來源:《三聯生活周刊》 記者:王海燕
WannaCry勒索病毒橫掃世界,其實起點并不是5月12日,而是4月15日,微軟的漏洞利用工具被公告天下時。那一天,行動起來的黑客有兩種,一種在準備血洗全世界的網絡,另一種試圖發出預警阻止戰爭。雖然勒索病毒事件讓國內眾多一線網絡安全公司股票全線飄紅,但對試圖阻止戰爭的黑客來說,戰爭早就發生了,他們并沒有獲得勝利。
未被重視的預警
“3月的補丁,4月的預警,早知道的事情……”這是陳宇森在病毒事件爆發一周后發的朋友圈。這句話看起來有“事后諸葛亮”之嫌,但他的確有資格這么說。他的團隊早在4月15日就作為國內首家,發出過跟這次事件相關的公開詳細預警,他們當時預估,“這次事件影響力堪稱網絡大地震”,一語成讖。
陳宇森是一家叫長亭科技的網絡安全創業公司CEO,因公司在應用層安全領域的技術突破和市場表現,今年名列福布斯“30 Under 30排行”。4月15日,公司高級安全工程師李昌志在知乎專欄發表了一篇文章“方程式又一波大規模0day攻擊泄漏,微軟這次要血崩”,稱黑客組織“方程式”放出了一批微軟漏洞利用工具,所有Windows服務器將暴露在危險之中,堪稱“核彈級爆炸”。
圖:長亭科技CEO陳宇森
方程式據稱是美國國家安全局下屬的黑客組織,握有大量的頂級網絡漏洞利用工具。2016年8月,一個名叫“影子”的黑客組織號稱入侵了方程式,盜竊了大量工具,希望公開拍賣,要價100萬比特幣(價值接近5億美元)。或許是為了證實自己握有工具,“影子”團隊曾陸續放出部分工具作為先聲。在拍賣一直無法成功的情況下,“影子”團隊放出了更多的漏洞利用工具。
漏洞是一個網絡安全術語,指網絡硬件和軟件的設計缺陷,黑客可以根據這些漏洞,開發出專門的工具,任何人都可以下載這些工具,使用漏洞進行入侵。0day攻擊則通常是指使用未知漏洞進行攻擊。雖然文章中的部分漏洞,微軟已經在3月給出了最新補丁,但是泄露出來的工具生產時間是2011年,之前一直在使用未知漏洞,所以仍然稱得上“0day攻擊”。而因為工具被公開,對沒有及時升級補丁或使用特定端口的所有用戶來說,立刻如赤膊現于重炮之下。
關于“影子”團隊放出漏洞利用工具的消息,長亭科技內部是幾名實習生最早在Twitter上看到的,時間是4月14日晚上10點左右。因為預感事態嚴重,公司安全團隊連夜組織了員工討論,一邊確認消息的準確性,一邊開始組織測試。測試完畢,團隊將危害的等級確認為最高,隨即寫文章在知乎發布。長亭科技確定危害等級主要是從兩個維度,一是危害程度,二是影響范圍。而根據長亭科技團隊的經驗,國內眾多政府機關、國企、高校甚至部分互聯網公司依然在使用未升級的老版本Windows,使用的也正是幾個易被攻擊的端口,需要特別注意。到4月16日,國內還有其他網絡安全公司如360也給出了簡短的預警信息。
但也許是因為預警太專業,也許是缺乏一線運維安全人員,對包括多所著名高校和部分地方公安在內的網絡系統,這些預警信息并沒有發揮作用。清華大學計算機安全中心倒是于4月15日貼出過一則“預防攻擊、關閉相關端口”的公告,在病毒爆發后的微博和朋友圈里火了一把,成為“為什么要努力考清華”的新梗。
當然,無論長亭科技還是其他安全公司的預警,都沒有提到“病毒”兩個字,因為他們也無法預知其他黑客下載這些工具會如何使用,實際上,勒索病毒只利用了那批工具中的一小部分,根據美國網絡安全公司Proofpoint的調查,在勒索病毒爆發之前,黑客已經利用這些工具入侵了全球數十萬臺PC和服務器,遠程操控這些設備進行數字貨幣挖礦,入侵規模可能比勒索病毒更大,只是無人察覺,正如安全圈內流傳的那句名言,“互聯網世界里,只分被黑過的和不知道自己被黑過的”。
