黑客暗戰——黑帽、白帽、灰帽背後的隱祕世界

知與誰同發表於2017-06-08

“世界上有三種人:一種是被黑過,一種是不知道自己被黑過,還有一種是不承認自己被黑過。”

一位穿著灰襯衣黑長褲的年輕人在發表演講。他中等個頭、精瘦,略顯緊張地單手插在口袋裡。臺下黑壓壓地坐著三百多人,大多是來自各地的黑客。聽眾們只知道這位年輕人的網名叫“豬豬俠”,他的身份是烏雲社群的頭號白帽子黑客。

在黑客的世界中,黑帽子和白帽子的稱呼分別代表兩種對立的角色——以網路資訊牟利的惡棍和保護網路安全的英雄。這種說法緣於美國早期西部片以白帽和黑帽區分正邪雙方。

這是在2014年9月12日烏雲首屆安全峰會上。峰會的主辦者是國內著名第三方安全漏洞平臺烏雲網。烏雲網由原百度安全專家方小頓在2010年建立,逐漸成為白帽子黑客的聚集地。他們相當於網際網路的“啄木鳥”,隨時監測各家網站漏洞,發出警告。

“後來我又想到第四種,就是正在被黑。”“豬豬俠”繼續用他的南方口音說道。他並非危言聳聽,在講臺的另一側,一個針對現場聽眾手機的攻擊正在進行——至少有3個人的銀行卡餘額、1個人的股票買賣等隱私資訊出現在大會投影螢幕上。

在由資訊流構成的網路世界中,這樣的攻擊幾乎每時每刻都在發生。人們越離不開網際網路,就越是身處險境。

在黑客誕生那會兒,其實世界不是這個樣子。“黑客(Hacker)”一詞原指用斧頭砍柴的工人,1960年代這個詞彙才被引入計算機圈。據《黑客: 電腦時代的英雄》一書記載,這個群體起源於1950年代的麻省理工學院。一群學生認為,資訊都是應該公開的,可以被平等地獲取。於是,他們闖入了當侷限制 使用的一個計算機系統。

中國的黑客直到1990年代才露面。他們最初多是破解軟體、用軟盤複製小軟體開始,第一次集體行動則頗具時代特色:在印尼排華事件後,向印尼政府網站的信箱中傳送垃圾郵件。

最初的理想主義逐漸被金錢的誘惑所取代。在黑帽子隱身的地下世界中,一條買賣資訊的產業鏈業已形成,並給黑帽子們帶來了巨大利益。烏雲創始人方小頓 曾在接受採訪時稱,可能一個並不起眼的黑客,某一天你就會發現他住上了好房,開起了好車。“目前最強的黑帽子和白帽子的收入差距大概是日薪一萬和月薪一萬 的差距。”

黑帽子的威脅使網路安全的市場需求激增。在《資訊保安與通訊保密》這份專業雜誌的一份報告中稱,2012年,中國網路安全產業規模達到216.40 億元,同比增長20.9%。在A股上市公司中,涉及網路安全概念的至少達12家,這還不包括在美國上市、最高市值達100億美元的奇虎360公司(紐交所 程式碼:QIHU)——這家公司自稱擁有“東半球最強大的白帽子軍團”。

在隱祕的戰場上,白帽子和黑帽子的較量早就開始了。他們看不見對方,只能在一次次過招時才能感受到對方的存在。

“黑白”攻防戰

每一個“信”就像一頭牛,剝皮,拆骨,切肉,到了早上7點,只剩一攤血汙。

在黑客的世界中,黑帽子和白帽子的稱呼分別代表兩種對立的角色——以網路資訊牟利的惡棍和保護網路安全的英雄。他們看不見對方,只能在一次次過招時才能感受到對方的存在。

與想象中的魔法世界不同的是,黑白帽子的對抗常常不發生在同一時間。奇虎360公司攻防實驗室副主任林偉對南方週末記者說,他們面對的往往是事前的漏洞挖掘,或是黑帽子在事後留下的犯罪現場。

根據痕跡順藤摸瓜修復漏洞,甚至找到攻擊者是他們最經常的任務。白帽子同樣可能使用攻擊手段——在入侵者的網頁中植入木馬,當其試圖操作時,定位入侵者。

“漏洞”是雙方攻防的焦點。所謂漏洞,即在網路系統中可以被利用的缺陷。黑帽子一旦發現漏洞,即可迅速展開攻擊。

以“信封號”(即被盜的QQ號)產業為例。31位曾在微軟、百度、麥肯錫工作過的分析師組成了研究團隊TOMsInsight,他們在一份報告中描 述了銷贓的全過程:通過發現漏洞、植入木馬或其他攻擊手段獲得的一組QQ使用者名稱和密碼稱為一個“信”,一個信封就是一萬個(或者一千個)信的集合,拿到這 些資訊被稱為“取信”。

