天创培训:您身边的信息安全培训专家!
设为首页 | 添加收藏 | 网站地图 | 证书查询
行业动态
网络江湖中的黑与白 "白帽黑客"逐渐走入人们视野(一)

  便捷的信息产品、服务和应用已成为人类社会生活赖以运转的必需品,信息安全的重要性不言而喻。近年来发生的海量用户数据泄露、智能设备遭非法远程控制、网络勒索横行等事件已成为全球性问题。据估算,2016年网络相关犯罪造成的损失超过4500亿美元。如果说网络有江湖,那亦是风雨飘摇,自古江湖正邪不两立,既有恶人横行,自有侠客出山。“白帽黑客”作为网络江湖侠客,正逐渐走入人们的视野。

  在这一背景下,2016年11月至今年1月,美国陆军开展了名为“黑进军队(Hack The Army)”的赏金计划,包括征兵网站和陆军数据库等重要信息系统在军方授意下公开经受黑客的轮番测试。美国军方共收到400多份漏洞报告,派发奖金超10万美元。此外还将部分高危漏洞详情向社会披露,并计划筛选出优秀“白帽”为国效力。

  1 黑客和他们的“帽子”

  黑客(Hacker)指精通计算机技术,专注于程序设计的电脑高手,通过挖掘安全漏洞进而可以破解密码、控制计算机、窃取数据的神秘群体。“黑客”的称呼最初是中性甚至是褒义的,拥有“自由”“共享”“创造性”的独特文化。黑客往往会通过漏洞工具自动化扫描,获得一幅系统“漏洞地图”后尝试对信息产品和服务进行攻破。网络上无所不能的神秘黑客,在现实生活中可能是普通学生、程序员、工程师、研究人员或自由职业者。

  技术作为工具并无曲直,但使用者的目的却大相径庭。黑客大体可分为“白帽黑客”“黑帽黑客”和“灰帽黑客”三类。“白帽黑客”会利用自己的能力维护信息安全,发现漏洞后及时向厂商或有关部门进行反馈,保证漏洞在被恶意行为者利用前及时修复,提升产品系统的安全性;“黑帽黑客”则是利用技术损害产品和用户安全恶意获利的一群人。媒体上有关黑客攻击的报道指的就是“黑帽黑客”,例如臭名昭著的全球最大黑客组织“匿名者”,其核心成员超过千人,针对政府和企业系统发动攻击以表达不满,五角大楼、美中情局、索尼公司、万事达公司和希腊央行等网络系统均是其攻击目标。而“灰帽黑客”则是游走于二者之间,既不以维护网络安全为己任,亦不齿于为害一方,其关注重心只在于纯粹的炫技,追求的是技术超越带来的成就感。

  换言之,“白帽”为安全而技术,是网络安全的建设者;“黑帽”为利益而技术,是网络安全的破坏者。黑与白的界限往往非常模糊,仿佛苍茫大海中的白涛与黑浪,游戏世界中的白魔法与黑魔法。白帽子一念之差可能铤而走险,黑帽子浪子回头会变为网络安全的坚强捍卫者。

  2 网络漏洞:黑客的猎物

  无论戴着什么样的帽子,对于黑客而言,唯一的“猎物”就是网络漏洞。网络漏洞是指在信息产品软硬件、协议实现或安全策略上存在的缺陷,可以让攻击者在未授权的情况下访问或破坏系统。当企业发现或被通知产品存在漏洞时,会积极进行针对性地修复。漏洞具有全球化、通用性等特征,目前数量迅速增长,影响范围和程度不断增大,是对国家安全、经济发展的巨大威胁。

  打个比方,信息技术公司好比“钱庄”,负责保管用户的各类财产——我们的言行、资料、财产均以数字化形式被“钱庄”收集、保存、分析和利用。漏洞就是“钱庄”整个运行流程中的风险点,当然,大多数“钱庄”的金库围墙不会有缺口,窗子也装有护栏,会雇佣守卫看护,用户存取财产也需要提供凭证。但安全风险并未完全消除:恶意行为者可以雇佣大量闲散人员在柜台排队导致“钱庄”无法为真正的用户提供服务;守卫监守自盗;年久失修的围墙出现裂缝;市场上出现可以悄无声息剪开护栏钢筋的便携液压剪;或者直接通过地道挖进金库。黑客就是不断找出这些漏洞的一群人。

  网络漏洞具有全球化、通用性的特征,能够以点破面,筑再高的墙,换再复杂的门锁都难免疏漏。那么是不是把金库建造成铜墙铁壁、坚不可摧、处处监控、只进不出甚至深埋海底就可以保障绝对安全了呢?答案是否定的。首先信息领域没有“坚不可摧”,安全系统很快会随着技术更新变得不堪一击,安全系统需要不断更新维护;其次,互联网的本质是信息数据的自由流动和充分利用,“钱庄”的庞大金库需要被频繁存取访问,易访问性必须得到保证,所以不具备绝对安全的条件。

  因此,无论设计多么巧妙,实现能力多么强大,经过多少轮测试检验,任何信息产品和服务都不可避免地存在漏洞。信息产品安全不可能一蹴而就,需要在产品的整个生命周期中得到重视,能够及时发现并修复漏洞才是负责任企业的正确做法。以安全著称的苹果iOS系统仅在2015年就有387个安全漏洞被曝出,而微软的“视窗XP”系统在十多年的漫长生命周期中也有726个漏洞被曝出。正是因为这些产品的关注度高、用户量大,才会在“聚光灯”和“放大镜”下被研究得更彻底,修补漏洞后的产品也才会更安全和完善。因此,致力于发现并修补漏洞的白帽黑客们无疑是信息安全保障的重要助力之一。

  3 “白帽黑客”与江湖历练

  当然,漏洞不光是黑客们的猎物,亦是传统杀毒软件公司的势力范围。只不过杀毒软件是漏洞被利用后“亡羊补牢”,“白帽黑客”则是主动在羊圈外“巡视缺口”,力争未亡先补。“白帽黑客”作为维护网络安全的民间力量不断得到各方肯定与重视,同时他们也面临各类诱惑和困境。

  社会偏见。为吸引眼球,大众媒体往往对于黑客相关的新闻过度神秘化,所有负面安全事件均归结到“无所不能”的黑客身上。技术公司往往对“白帽黑客”未经授权的测试行为不满,并怀疑其主动报告的动机。政府往往抵触“外部黑客”的帮助,更不会建设奖励机制,打造正向反馈。

  金钱诱惑。在地下黑色产业链中,恶意利用漏洞变现的速度惊人,一个高危漏洞在黑市上可以买到六位数的高价,而“白帽黑客”通过正规渠道只能得到象征性的物质奖励。尽管“白帽黑客”对技术和安全的追求高于对金钱追求,但面对数十倍的收入差距和一夜暴富的诱惑,心存“网络犯罪难以追踪”的侥幸,不少黑客且将白帽换黑帽,不可避免地进入地下黑产链条。