席卷全球的“永恒之蓝”WannaCry(想哭)勒索病毒,宛如打开的潘多拉魔盒,让整个互联网行业如临大敌,互联网安全的警钟再次敲响。而这背后,一条以“黑客”为主导的网络黑产产业链渐渐浮出水面。金钱和信息从来没有像今天这样与互联网技术紧密联系在一起,这给了黑客们接近财富的机会。“一念天堂一念地狱”,是黑还是白,考验着他们的底线。

■与病毒赛跑

锁定病毒样本,72小时完善“补丁”

“虽然我们早有预警,但真正爆发了还是让所有人都感到不可思议。”5月12日下午,在民众意识到“永恒之蓝”WannaCry(想哭)勒索病毒在互联网上全面爆发前,北京360总部大楼内,一场互联网病毒阻击战已经全面打响。

作为这家公司首席安全工程师,郑文彬深知这个病毒的威力:全球150多个国家的无数台电脑瞬间笼罩在病毒阴影之下。

除了波及范围广、中招个人用户多之外,此次病毒攻击还涉及医院、教育、公安、石油、民航和铁路等公共基础设施。其中,英国国立医疗服务(NHS)在此次病毒攻击中受到重大影响,英格兰、苏格兰许多医院正常的治疗活动受到影响,英国政府表示,在NHS全国248个医疗机构中,共有48个受到了攻击。而中国的一些高校是病毒刚开始发作的重灾区之一。360监测数据显示,5月12日“想哭”勒索病毒发起全球攻击后,在中国部分校园网开始扩散,夜间高峰期每小时攻击约4000次。

与此同时,北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在5月13日凌晨突然断网,造成无法刷银行卡及使用网络支付,一天左右后才基本恢复正常。青岛也有个别企业局域网遭到病毒勒索,经过紧急处理才脱险。这一切正如360董事长周鸿祎所言,“感觉像极了打开了潘多拉魔盒。”

5月12日17时许,在发现病毒警报两小时后,郑文彬迅速联动其所在的技术团队、产品团队、客服部门以及负责企业安全的部门,成立了第一个应对这个病毒事件的群。此后,在360大楼6层应急响应中心,一个由各个部门联动组成的安全技术团队,都聚集在一起办公,不论白天和晚上都保持十几个人在那里值班,“为了避免更大损失,我们一直在跟对方赛跑”。

“偶然背后都有必然。”在与勒索病毒交战过程中,反病毒工程师刘海粟感触颇深。在病毒爆发的5月12日晚上,刘海粟接到线索,一名用户的计算机遭遇入侵。在帮助用户远程看电脑Windows系统日志的过程中,刘海粟起初没抱太大希望,但突然看到服务启动这一项,凭经验看不是正常程序,从而锁定病毒样本。锁定之后,后续的分析就有的放矢了,他和团队一起很快提出应对策略。

5月13日下午,应急响应中心里传出好消息,终于解密了该病毒存在设计上的一个漏洞,当天晚上技术团队接着熬夜做恢复工具,5月14日凌晨2点,工具正式发布。

“在360安全卫士5亿用户中,仅有约20万没有打补丁的用户电脑被病毒攻击,但基本都被拦截下来。正常安装和开启360的用户不会中毒。”360安全产品负责人孙晓骏说。而针对不少企业和政府的计算机系统,没有官方补丁的系统,或者官方补丁打不上的系统,郑文彬的团队又在5月15日上午发了一个热补丁,以化解此类用户的危机。此时距离蠕虫勒索病毒爆发刚好72小时。

■“黑白”之争

“攻防战”就像打竞技游戏

潘多拉魔盒被打开了。打开魔盒的黑手,正是游走于地下的网络黑客。他们隐藏在黑暗之中,伺机而动,防不胜防。

郑文彬告诉记者,勒索病毒是黑客利用美国国家安全局NSA不慎泄露的黑客武器“Eternal　Blue(永恒之蓝)”进行的变种攻击。无需任何操作,开机上网黑客就能在电脑和服务器中植入勒索软件。一旦感染,电脑内的文件会被黑客加密,受害者需要支付300美元以上的赎金才能解密,且赎金随着时间推移增加,如果一周内不付赎金,被加密的文件就会被“撕票”销毁。