隨後是“洗信”,將號內的Q幣、遊戲裝備轉移出售,挑出本身就比較值錢的“靚號”。洗過之後,這些“二手信”變成了推送各種訊息的絕佳平臺:群發廣告、欺詐資訊、QQ空間植入廣告。最後,被榨淨的QQ號還會賣給黑客用來編寫密碼字典。

到了第二天天亮,被盜號的使用者通常會發現QQ號被盜,從而修改密碼或者採取安全保護,讓信封中大量的號失效。所以整個銷贓的過程都集中在晚上12點至早上7點之間。每一個“信”就像一頭牛,剝皮,拆骨,切肉,到了早上7點,只剩一攤血汙。

黑客的攻擊,常常是通過入侵網站,植入木馬,給廣告商做推廣引流量;盜取QQ號等有價值的賬號資訊;在“黑鏈”中用SEO負面資訊實行敲詐;更直接 的,通過破解廠商核心資料庫,勒索或在網上售賣。企業的核心程式碼、金融資訊和積累的巨量使用者資料,這些商業價值巨大的資訊也是黑帽子攻擊的重點。

所有人都清楚,沒有系統是完美不可破的。大多數安防系統的思路是,提高黑客突破的時間和技術成本,從而迫使攻擊者放棄。

處於防禦姿態的白帽子黑客在與黑帽子黑客的較量中,贏一次不能算贏,輸一次就永遠輸了。“豬豬俠”說,“只要被黑一次,只要被黑客帶走的資訊足夠多,下次他依然能夠拿那些以往獲取到的資訊,再次黑進來”。

在烏雲社群,白帽子們幾乎每時每刻都在搜尋漏洞。“豬豬俠”自己製作了掃描器來搜尋一切漏洞,比起辛辛苦苦一個個尋找漏洞,他已經實現了自動攻擊, 在烏雲社群Rank值(提交的漏洞評分總和)高居第一。“只需要輸入一個域名,用掃描器掃,不費體力。範圍現在是全世界。”他對南方週末記者說。

由於斷了黑帽子的財路,像烏雲、奇虎360這樣的安防公司也成了黑帽子瘋狂攻擊的物件。

“每個月都有好幾次,這對於烏雲這種規模的網站而言是很不正常的。”烏雲聯合創始人孟卓說,他在烏雲上的ID是“瘋狗”,儘管這與他本人的白淨形象相去甚遠。

奇虎360公司董事長周鴻禕也曾險遭暗算。有一次,奇虎360內部資訊保安部門發現一個內部IP異常——這是一個訪客接入無線網路後,試圖暴力破解 周鴻禕的密碼,以進入360的內網。由於周鴻禕的賬號即郵箱地址是公開的,一旦密碼被攻破,黑客將獲得進入內網的許可權,長時間潛伏也難以發現,可能觸及的 資訊將難以想象。

“我們派出人去跟蹤訊號,幾乎就快要抓到了,最後在一個電梯口跟丟了。”奇虎360的一位內部安全專家對南方週末記者說。這件事甚至促使360開始發展無線安全產品,以補齊無線這一塊短板。

白帽子崛起

在“知乎”上,“如何黑掉知乎”的問題被提出後,他就跟帖貼出了密碼庫的連線密碼和使用者資料的資訊結構。

360公司一份內部PPT顯示,2008年前,安全公司普遍淨利潤低,而在BAT(百度、阿里巴巴、騰訊)等大公司裡,安全部門又不是產生價值的部門,不受重視。

近年來,黑帽子地下產業鏈的興旺,卻在無形中抬高了白帽子的身價,這也成了很多黑客躋身白帽子群體的動力。一批擁有傳奇故事的ID轉換成實名,出走創業,或者被印在了各大網路公司的員工卡上。

奇虎360董事長周鴻禕甚至親赴外地尋找“網路神童”,此前,憑藉高薪吸引,他已經打造了一支在業內堪稱豪華的團隊。曾被稱為“驅動神童”的 MJ0011(本名鄭文彬)目前任奇虎360首席工程師,他在接受南方週末記者採訪時兩次提到,“老周很講義氣”。周鴻禕曾在某次部門變動時點名將鄭文彬 留下。

