一位大神級“白帽黑客”眼中的網路安全

影視作品中，“黑客”是一種神祕又無所不能的存在：找出漏洞，控制網路，侵入系統，盜走錢財，竊取機密……

但現實中，黑客卻有好壞之分：“白帽黑客”和“黑帽黑客”。二者都研究系統漏洞，但白帽黑客的最終目的是解決安全問題，黑帽黑客則可能利用漏洞作惡。

360Vulcan團隊就是白帽黑客，主要從事主流作業系統和瀏覽器的漏洞研究，該團隊負責人、360首席工程師鄭文彬在行業內被視為“大神級人物”。

在今年3月舉辦的Pwn2Own世界黑客大賽上，鄭文彬帶著他的團隊成員僅用11秒便攻破了賽事中難度最大的挑戰專案——找到谷歌Chrome瀏覽器的漏洞，擊敗了同臺的韓國隊，成為該專案的冠軍。

鄭文彬認為，在歐美、日韓等國家的黑客佔領高地的時代，中國的黑客水平正在提高，但仍需要更多的資源去培養白帽黑客，而物聯網時代，企業的網路安全意識需要加強。

擋了黑帽黑客財路 收到恐嚇簡訊

魔高一尺，道高一丈，白帽黑客與黑帽黑客之間的博弈也是如此。在鄭文彬看來，白帽黑客與黑帽黑客之間的“攻防戰”就像打CS（反恐精英）遊戲，尋找系統漏洞的過程如同在地圖中找到藏著的那把槍。

“黑帽黑客發現，就會拿槍殺人，但白帽黑客發現，會把槍藏起來，或者銷燬，如果白帽黑客速度快，就可以保護使用者不被攻擊。”

在他看來，黑帽、白帽的技術交鋒是一個賽跑過程，白帽黑客的行為，“擋了黑帽黑客的財路”，二者之間火藥味較濃。“國外的火藥味比國內重。”鄭文彬發現，國內白帽和黑帽更多的是暗中較勁，360公司的安全白帽就收到過恐嚇簡訊。

如何能在博弈中取勝？鄭文彬認為，基礎資源和人力資源都很重要。“挖掘漏洞，伺服器資源的多少很關鍵。此外，人才投入越多，對‘跑贏’比賽就越有利。”

去年，義大利的黑客公司Hacking Team被入侵，公司郵件內容被公佈，其中包含了很多漏洞資訊。漏洞被公佈在網路上，擴大了危害面，“黑帽黑客會利用公開出來的漏洞攻擊普通人。”

“這時候就是白帽黑客和黑帽黑客在賽跑，”談到這次經歷，鄭文彬格外興奮。“我們團隊花了四五天從幾百G的檔案中找到3個漏洞，涉及微軟、Adobe等廠商，立即報給廠商去修復，避免損失擴大。”

白帽黑客與黑帽黑客博弈的結果影響到網路環境。白帽黑客的數量是重要的因素。如今在國內，黑客總體數量上升，但白帽黑客佔比更高，黑帽黑客越來越少。

“雖然黑帽黑客賺得多，但要承擔很大風險。現在國家立法也越來越完善，很多黑帽黑客也願意轉型做白帽黑客。”鄭文彬解釋。

鄭文彬認為，過去幾年，黑客在中國是一個“野蠻生長”的過程。“隨著360這樣的安全公司的崛起，網際網路巨頭BAT也在網路安全方面投入很大力量，國內的網路環境有很大改善。”

他認為，亞洲的白帽黑客團隊近兩年表現不錯，“韓國政府非常重視黑客技術發展，通過在大學裡舉辦對抗賽，從大學生中發掘人才。”

中國在這方面跟歐美有一定差距，“但現在不管是業界還是學界，都越來越重視網路安全人才的培養。”鄭文彬稱，“國內高校從去年開始，將計算資訊保安作為一級學科，現在大部分985高校都設有資訊保安專業，與計算機專業平級。”

“很多年輕的天才型人才，有著與眾不同的思維角度、方式，發現的漏洞也是我們從未想到過的，年紀輕輕就能‘亂拳打死老師傅’。”在他看來，資訊保安工作更依賴靈感，國內的安全環境還很複雜，希望有更多新鮮血液注入網路安全行業。

下個月，360公司同韓國POC Security共同主辦的世界黑客大師挑戰賽(Belluminar Beijing)將開賽，作為此次活動的負責人，鄭文彬希望藉此搭建一個國內外安全技術團隊的交流平臺，為國內培養出更多優秀的白帽黑客。

和韓國POC Security合作是鄭文彬提出來的。去年，在韓國POC Security安全大會上，鄭文彬看到了跟其他比賽截然不同的新形式。“過去是比賽方出題黑客答題，而這個比賽是黑客之間互出題目。”鄭文彬記得，去年有一個國際前十的強隊在這個比賽中拿了零分，“可見比賽的難度有多高。”

除比賽外，最值得借鑑的是分享會，各個團隊在賽後還會分享出題、解題的思路，面對面交流。鄭文彬希望把這樣的比賽帶到國內，邀請俄羅斯、美國、韓國等多國的頂級黑客戰隊，和國內團隊一起，同臺競技交流。據瞭解，此次比賽有兩個中國團隊參賽，是上海交通大學的0ops和清華大學的藍蓮花（blue-lotus）。

缺乏安防的智慧裝置極易被黑客攻擊

隨著萬物互聯時代的到來，網路安全問題將比過去更加重要。

眼下，智慧家居逐步走進生活，其背後隱藏著巨大風險。鄭文彬的團隊就曾經攻破過家電、汽車等的智慧裝置，該團隊一位女程式設計師回憶，攻破智慧裝置的瞬間，自己都嚇了一跳。

“我們攻破過豆漿機，還有電視機、洗衣機，發現通過網路能找到很多智慧裝置漏洞，可以遠端操控裝置。”比如通過藍芽裝置控制油電混動的智慧汽車，就可以造成緊急斷油、斷電。

她認為，增加安全防護，經濟成本不會太高，主要是時間成本問題。廠商為了搶佔市場往往沒時間先搭建安全基礎，維護資訊保安。“這就像是沒穿衣服，裸露在外，極易被攻擊。”

在團隊看來，安防是基礎，但在實際發展中，安防反而是相對滯後的需求。“就像智慧手機剛出來的時候，安全效能不盡人意。其後，安全事件頻發，廠商才慢慢開始重視，物聯網的發展也是這樣一個過程。”

鄭文彬認為，物聯網時代面臨的安全問題會比較多，“過去的安全問題頂多是資訊洩露，但物聯網時代，如果醫療裝置或是家電被黑客攻擊，就可能威脅人的生命安全。”

目前，物聯網裝置的發展還處於起步階段，物聯網裝置和網際網路安全的結合度不高。他說，由於物聯網的安全性問題會直接影響普通人的真實生活，可能會更快解決這一問題。

他表示，網際網路安全是智慧城市發展的重要基石，“不管是智慧城市還是智慧家居，沒有安全基石就會危害日常生活。”

黑客操縱訊號燈，就會造成交通事故；黑客入侵發電站，就會導致城市電路癱瘓。一個典型的例子，去年烏克蘭近60座發電站在聖誕節期間被攻擊，導致首都基輔部分地區和烏克蘭西部地區整整斷電兩天。

目前國內的安全防範基礎較弱，企業的安全意識尚不到位。“其實只要用最新的系統、打最好的補丁，安全門檻就會大大提高，但即便如此，仍有很多企業做不到。”他表示，“網路安全就是國家安全，政府和企業都要增強安全意識，將資訊保安作為重點來抓。”

本文轉自d1net（轉載）