不过截至5月18日上午,全球仅有292人交了赎金,共约8万美元。一方面,安全厂商在积极做数据恢复,很多机构通过断网和安装补丁阻止病毒扩算,另一方面,很多人和企业并不相信黑客。黑客也“食言”了,据说打钱的人并没有收到数据解密,这甚至让黑客圈发出了“盗亦有道”的呼吁,告诫勒索者“要言而有信,不要毁行业名声”。

“黑客本来是个带有褒义的词,但是随着病毒泛滥,黑客开始和网络犯罪联系在一起,黑客这个称谓也有些变质了。”360反病毒工程师刘海粟介绍,为了区分“敌我”,网络上把从事网络安全防卫的黑客称为“白帽黑客”,而从事网络攻击的则称为“黑帽黑客”,另外还有介入黑白之间的“灰帽子黑客”。黑白之争,攻防不断。

360企业安全集团董事长齐向东曾用一个场景形象地说明三种黑客的区别:“看到有人家门没关,进屋偷东西的是黑帽子;进屋转一圈,再对你说‘门没关严’的是灰帽子;提醒你‘门没关严’,在征得同意后帮你把门关上的是白帽子。”如同人类进行语言表达时,常会出现语法、逻辑上的错误一样,计算机语言中的“语法错误或逻辑性错误”,都叫“漏洞”。其实,无论是什么帽子,他们的“猎物”都是这些网络漏洞。网络漏洞是指在信息产品软硬件、协议实现或安全策略上存在的缺陷,可以让攻击者在未授权的情况下访问或破坏系统。当企业发现或被通知产品存在漏洞时,会积极进行针对性的修复。

“坊间对于‘黑客’的种种遐想都属于一厢情愿,黑客多数是普通人,不过是术业有专攻,选择了一个相对窄小的、不为外人熟悉的领域而已。”刘海粟始终不觉得自己的职业跟别人有什么不同。

1987年出生的刘海粟在上大二的时候开始接触这一行当,当时他和一群好友整天研究如何寻找杀毒软件漏洞,虽然技术还比较粗陋,但找到一个别人未发现的小漏洞照样成就感十足。

2010年刘海粟正式进入互联网安全行业后才发现,自己当初那点小得意是多么业余。“无论白帽黑帽,不断学习是他们的共同特质。”刘海粟说,除了各种专业知识,行业里的“大神”也是他们学习的榜样。

前文提到的郑文彬就是刘海粟心目中的大神之一。郑文彬与刘海粟同龄。2006年底,郑文彬接受360邀请来北京时,只有19岁,彼时的网络安全市场才刚刚起步。

初见郑文彬,很多人可能会误以为他是搞艺术的,但在黑客界,他有一个响亮的代号:MJ0011。

今年3月份,郑文彬带领的团队在加拿大举行的世界黑客大赛“Pwn2Own　2017”中战胜来自全球的10支顶尖黑客队伍夺得冠军。比赛中,战队不仅只用时3秒钟便攻破Adobe公司的PDF阅读器,还先后拿下了苹果Safari、MacOS、Flash、Windows10等项目。大赛最后一天,战队挑战被称为“史上最高难度”的连环破解项目,最终在63秒内,远程攻破Edge拿下Win10系统权限,并突破VMware虚拟机成功逃逸,这也是Pwn2Own举办十年来首次打破VMware的“不败金身”。

白帽黑客与黑帽黑客之间的对决就在于对网络漏洞的攻防上。两者之间的“攻防战”就像打竞技游戏,黑客们寻找系统漏洞的过程,就如同要在地图要安装的炸弹。“黑帽黑客发现漏洞,就会安装炸弹,但白帽黑客发现,就会发出预警做好防卫。”

