半岛全媒体记者 景毅 徐新东
席卷全球的“永恒之蓝”WannaCry(想哭)勒索病毒,宛如打开的潘多拉魔盒,让整个互联网行业如临大敌,互联网安全的警钟再次敲响。而这背后,一条以“黑客”为主导的网络黑产产业链渐渐浮出水面。金钱和信息从来没有像今天这样与互联网技术紧密联系在一起,这给了黑客们接近财富的机会。“一念天堂一念地狱”,是黑还是白,考验着他们的底线。
数据来源/360 制图/张铭伟
■与病毒赛跑
锁定病毒样本,72小时完善“补丁”
“虽然我们早有预警,但真正爆发了还是让所有人都感到不可思议。”5月12日下午,在民众意识到“永恒之蓝”WannaCry(想哭)勒索病毒在互联网上全面爆发前,北京360总部大楼内,一场互联网病毒阻击战已经全面打响。
作为这家公司首席安全工程师,郑文彬深知这个病毒的威力:全球150多个国家的无数台电脑瞬间笼罩在病毒阴影之下。
除了波及范围广、中招个人用户多之外,此次病毒攻击还涉及医院、教育、公安、石油、民航和铁路等公共基础设施。其中,英国国立医疗服务(NHS)在此次病毒攻击中受到重大影响,英格兰、苏格兰许多医院正常的治疗活动受到影响,英国政府表示,在NHS全国248个医疗机构中,共有48个受到了攻击。而中国的一些高校是病毒刚开始发作的重灾区之一。360监测数据显示,5月12日“想哭”勒索病毒发起全球攻击后,在中国部分校园网开始扩散,夜间高峰期每小时攻击约4000次。
与此同时,北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在5月13日凌晨突然断网,造成无法刷银行卡及使用网络支付,一天左右后才基本恢复正常。青岛也有个别企业局域网遭到病毒勒索,经过紧急处理才脱险。这一切正如360董事长周鸿祎所言,“感觉像极了打开了潘多拉魔盒。”
5月12日17时许,在发现病毒警报两小时后,郑文彬迅速联动其所在的技术团队、产品团队、客服部门以及负责企业安全的部门,成立了第一个应对这个病毒事件的群。此后,在360大楼6层应急响应中心,一个由各个部门联动组成的安全技术团队,都聚集在一起办公,不论白天和晚上都保持十几个人在那里值班,“为了避免更大损失,我们一直在跟对方赛跑”。
“偶然背后都有必然。”在与勒索病毒交战过程中,反病毒工程师刘海粟感触颇深。在病毒爆发的5月12日晚上,刘海粟接到线索,一名用户的计算机遭遇入侵。在帮助用户远程看电脑Windows系统日志的过程中,刘海粟起初没抱太大希望,但突然看到服务启动这一项,凭经验看不是正常程序,从而锁定病毒样本。锁定之后,后续的分析就有的放矢了,他和团队一起很快提出应对策略。
5月13日下午,应急响应中心里传出好消息,终于解密了该病毒存在设计上的一个漏洞,当天晚上技术团队接着熬夜做恢复工具,5月14日凌晨2点,工具正式发布。
“在360安全卫士5亿用户中,仅有约20万没有打补丁的用户电脑被病毒攻击,但基本都被拦截下来。正常安装和开启360的用户不会中毒。”360安全产品负责人孙晓骏说。而针对不少企业和政府的计算机系统,没有官方补丁的系统,或者官方补丁打不上的系统,郑文彬的团队又在5月15日上午发了一个热补丁,以化解此类用户的危机。此时距离蠕虫勒索病毒爆发刚好72小时。
■“黑白”之争
“攻防战”就像打竞技游戏
潘多拉魔盒被打开了。打开魔盒的黑手,正是游走于地下的网络黑客。他们隐藏在黑暗之中,伺机而动,防不胜防。
