欢迎您光临02卡盟,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!

地下城与勇士卡盟 漏洞猎人的黑与白:他们为何选择了年薪十万而非日薪十万

地下城与勇士卡盟

勒索病毒“WannaCry”肆虐全球,黑客再次引起人们的关注。人们不知道的是,与黑客伴生的还有一群号称白帽子的人。

地下城与勇士卡盟 漏洞猎人的黑与白:他们为何选择了年薪十万而非日薪十万

AI财经社(ID:Economic-Weekly)

文 | 孙静

编辑 | 周春林

互联网安全圈对“黑白”格外敏感。

比如90后从业者邓焕,现在更喜欢自称“安全研究者”,而不是“黑客”或者“白帽子”。

在大部分人的印象中,“黑客”是动动手指就可以让银行账户多出一串天文数字的少年天才,是电影中轻松攻破美国国防部安全系统的电脑高手,是勒索病毒“WannaCry”、“熊猫烧香”等恶性病毒的制作者。而“白帽子”,虽然特指黑客中的守法群体,但这仍很难打消外界对他们的种种猜疑:会不会“白天白帽子,晚上黑帽子”?

邓焕并不回避——几乎每一个白帽子都会受到黑产的诱惑。他在初三时就收到一份开价数十万元的“邀约”,希望其攻击国内某知名央企的OA系统,窃取财报。95后的“珈蓝夜宇”,也多次在QQ上收到月薪10万元的“境外工作机会”。

他们少时便学会警醒。这是一个如履薄冰的爱好。如果说85前一代靠自由、共享的黑客精神完成自我进阶,那么85后、90后一代,则注定要在利益交错的隐秘江湖经受法律、人性的多重考验。

因为,黑与白的界限,有时并不那么清晰。

野路子

在圈外人面前, “珈蓝夜宇”从不会主动亮明身份。

年少气盛时爱炫技,同学朋友得知他是黑客后,纷纷抛来各种不靠谱的“求助”:能不能刷点Q钻?怎么追回被盗QQ ?帮哥们儿查下女友的手机?做个木马程序?……还有年长的亲戚打来电话:家里电器坏了,你能过来修一下吗?

他好脾气地重复解释:我不会,或者,我不做违法的事。

“珈蓝夜宇”有一张稚气未脱的脸。他高二辍学,18岁工作,到今年刚满20岁。我们初次见面时,他身体紧贴桌沿儿,像个腼腆的中学生。这与“珈蓝夜宇”在黑客圈子里的活跃形成反差。在搜狗、京东、腾讯等大厂商SRC(SecurityResponse Center,安全响应中心)上,他收获过不错的战绩排名。前同事记得,他有一叠京东购物卡,都是挖漏洞时获得的平台奖励。大家每次购物前,都先来找他兑换。

说起来很有意思,“珈蓝夜宇”钻研黑客技术,最初只是为了做外挂。

读初中时,他迷恋一款叫《地下城勇士》的网游,在一次被盗号后,愤而报了个在线的外挂班。学费300元,是他半个月的生活费。也算下了血本。

但是剧情在随后发生转折。因为做外挂带来的成就感,远远高出升级打怪的快感,“网瘾少年”迷上了黑客技术。他开始自学,狂啃《非安全》——一本介绍网络技术安全的杂志,当年售价29元。

地下城与勇士卡盟 漏洞猎人的黑与白:他们为何选择了年薪十万而非日薪十万

很多80后、90后黑客都有相似的经历。伴随个人PC机的兴起,电脑杂志在潜移默化中影响了一批人。 “白帽汇”联合创始人邓焕记得,他从同桌的一本《QQ技术宝典》开始,买过《黑客手册》《黑客防线》《黑客x档案》等一堆黑客杂志。刚开始像看天书,很多东西不懂,却又觉得有意思,就硬着头皮往下读,慢慢理解漏洞成因。

此后便是实战。

“珈蓝夜宇”最早入侵过“卡盟”商城,一个虚拟物品交易平台。他点击右上角的管理员登陆,随手输入一个弱口令“admin” (超级管理员),进去了。当时很多网站默认密码是“admin”或123456,安全性相当糟糕。

接下来的故事,就像一个贸然闯入别人家后花园的孩子,发现院子里没人,便随意采撷几朵玫瑰,扬长而去。控制了管理员后台,“珈蓝夜宇”为自己和同学连续刷Q钻,不花一分钱。更多同学找过来,他成了大家眼里的牛人。一种成就感暗自膨胀。

邓焕也是成绩斐然。初中时,就有人在QQ上加他,开价数十万元,让其从某央企办公自动化系统窃取财报。承认当时很心动,但隐约觉得不太正当,便告知了父母。第一次的黑色诱惑被及时扼杀。