2015年,意大利的黑客公司Hacking　Team被入侵,公司邮件内容被公布,其中包含了很多漏洞信息。漏洞被公布在网络上,扩大了危害面,黑帽黑客会利用公开出来的漏洞攻击普通人。

这时候就是白帽黑客和黑帽黑客在赛跑。最终,360Vulcan团队花了四五天从几百G的文件中找到3个漏洞,涉及微软、Adobe等厂商,立即报给厂商去修复,避免损失扩大。

采访中,有业内人士也曾透露,因为挡了黑帽黑客的财路,有公司就曾被堵门,不仅如此,有些白帽黑客也曾收到过恐吓短信。

■模糊的“界限”

“白帽黑客”年入几百万不稀奇

同样是有千里之外攻城拔寨的功力,很多时候白帽与黑帽的界限并不明显。

近期,青岛警方破获了一起非法窃取、贩卖公民信息案件,摧毁了从黑客窃取到网络贩卖的全部犯罪链条。其中,犯罪嫌疑人张某(男,27岁,潍坊人)自2015年底利用黑客技术暴力破解某第三方支付平台,并编写“一种神奇的软件”、“一种神奇的软件2017”。贩卖给下线,而下线则利用这一软件非法获取下载公民身份证及银行卡等个人信并最终实施犯罪。据警方公布的数据显示,这伙“个人信息大盗”获利近百万元。

“2008年前,白帽黑客在中国生存环境不好。”郑文彬介绍。

一是收入不高。当时安全产业主要靠传统方式卖安全软件,一套光盘几百元。产品价格贵,安全公司线下销售成本高。技术高手赚不着钱,被迫去当黑客:稍有“良心”的,从事流氓软件、贩卖隐私;没底线的,就会涉及经济犯罪。除了不挣钱,当时社会对网络安全领域不重视,从业人员地位不高。就个人素质而言,安全行业对天赋的要求甚至高于职业体育。很多顶尖高手甚至中学都没上完,在传统就业门槛面前,水平再高也难找工作。“所以当时很多技术很强的人要么转行,要么就潜下去干了黑产。”郑文彬说。

2008年后,安全行业发生大变革。360率先宣布做免费杀毒,这种商业逻辑是做大用户数量,通过用户流量带来广告和其他方面收入成级数级增长。

完成了这轮产业变革,这些年伴随着中国互联网红利释放,国内的安全公司无论是技术还是资金实力,都有了质的提升。技术过硬的“白帽黑客”在安全公司,有年薪、股票期权和比赛奖金激励,收入不菲。“国内顶尖白帽子收入已经超过国外同行的收入水平,年入几百万甚至上千万的不稀奇。”郑文彬说。

地位提升也让白帽黑客越来越有底气。国家网信办、教育部、科技部等多部门下发的文件指出,国家战略层面要大力推动安全人才培养,行业数据显示:2020年,我国重要行业的网络安全人才需求量超过140万人。

勒索病毒潮反思:

国家安全需要

“实战试金”

勒索病毒潮事件背后,需国民整体安全素质提升。通常,我们认为企业和机构的内网是绝对封闭和安全的。但实际上,因为人员庞杂,操作不规范,导致病毒入侵。

另据IDC数据显示,中国政府企业IT系统的建设投入中,安全投入金额只占2%;发达国家是9%;一分投入,一分收获,勒索病毒潮中,金融系统因为对抗风险的能力、意识和投入最大,损失也是最小的。

实战是最大的试金石,任何行业都是如此。这段时间,网上曝光多起传统武术和自由散打人士比武,引发舆论对传统武术“实战型”的思考。

国内安全行业的实战性较为乐观。很多安全厂商内部会有安全AB队,彼此互促,竞争十分残酷;厂商间的竞争也如此。

任何行业,都是“实战造行业整体强大和发展”。无论是勒索病毒和未来的种种危机,恰恰是对国内安全产业的“大考”,无论是国内黑产,还是国家间的安全对抗,都需要筛选出可以快速启动和响应危机的“能力型供应商”。