郑文彬告诉记者,勒索病毒是黑客利用美国国家安全局NSA不慎泄露的黑客武器“Eternal Blue(永恒之蓝)”进行的变种攻击。无需任何操作,开机上网黑客就能在电脑和服务器中植入勒索软件。一旦感染,电脑内的文件会被黑客加密,受害者需要支付300美元以上的赎金才能解密,且赎金随着时间推移增加,如果一周内不付赎金,被加密的文件就会被“撕票”销毁。
不过截至5月18日上午,全球仅有292人交了赎金,共约8万美元。一方面,安全厂商在积极做数据恢复,很多机构通过断网和安装补丁阻止病毒扩算,另一方面,很多人和企业并不相信黑客。黑客也“食言”了,据说打钱的人并没有收到数据解密,这甚至让黑客圈发出了“盗亦有道”的呼吁,告诫勒索者“要言而有信,不要毁行业名声”。
“黑客本来是个带有褒义的词,但是随着病毒泛滥,黑客开始和网络犯罪联系在一起,黑客这个称谓也有些变质了。”360反病毒工程师刘海粟介绍,为了区分“敌我”,网络上把从事网络安全防卫的黑客称为“白帽黑客”,而从事网络攻击的则称为“黑帽黑客”,另外还有介入黑白之间的“灰帽子黑客”。黑白之争,攻防不断。
360企业安全集团董事长齐向东曾用一个场景形象地说明三种黑客的区别:“看到有人家门没关,进屋偷东西的是黑帽子;进屋转一圈,再对你说‘门没关严’的是灰帽子;提醒你‘门没关严’,在征得同意后帮你把门关上的是白帽子。”如同人类进行语言表达时,常会出现语法、逻辑上的错误一样,计算机语言中的“语法错误或逻辑性错误”,都叫“漏洞”。其实,无论是什么帽子,他们的“猎物”都是这些网络漏洞。网络漏洞是指在信息产品软硬件、协议实现或安全策略上存在的缺陷,可以让攻击者在未授权的情况下访问或破坏系统。当企业发现或被通知产品存在漏洞时,会积极进行针对性的修复。
“坊间对于‘黑客’的种种遐想都属于一厢情愿,黑客多数是普通人,不过是术业有专攻,选择了一个相对窄小的、不为外人熟悉的领域而已。”刘海粟始终不觉得自己的职业跟别人有什么不同。
1987年出生的刘海粟在上大二的时候开始接触这一行当,当时他和一群好友整天研究如何寻找杀毒软件漏洞,虽然技术还比较粗陋,但找到一个别人未发现的小漏洞照样成就感十足。
2010年刘海粟正式进入互联网安全行业后才发现,自己当初那点小得意是多么业余。“无论白帽黑帽,不断学习是他们的共同特质。”刘海粟说,除了各种专业知识,行业里的“大神”也是他们学习的榜样。
前文提到的郑文彬就是刘海粟心目中的大神之一。郑文彬与刘海粟同龄。2006年底,郑文彬接受360邀请来北京时,只有19岁,彼时的网络安全市场才刚刚起步。
初见郑文彬,很多人可能会误以为他是搞艺术的,但在黑客界,他有一个响亮的代号:MJ0011。
今年3月份,郑文彬带领的团队在加拿大举行的世界黑客大赛“Pwn2Own 2017”中战胜来自全球的10支顶尖黑客队伍夺得冠军。比赛中,战队不仅只用时3秒钟便攻破Adobe公司的PDF阅读器,还先后拿下了苹果Safari、MacOS、Flash、Windows10等项目。大赛最后一天,战队挑战被称为“史上最高难度”的连环破解项目,最终在63秒内,远程攻破Edge拿下Win10系统权限,并突破VMware虚拟机成功逃逸,这也是Pwn2Own举办十年来首次打破VMware的“不败金身”。
白帽黑客与黑帽黑客之间的对决就在于对网络漏洞的攻防上。两者之间的“攻防战”就像打竞技游戏,黑客们寻找系统漏洞的过程,就如同要在地图要安装的炸弹。“黑帽黑客发现漏洞,就会安装炸弹,但白帽黑客发现,就会发出预警做好防卫。”