“演講之後,‘豬豬俠’的身價可能就要超過百萬了”,烏雲的一名骨幹團隊成員說。

當“豬豬俠”演講完後,南方週末記者通過QQ向他提出採訪要求。很快,他就用QQ傳過來一份2013年的南方週末通訊錄截圖,“你應該是入職還不到一年吧?去年的通訊錄裡沒有你”。

這樣的“炫技”對“豬豬俠”來說已經成了一種習慣。他曾在2013年先後四次嘗試漫遊騰訊內部網路最終成功,四次入侵的連載帖子被眾多白帽子奉為“神作”。他的前輩、騰訊安全的資深黑客lake2也將與他交手的經歷寫成文章,作為對自己防禦系統的檢討。

他在著名問答社群“知乎”上有另一個ID“王音”。在“如何黑掉知乎”的問題被提出後,他就在跟帖上貼出了密碼庫的連線密碼和使用者資料的資訊結構。

“豬豬俠”的真實身份依然是個謎團。至少有包括騰訊安全部門的lake2在內的三名資深黑客認為,“豬豬俠”就是聲名遠揚但從不露面的傳奇黑客“V”。

曾任阿里巴巴高階安全專家的黑客吳翰清2013年在一篇博文中寫到一個名叫“V”的傳奇黑客,積累了一個去重後有13億條資料的資料庫。“每條記錄,都包含了使用者名稱、密碼、身份證號(社保ID)、手機號、郵箱、登入IP等資訊,覆蓋了半個網際網路。”

“V”在入侵後也從不刪除資料或進行破壞,也不會用入侵獲得的成果牟利,“他至今仍恪守著古老的黑客守則,就如同中世紀的騎士們執著於騎士精神一般”。

“豬豬俠”的黑客生涯緣起於一次遊戲道具的失竊。初一的時候,他在盛大傳奇44區的一個35級魔法師號被盜。“剛打到一本魔法盾就被盜了,相當失落。”時隔十多年,他仍把這段經歷看做自己的恥辱。

魔法盾是遊戲中魔法師角色學習關鍵技能的必需道具。而當他去搜尋引擎中查詢相關資料時,“木馬”兩個字出現了。因為賬號被盜而失落、無聊,從網遊《傳奇》中走出,“豬豬俠”走進了一個更大的遊戲場。

叛逆、挑戰、對“突破規則”的渴望,也幾乎是所有黑客起步的機緣。如果不是為了繞過網咖的收費系統,為了破解父母設定在電腦上的密碼偷玩遊戲,或是為了獲得少量的Q幣,可能許許多多在網際網路上提交漏洞的白帽子們,還不知此刻會在何方。

方小頓說,“網路安全問題本身就存在於破壞規範中,處理網路安全問題的核心在於不守規矩。”這些知識不在傳統的課堂上,相關專業也直至近年才出現。

白帽子的世界裡,少有科班出身的“網路醫生”,更多的是草莽出身的“屠狗者”,在網路世界闖蕩江湖,獲得各自的“魔杖”後,他們選擇戴上了屬於自己的白帽子。吳翰清對南方週末記者說,“以前在阿里巴巴,(安全方面)最核心的人,有一半就是沒有本科學歷的”。

像“豬豬俠”這樣的白帽子,在烏雲平臺上註冊的有6214名,活躍的超過1000名,足以組建好幾家專注安全的網際網路公司。其中20名核心白帽子的技術實力,可能令任何一家專業廠商都無法小覷。在不少網際網路企業的招聘要求中,在烏雲上提交過漏洞,甚至成為一個前置條件。

在擁有了諸多黑客高手之後,烏雲也逐漸有了豐厚回報。整個烏雲峰會期間,烏雲管理團隊成員楊蔚就不斷地在接電話、回資訊,其中不乏“眾測”的業務電話。“眾測”是一種由廠商提供產品,由烏雲組織白帽子專門為其尋找安全漏洞的眾包生產模式。

楊蔚沒帶名片。“我要是拿100張名片來,肯定早就發光了。現在眾測排隊已經排到了10月份,一個月可能有十幾個專案,總金額也有五六十萬元了。”他的語速極快。

發現漏洞本身也有了價格。很多網路公司、安防公司會發起懸賞,漏洞提交者可能得到不菲的現金獎勵。有的漏洞帖子末尾,將會出現金燦燦的美元符號。在各大廠商每月的“土豪榜”裡,依靠提交漏洞而獲得數萬收入者並不鮮見。