高中时,他测试过某政府部门的官方网站,检测出多个漏洞后,发了一封邮件。对方的第一反应竟然是:你怎么知道的邮箱?至于漏洞本身,网站管理者并不在意。

大学毕业前,湖南某知名企业招聘信息安全人员。邓焕先测试了企业的官网,然后渗透到内网。发现系统漏洞后,他当晚整理了一份报告发过去。第二天,公司便通知他去面试。双方聊得不错,但最后被卡在学历一项,据说集团有统一要求,至少本科毕业。

邓焕去了互联网公司。互联网圈向来是技术说话,不太在意学历和专业。白帽子黑客确实大多“野路子出身”,靠兴趣自学成才。比如在邓焕前东家360公司的信息安全部负责人,大学读的考古专业,黑客教父级人物TK(腾讯玄武实验室创建者于旸),曾是一名医生。

相比之下,读信息安全专业的邓焕,已经算准科班出身。在24岁时,他升为补天漏洞响应平台的负责人之一。见过他的人说,邓焕眉目清秀的脸上,挂着超越年龄的老练。

我问过“珈蓝夜宇”,当黑客什么时候最有成就感。他没有丝毫犹豫:“挖一个影响特别大的漏洞。”

网上狩猎

“珈蓝夜宇”迄今挖到的最大漏洞,是微软撞库”。撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。

他断断续续挖了一周。每晚9点,从公司回到顺义的出租房,第一件事便是打开笔记本上的扫描工具。每天要挖到凌晨三四点。如果当晚一无所获,总会忍不住沮丧,觉得时间白费了。

就像直觉灵敏的猎人,一个晚上,他终于发现了猎物的行踪 — 微软系统存在“撞库”风险。要知道,微软随便出一个可能被黑客攻击的漏洞,影响都将是世界级的。比如最近在全球攻城略地的勒索病毒,便是写照。

提交漏洞后,他很快收到微软奖励的3000美元。国外大型互联网公司如微软、谷歌Facebook等,都有相对成熟的SRC机制或者漏洞奖计划,鼓励外部安全测试人员协助企业维护系统安全。

国内从2012年开始,才出现第一家企业SRC,是腾讯公司自建平台。阿里、百度、搜狗等互联网公司随后陆续设立SRC。

安全圈人士总结,正是有了SRC,国内才出现白帽子的概念,越来越多的黑客可以通过“挖洞”技术,光明正大地获取收入。

普通人想象中黑客个个身怀绝技,但实际中“挖洞”门槛极低。

邓焕记得,五六年前,国内对互联网安全防护几乎没有概念。中国出现漏洞最高的网站是政府和高校。“当时有多糟糕?随便一个互联网小白,拿着工具扫一扫,就能入侵几个网站。”

网上有大量在行业内被称作“脚本小子、工具党”的人。他们不懂漏洞原理,只会利用黑客工具,仍然收获颇丰。

“珈蓝夜宇”估计,会一点编程、会用黑客工具扫描漏洞的,月收入能达到上万元。

他本人多是晚上兼职挖漏洞,最高月收入4万元,仅在搜狗SRC上,他就挖出过包括输入法在内的四五十个漏洞,获得奖金近5万元。一年下来,兼职收入10多万元。

但他强调,只想赚钱的人,是学不好黑客技术的。

乌云网创始人方小顿曾说过,一名白帽子黑客,除了要在技术方面感兴趣之外,另一点就是必须拥有一个正能量的理想。

理想这个东西,在80后一代黑客身上尤为明显。邓焕形容85前的黑客,是理想一代。他们处事低调,乐于分享和交流技术,挖洞不为钱,只是为了证明个人能力,从中获得成就感。

虽然生于1990年,邓焕从心理认同上更接近80后。

“珈蓝夜宇”是标准的95后,但他也看不惯年轻一代黑客的张扬和浮躁。有人挖到一个漏洞,就在知乎上大说特说,展示攻击日志。有不少人,挖洞只是为了钱或名。

他估计,国内从业者至少数万人,但顶级黑客应该不足百人。他们或隐于江湖,在BAT身居要职;或开山立派,自己创业当老板。

目前白帽子黑客群体的主力是90后。

“在岸边走,尽量不靠河边走”

网络安全是双刃剑,黑客很难做到百分之百清白。在解释这句话前,邓焕抛出一道选择题:“白帽子在未通知对方的前提下做渗透测试提交漏洞,你觉得是合法的吗?”