畢竟對普通用戶和媒體來說,“漏洞利用工具”是一個陌生的名詞,病毒才是可以理解的。在勒索病毒事件爆發之初,甚至有媒體將之冠名為“比特幣病毒”,雖然比特幣只是黑客要求的支付手段而已。更多的人則將這款病毒與“熊貓燒香”聯系起來,看起來,那個屏幕上彈出來的紅框和10年前無數人電腦里彈出來的熊貓頗有相似性。
鮮為人知的漏洞
但勒索病毒和“熊貓燒香”除了名聲,幾乎沒有可比性。熊貓燒香是用蠕蟲侵入個人電腦,修改文件,損人不利己,更像一場“事件營銷”。勒索病毒卻直接指向經濟收益,是一門可觀的生意。并且,隨著以比特幣為首匿名支付手段日漸成熟,從2014年開始,這門生意的市場就在持續翻倍增長,目標則逐漸從個人用戶向高價值機構用戶轉移,帶來影響更廣泛的公共影響。
除了動機不同,勒索病毒與“熊貓燒香”的不同還在于,熊貓燒香是通過用戶主動在網站上下載的文檔植入計算機并傳染,可以預防也可以治理。勒索病毒則是,利用“方程式”已經為攻擊者找到并鋪好道路的Windows漏洞,橫掃所有符合攻擊條件的用戶,快速傳播,直接開啟了上帝模式。
陳宇森介紹,挖掘并利用類似的漏洞,也是所有從事網絡安全攻防的黑客的核心技能。1992年出生的陳宇森畢業于浙江大學竺可楨學院求是科學班,從大學時代進入網絡攻防領域,曾是源自清華大學的著名網絡安全技術競賽和研究團隊“藍蓮花戰隊”的一員。陳宇森的創業公司伙伴也大多來自這個戰隊。
如果利用病毒入侵網絡只需要一個簡單程序,那高水平的漏洞挖掘和利用,則需要掌握系統的計算機知識,從編程、匯編到操作系統,以及逆向工程,都要有所涉獵,同時還需要如同排雷手般豐富的經驗。雖然媒體經常曝光一些“天才少年”,以后者入侵了大型重要網站為例彰顯他們的水平,黑客圈也充斥著各種掌握極大量數據的傳奇黑客。但在陳宇森看來,這些人都算不上真正的或者說頂級黑客。
對,和大眾的固有印象不同,相比安全人員這個標簽,陳宇森更希望稱自己是一名黑客。對他來說,黑客應該如同其英文母詞“hacker”一樣,是對計算機有狂熱愛好和深入研究者的中性描述。他引用第一個破解iPhone的著名黑客Geohot的話,說黑客精神的核心是:“我渴望權力,不是針對人的權力,而是針對自然力量和技術目標的權力。我只是想知道這一切是如何運作的”。
在黑客圈內,黑客也有白帽黑客和黑帽黑客之分,兩者都會挖掘漏洞,這也是他們交手的主戰場。不同的是,白帽黑客將漏洞交予廠商和第三方平臺,幫助修復產品;黑帽黑客則利用漏洞獲得非法收益。陳宇森也不知道為什么,在中國,黑客直接成了一個負面詞語,“有點逼良為娼的意思”。
長亭科技首席安全研究員、還在清華大學就讀博士的楊坤,就是一名典型的白帽黑客。他經常帶領公司和學校的團隊進行各類攻防比賽,挖過模擬漏洞,也挖過真實的互聯網產品漏洞,他做得最多的事情是,長時間枯坐在電腦前面,從上百萬行代碼里面找出開發人員的紕漏。這是一件看起來絲毫不酷的事情,卻也是一名黑客走向頂尖高度的必經之路。
通常,一般的大型互聯網公司在自己的安全部門,都有負責挖掘漏洞的白帽黑客,同時,無論國內還是國外,都有來自政府、企業和第三方的漏洞平臺負責收取白帽黑客們挖掘的漏洞,并給予現金和物質回報。其中如BAT等大型互聯網公司,根據對不同漏洞的評估,單個漏洞的收購價格上幾萬是常事。