首屆烏雲峰會結束後的當天晚上,超過百名白帽子聚集在北京798藝術區的一家名叫“WOOYUN CLUB”的酒吧裡。這是烏雲網2014年8月創辦的黑客酒吧,如今只是試營業狀態,酒水單都尚未印全。

酒吧玻璃牆上的程式碼串和外牆上的塗鴉都來自黑客世界,幾乎每個名詞都對應著一種網路攻擊的形式。出入這間酒吧的人,多以網路ID示人,酒單上也印著 只有黑客才能看懂的酒名,如“DDoS”這款雞尾酒。“DDoS”是一種常見的流量攻擊方式,以一段時間內佔用大量網路資源,使伺服器癱瘓為目的。

坐在酒吧裡的白帽子在明處,黑帽子在暗處。事實上,還有一種不黑不白的灰色地帶。

“豬豬俠”在烏雲提交的許多漏洞描述中,都會有一句宣告“未做深入研究”,意即為發現漏洞點到為止,但並未非法竊取資料。這也是大多白帽子在尋找漏洞時面臨的邊界。廠商在回覆時,也常加上一句,“請各位白帽子在安全測試中注意遵守國家相關法律”。

眾多白帽子都覬覦著“豬豬俠”多次祭出的大殺器——漏洞掃描器,希望能夠公開放出。但豬豬俠看起來沒有這樣的打算。顯而易見,保證自己都並非易事,他很難保證每一個得到“武器”的人,也“不做深入研究”。

吳翰清對南方週末記者表示,根據刑法新的修正案,未經授權入侵他人計算機的行為,都是非法的。烏雲也在《資訊保安相關保護與宣告》中寫道,“白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,烏雲對此不承擔任何法律責任”。

事實是,絕大多測試在沒有授權的情況下進行。眾多的白帽子,行走在無人把守的危險邊界。

一位烏雲白帽子談到黑白帽子的界限時說,前期分析、獲得漏洞的過程幾乎沒有區別,“白帽子會說自己是白帽子,黑帽子從不會說自己是黑帽子。大家只是最後的利用方式不一樣。”

曾負責管理某公司郵箱系統的一位管理員在被報告漏洞後進行了系統修復,並向白帽子表示感謝。但他不太願意和黑客們過多接觸,不論黑帽子還是白帽子。他害怕自己的隱私會無所遁形。

“畢竟是富有攻擊色彩的行業,(黑客)會讓人不信任。”奇虎360公司的一位安全專家說。

發展初期的烏雲,在企業眼中簡直就是個黑客集中營,這樣的不信任感如同堅冰。在企業眼裡,提著自己的漏洞找上門來的,往往不是惡意競爭的同行,就是勒索要錢的黑客。一家大型國企曾要求烏雲將自己的漏洞資訊刪除,遭拒後,封掉了烏雲的流量,後經反覆協調才重新開通。

事實上,白帽子和黑帽子的邊界本來就是模糊的。據多名圈內人士印證,許多資料庫的漏洞被放出來前,價值就已幾乎被榨乾。一些黑帽子先把黑錢掙了,再改頭換面進入企業、白帽子團隊或是加入烏雲平臺,都是“洗白”的路徑。

大多網際網路公司用人的一條原則是,決不錄用有黑帽子經歷的人。“曾經就有案例,一個知名社交網站錄用了一個前‘黑帽子’,結果他在一個月內把系統摸清楚,最後把公司的資料庫全拖了。”上述奇虎360公司的安全專家對南方週末記者說。

做過黑帽子的人幾乎不可能再成為白帽子,除非你可以成功隱瞞你的過往——換個馬甲,在網路世界裡一切就可以重新來過。

“我們只能看他在烏雲平臺上做了什麼,對於過往經歷,我們沒有能力,也沒有義務去全部弄清。”方小頓的想法並不複雜,“讓好人可以做好人,讓壞人也想來做好人。”

他蓄著長髮與短鬍鬚,看上去更像一個藝術家。他的設想是,讓白帽子們過上乾淨且自由的WOOHO(Wooyun Home Office)生活——不論你在哪,只要開啟電腦,依靠自己的技術力量尋找漏洞、提交漏洞,就可以此為生,自在逍遙。

看上去很誘人。但事情的複雜性在於,整個網路世界都是灰色的,如果有區別,也只是灰度的不同。方小頓和他的夥伴們承認,在“帽子”們的江湖裡,這一點也不例外。

文章轉載自 開源中國社群 [http://www.oschina.net]


相關文章