参加“极棒”的比赛,最左侧是孙磊,中间是赵汉青。

本地人物

立志做医生却成“网络医生”　最不能接受的是:常被别人评价为“修电脑的”

其实在青岛,也活跃着一群为维护网络安全孜孜不倦的人。

赵汉青今年22岁,出生于即墨,目前是中国海洋大学信息科学与工程学院计算机科学与技术系一名大四学生,也是中国海洋大学信息安全实验室(以下简称实验室)的骨干成员。

5月18日下午,记者到海大采访时,赵汉青正带领着实验室的队员们对网络安全领域的一些问题做分析和研究。

赵汉青一米八的个头,瘦瘦的身材透露着一股子干练。

据介绍,赵汉青只是实验室里的本科成员,而这个实验室的成员还包括导师、博士生、硕士研究生等共计四十余人。

他们研究的是网络安全领域,包括系统安全、协议安全以及密码学。“系统安全中,有PC端、手机端的安全。协议安全中有网络协议安全,比如是不是钓鱼WiFi,或者假WiFi。再者,密码算法是否存在问题等。”赵汉青介绍,这些都是他们研究目标中较为常见的。在这一领域里,只有22岁的赵汉青已经可以称得上是业内的“武林高手”,甚至是校园里的“扫地僧”。

据介绍,他目前已经是国内顶尖的网络信息安全公司长亭科技的安全研究员,世界三大黑客赛事之一的GeekPwn(极棒)名人堂成员。他在熟悉的智能设备漏洞挖掘与利用、Android本地权限提升漏洞挖掘与利用、浏览器漏洞挖掘与利用等方面非常专业,并且屡屡在国际、国内的大赛中获奖。不过让人意想不到的是,其实四年前的他还仅仅是个只会玩玩游戏的电脑“门外汉”,而且他的人生目标也并非是要成为一位计算机工作者。

赵汉青介绍,他的亲戚当中有多位成员是医生,所以从小,家里人也一直想把他培养成一名医生。“当时在填报志愿的时候,我选择的学校基本都是专业的医学院校。”不过,赵汉青并未被医学院校所录取,最后他被中国海洋大学所录取,并一直在信息科学与工程学院计算机科学与技术系学习。“现实中医生的职责是为人看病治疗,不过我现在也是‘看病治疗’,只不过我服务的对象是计算机或者网络,找出它们身上的‘毛病’,并‘对症下药’。”赵汉青笑着说。

几十万条指令里找BUG

5月13日,2017国际安全极客大赛GeekPwn年中赛在香港举办。赵汉青和他的搭档孙磊演示了对十个知名品牌的路由器的攻击过程,在接入无线网络之后,几秒钟即可获取路由器的最高控制权限。

在演示的攻击场景中,在攻破路由器之后,就可以接管用户的所有流量,任意篡改用户的上网请求,劫持DNS域名解析过程,用虚假的登录界面替代用户的网银页面,获得用户的网银账号和密码,进而威胁到用户隐私和财产。

此次比赛中,他们获得了大赛第二名,赢得10万元奖金,并进入极棒名人堂。

其实,这次的比赛主要是由孙磊来负责展现。孙磊,1995年出生,今年也是22岁,是海大信息科学与工程学院计算机科学与技术系的一名大三学生。

5月18日下午,虽然离GeekPwn年中赛已经过去5天时间了,但当说起这次比赛时,孙磊那喜悦激动的心情溢于言表。孙磊说,这是他第一次参加这么高级别的比赛,而且还拿到了大奖,让他一直兴奋不已。孙磊性格内向,但这恰好能够让他沉下心来做事。2014年进入大学之后,他就顺利加入了信息安全实验室,跟着这个科研团队里的导师以及师哥师姐们学习历练。