只是,和回報巨大的黑色產業比起來,白帽黑客通過挖掘漏洞得到的物質獎勵仍然顯得單薄。已經關閉的國內漏洞平臺烏云負責人方小頓曾將這種差距形容為,“月入一萬和日入一萬的差距”。陳宇森則認為這個差距還將繼續增大。“很簡單,連入互聯網的東西越來越多了。”有過多年黑客經驗的馮梓則提供了另外的信息,“過去一份QQ名單可能幾百塊就能買到,那時候的黑客不知道這些信息的價值,現在翻10倍也不一定買得到了。”
異常殘酷的戰爭
事實上,在網絡攻防這條路上,陳宇森和他的團隊顯得“根正苗紅”,即使不創業,團隊絕大多數成員都可以順利拿到國內外著名互聯網公司的錄取通知書。他們進入安全領域,成為白帽黑客,都是從系統學習和模擬比賽一路打怪晉級,并沒有進入黑色產業的動力和推力。但學霸型的黑客只是鳳毛麟角,在中國,更多的黑客卻只能像老鼠和蝙蝠一樣,活在暗無邊際的夜色中,游走在道德和法律的邊緣,稍有不慎就會跌下懸崖。
一直以來,中國有“白帽黑客”覺悟和立場的安全人才是嚴重缺乏的。根據上海交通大學信息安全工程學院院長李建華在2017中國網絡安全年會的報告,中國目前平均每年增長的安全人才不過兩三萬,但總需求量卻超過70萬,缺口高達95%。李建華還認為勒索病毒背后表明,中國目前極缺源碼分析專業人才和一線運維服務的安全人才。
與之對應的是盡管誰都看得出網絡安全市場必然崛起。但傳統企業和單位仍然只注意到業務安全的層面,比如發生了電信詐騙,能否幫忙溯源。也就只有為數不多的一些互聯網企業現在強調的是系統層和代碼層的安全,比如系統是否有漏洞。勒索病毒事件發生后,國內一線安全公司的股票通通飄了紅,網絡安全、信息安全一下子成了熱門話題,但短期內中國互聯網安全現狀依然嚴峻。
從多起網絡軍火商泄漏的信息可以表明,一直以來中國都是國際化網絡攻擊的受害者。如在Hacking Team的泄漏數據中發現,一些亞洲地區國家對我國進行的網絡攻擊竊密的鐵證,甚至一些攻擊已經得手,成功的控制了國內目標的PC或手機。攻擊方還會對新發現的問題做針對性的要求,保證更隱秘的監控與機密信息的回傳。這也意味著,國際上對我國的網絡間諜行為是真實存在的。相信這次事件也將成為網絡安全的里程碑,讓我們所有人都深刻的意識到國家網絡安全的重要與緊迫性。
業內評論認為。歸根結底網絡安全是一場國力與民智的綜合對抗戰,政府、企業、個人各司其職環環相扣,那一個環節掉鏈子都得付出慘痛的代價。相信這次席卷全球的勒索病毒事件過后,絕大多數遭劫或僥幸躲過的企業,會意識到網絡安全、信息安全的重要性,“最起碼以后我們的工程師發個預警信息,他們打個補丁總沒那么困難了吧”,長亭科技CEO陳宇森擺了個無奈的笑臉說道,當然還是建議有意向、有想法的企業用戶或個人,關注長亭科技的官網、官微及知乎等新媒體平臺的公眾號,或許就能幫你避免下一次類似或者更嚴重的攻擊。(原標題《網絡安全戰爭里,白帽黑客與攻擊者的較量》,有刪節改編。)
關于長亭科技:
長亭科技是國內一家成立三年的網絡安全公司,專注為企業用戶提供針對應用層防護的解決方案,其創新性地將語義分析和自動機技術引入傳統應用層防護產品中,使得復雜的產品操作簡化成一鍵操控的可視化智能安全產品,更在準確率提升的基礎上將速度提升了百倍,曾受邀在美國的Blackhat大會上分享核心技術。目前,公司已為招商銀行、招商證券、滴滴、BiliBili、邏輯思維等諸多金融及互聯網企業提供簡單智能的安全防護,去年獲得啟明、真格、滴滴等公司的數千萬A輪融資。