2015年,意大利的黑客公司Hacking Team被入侵,公司邮件内容被公布,其中包含了很多漏洞信息。漏洞被公布在网络上,扩大了危害面,黑帽黑客会利用公开出来的漏洞攻击普通人。
这时候就是白帽黑客和黑帽黑客在赛跑。最终,360Vulcan团队花了四五天从几百G的文件中找到3个漏洞,涉及微软、Adobe等厂商,立即报给厂商去修复,避免损失扩大。
采访中,有业内人士也曾透露,因为挡了黑帽黑客的财路,有公司就曾被堵门,不仅如此,有些白帽黑客也曾收到过恐吓短信。
■模糊的“界限”
“白帽黑客”年入几百万不稀奇
同样是有千里之外攻城拔寨的功力,很多时候白帽与黑帽的界限并不明显。
近期,青岛警方破获了一起非法窃取、贩卖公民信息案件,摧毁了从黑客窃取到网络贩卖的全部犯罪链条。其中,犯罪嫌疑人张某(男,27岁,潍坊人)自2015年底利用黑客技术暴力破解某第三方支付平台,并编写“一种神奇的软件”、“一种神奇的软件2017”。贩卖给下线,而下线则利用这一软件非法获取下载公民身份证及银行卡等个人信并最终实施犯罪。据警方公布的数据显示,这伙“个人信息大盗”获利近百万元。
“2008年前,白帽黑客在中国生存环境不好。”郑文彬介绍。
一是收入不高。当时安全产业主要靠传统方式卖安全软件,一套光盘几百元。产品价格贵,安全公司线下销售成本高。技术高手赚不着钱,被迫去当黑客:稍有“良心”的,从事流氓软件、贩卖隐私;没底线的,就会涉及经济犯罪。除了不挣钱,当时社会对网络安全领域不重视,从业人员地位不高。就个人素质而言,安全行业对天赋的要求甚至高于职业体育。很多顶尖高手甚至中学都没上完,在传统就业门槛面前,水平再高也难找工作。“所以当时很多技术很强的人要么转行,要么就潜下去干了黑产。”郑文彬说。
2008年后,安全行业发生大变革。360率先宣布做免费杀毒,这种商业逻辑是做大用户数量,通过用户流量带来广告和其他方面收入成级数级增长。
完成了这轮产业变革,这些年伴随着中国互联网红利释放,国内的安全公司无论是技术还是资金实力,都有了质的提升。技术过硬的“白帽黑客”在安全公司,有年薪、股票期权和比赛奖金激励,收入不菲。“国内顶尖白帽子收入已经超过国外同行的收入水平,年入几百万甚至上千万的不稀奇。”郑文彬说。
地位提升也让白帽黑客越来越有底气。国家网信办、教育部、科技部等多部门下发的文件指出,国家战略层面要大力推动安全人才培养,行业数据显示:2020年,我国重要行业的网络安全人才需求量超过140万人。
勒索病毒潮反思:
国家安全需要
“实战试金”
勒索病毒潮事件背后,需国民整体安全素质提升。通常,我们认为企业和机构的内网是绝对封闭和安全的。但实际上,因为人员庞杂,操作不规范,导致病毒入侵。
另据IDC数据显示,中国政府企业IT系统的建设投入中,安全投入金额只占2%;发达国家是9%;一分投入,一分收获,勒索病毒潮中,金融系统因为对抗风险的能力、意识和投入最大,损失也是最小的。
实战是最大的试金石,任何行业都是如此。这段时间,网上曝光多起传统武术和自由散打人士比武,引发舆论对传统武术“实战型”的思考。
国内安全行业的实战性较为乐观。很多安全厂商内部会有安全AB队,彼此互促,竞争十分残酷;厂商间的竞争也如此。
任何行业,都是“实战造行业整体强大和发展”。无论是勒索病毒和未来的种种危机,恰恰是对国内安全产业的“大考”,无论是国内黑产,还是国家间的安全对抗,都需要筛选出可以快速启动和响应危机的“能力型供应商”。