三年的时间里,他从一个“傻白甜”已经变身为实验室里的骨干成员。针对智能路由器设备中的内存漏洞,孙磊从今年的2月底便开始进行专门的分析研究。

当时,他在一家网络销售平台输入路由器的关键词之后,把销量、评价都比较高的路由器全都买了个遍。“尽量把一些大品牌的路由器全都买到,这样我们的研究也更客观。”孙磊说,当时一共购买了十多个品牌智能路由器,然后开始寻找这些路由器的内存漏洞及其他漏洞。

孙磊回忆,在拿到一个设备时,第一件事情通常是去收集一些关于固件、架构、端口等信息以方便分析攻击面,之后要经历漏洞挖掘、漏洞利用、演示准备、撰写文档等环节。孙磊说,真正破解一款路由器的话其实并不需要太久,完成一个设备的破解长则需要一周,短的话其实一晚上就够了。

“不过这项工作是非常枯燥的。”孙磊说,与人脑用语言来思维一样,其实机器也有自己的语言,机器语言是使用“二进制代码指令”表达的计算机语言。指令是用0和1组成的一串代码,它们有一定的位数,并分成若干段,各段的编码表示不同的含义。

说起这次对智能路由器内存的分析,他称“这个过程相当于至少从几十万条的指令里找出逻辑的疏漏和BUG。”

“几十万条的指令,就这么一条一条地看,然后去分析,做完这十多个路由器的破解工作整整用了两个多月的时间。”孙磊说,由于平时还需要上课,这些工作都是他在课余时间完成的。“可以说,没有足够的兴趣的话是肯定无法坚持下来的。”孙磊介绍。“从大量的计算机语言中找出逻辑漏洞,作为一个‘白帽’来说,有耐心、不浮躁是必须要做到的。”赵汉青说。事后,赵汉青也表示,此次比赛中所展示的这些漏洞不会流入社会,他们已提交各大路由器厂商对漏洞进行修补。

“不过有时候我们的工作并不被人理解。”赵汉青说,他们自己挖漏洞,一者是兴趣使然,另外也是在为网络安全做贡献,发现哪家网站或者哪个企业的系统漏洞,可以提醒他们及时打补丁,避免被“黑产”们利用造成损失。“然而一个尴尬的现实是,被发现漏洞的企业中有部分往往对我们的好意抱以怀疑的态度。”

“最不想被人说成修电脑的”

赵汉青和孙磊都是中国海洋大学信息安全实验室的骨干成员。尤其是对赵汉青而言,四年的大学生活基本上都是在实验室里度过的。

从大一下半学期开始,他就自己跑去找研究生导师,并毛遂自荐进入了研究生的实验室。在实验室,他完全按照研究生的方法做学术科研,甚至争取到了自己的座位。

尽管大学四年的时间他在计算机方面取得了很多的成绩,但有时候他还是会羡慕文科生,“他们好像都生活得诗情画意一般。”赵汉青笑着说。

不过,最令他无法接受的是,他们这个专业被很多人错误地评价为“修电脑的”。

“怎么才能成为黑客呢?能帮我找回QQ吗?你会盗QQ号吗?帮我盗一个吧?知道对方的IP,要怎么控制对方?帮我修改个数据充个会员呗?”这类的问题,往往会让许多计算机专业的学生无言以对。“可以帮我修电脑吗?”更是让他们难以接受。

“修电脑这个问题不仅是黑客最怕的,对任何计算机专业出身的同学来说,都是恶梦。”事后,赵汉青也说。

另外,在采访中,赵汉青向记者介绍,路由器作为家庭的上网入口,连接了许许多多的设备,不仅笔记本电脑、手机需要连网,还有越来越多的智能设备。例如,摄像头、网络电视、智能插座、智能烤箱等也同样接入了家庭网络。因此,路由器这个网络入口设备的安全性就显得尤其重要。一旦路由器存在安全漏洞被黑客攻破,家里的其他设备就会更容易被监听、劫持,甚至长期植入后门。“这也是我们为何一直研究路由器的一个原因。”

他还特别提醒,平时通过一些措施可以大大降低自己家路由器被攻击的几率,比如说设置非常复杂的连入口令,再者不要让不可信的人连入你家的WiFi等。