在一定程度上,也为后来走上信息安全这条路埋下了伏笔。而且也因为家境不错,没有经济上的负担,所以不会为了利益而放弃底线。

 

后来大学,我考上了交大信息安全专业,毕业后进入微软中国MSRC团队(微软安全响应中心)。在那里,我认识了一群志同道合的朋友,也就是现在的KeenTeam成员。当时我们的工作,就是处理和分析来自中国白帽黑客发现并汇报的微软安全漏洞。

 

漏洞研究领域不像其他技术领域,网上并没有公开资料可用于学习。因为安全漏洞汇报给厂商后,厂商可能永远不会将细节公布于众。而在微软MSRC团队,我可以接触到大量第一手漏洞细节信息,这使得我漏洞分析能力突飞猛进,也为日后和大家一起出来创业、从事安全前沿技术的研究奠定了基础.

 

我们这个团队,汇集了一批相似的人:对黑客精神有着相同的理解,家境普遍相对较好,等等。毕竟,当一名白帽黑客,收入并不高。支撑我们前进的动力,就是我们有朝一日要成为中国的“火眼公司”(火眼,FireEye,是美国最著名的网络安全公司)。

 

安全习惯:不同常人

 

像我们这样人,平时生活方式,就是大家常所说的“技术宅”类型。我会因为一个难以突破的问题,独自一人在电脑前连续坐上十几个小时。

 

世界各地的黑客比赛,规则差不多。大致是在规定的时间内,去发现漏洞,攻破浏览器,比的是攻破所用的方法是否新颖、发现的漏洞是否和其他团队不一样。

 

为了参加国际比赛,在过去的一年中我做了大量的研究。这类研究工作与读书时解理科题是有区别的,在以往经历过的考试或竞赛中,我们是以“标准答案”必定存在作为前提的。而这类研究问题,很有时候,答案是“多解”或者“无解”。

 

当长时间的研究没有任何突破,人容易出现挫败感而提前得出“无解”的结论。而这个时候,再坚持一会儿也许就会产生独特的灵感。例如此次攻破Safari沙盒保护机制(整个突破过程中非常关键的一步),就是这种体验。

 

当然,在没有紧急工作的时候,我也和普通的上班族一样,会经常和朋友聚会,下下围棋,和驴友一起出游……

 

但是因为工作的关系,我们还是有一些不同常人的“习惯”。比如我们团队的人,设定的账号密码永远都是10位数以上,数字和字母叠加,且字母无连接意义;我们从来不会轻易接听陌生人来电,一些长时间不联系的人,也是用回拨的方式增加安全性;我们永远都选择在没有私人信息的公共电脑上打开邮件附件……

 

(本文编辑:谢飞君 编辑邮箱:shguancha@sina.com)