这正是行业一度面临的窘境——法律界限模糊。众测本身是一个比较模糊的概念,测试到哪一步就该喊停?具体获取多少条数据既可以验证漏洞存在、又不至于违法?这些问题此前并未明确规定。

曾有某大型知名互联网公司被乌云曝出数据泄露。但是圈内人都知道,至少在半年前,该公司数据已经在地下流传,只是企业自身不知情。

邓焕的合伙人、安全圈“带头大哥”级人物赵武,曾在个人微博中不点名地做出预警。对方没反应。

很多人会追问,为什么不主动去提醒企业?

“如果我主动找上门,说你家某某处有安全问题。你的第一感觉是什么?你会觉得我勒索你。”邓焕苦笑。

白帽子黑客的顾虑不无道理。2015年底,青年袁炜在乌云平台提交了世纪佳缘的系统漏洞。一个月后,世纪佳缘报警称“网站数据被非法窃取”,袁炜遭逮捕。在圈内人看来,袁炜找漏洞、提交漏洞的行为没有越线,白帽子平时均是如此做测试。

这成了安全圈的一个标志性事件。处于灰色地带的白帽子黑客群体,开始重新审视法律边界。

2016年7月,又一转折性事件发生:中国最大的白帽子黑客聚集地 — 乌云网关闭,多名高管被警方带走调查。

地下城与勇士卡盟 漏洞猎人的黑与白:他们为何选择了年薪十万而非日薪十万

安全圈一片惶恐,特别是在乌云网排名靠前的黑客,几乎陷入集体焦虑。邓焕说,很多人都进入“倒带”状态,回忆自己是否在不知情时踩线,是否碰过敏感数据。

有段时间,“珈蓝夜宇”格外警惕,不再轻易对某些网站进行测试,除非得到授权,“我怕被误伤”。他为自己定的规矩是:在岸边走,尽量不靠河边走。

一些黑客团体也会对成员提出明确要求:做测试一定需要公司授权。做远程评估渗透,必须拿到对方书面授权文件。

特别是今年6月1日以后,新施行的《网络安全法》第二十六条已经对白帽子黑客行为做出了明确界定,“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”

受乌云网事件的影响,部分企业安全人员有点郁闷。乌云鼎盛时,企业被曝光,就像经历了一次慌手慌脚的公关危机。部分企业由此开始重视网络安全,招聘安全人员。 “珈蓝夜宇”一个朋友,便在那时入职一家小公司。刚开始,这个朋友特别受重视,公司每次产品会议都会叫上他;后来乌云倒了,没人报(漏洞)了,他越来越边缘,没了会议通知,没了安全要求,他只得乖乖走人。

快一年了,外界仍无乌云及其高管的最新消息。

一名圈内人评论,乌云社区的存在有利有弊:它标榜自由理想,汇集了一批热爱技术的人,对安全行业做出了不可忽视的贡献;但与此同时,这种漏洞公布方式,不能排除有搞黑产的人会混在里面,坐收渔利。

“黑产的诱惑”

圈子里总有人过段时间会莫名消失。直觉告诉“珈蓝夜宇”,又有人去闷声发大财了。

“大财”,即黑产。白帽子与黑产从业者都是“漏洞猎人”。不同的是,前者的猎物是漏洞本身,后者则围猎企业和网民,靠洗劫攫取财富。在这类人眼中,技术或许只是让银行卡数字不断变长的魔法工具。

“珈蓝夜宇”就在黑客技术交流论坛上,结识过一个网名“法师”的少年天才,技术特别厉害。两人后来在一个朋友的聚会上还见过面,一起喝酒、唱歌。

但他最近一次见“法师”却是在新闻照片上。2016年8月19日,山东准大学生徐玉玉被一个诈骗电话骗走5000元学费,18岁女孩绝望离世,震惊全国。警方侦破案件时发现,一名不法黑客利用网站安全漏洞,侵入“山东省2016高考网上报名信息系统”,下载了60多万条高考考生信息,并在网上非法出售,获利5万多元。这其中,就包括徐玉玉的个人信息。

地下城与勇士卡盟 漏洞猎人的黑与白:他们为何选择了年薪十万而非日薪十万

“珈蓝夜宇”发现,犯罪嫌疑人有点脸熟 — 正是“法师”本人。

一阵唏嘘。

“珈蓝夜宇”也遇到过黑产的诱惑,但自嘲“怕有钱没命花”。

“我感觉他(“法师”)就是有钱没命花的那种。” “珈蓝夜宇”发现,黑产人员会从各大厂商的白帽子排行榜上挖人。对方上来就说,有新加坡菲律宾的工作机会,年薪百万,保证绝对安全。开出的条件里,还包括每天换模特女朋友。

这个待遇极具诱惑。毕竟,在国内要做到大神级黑客,年收入才有可能达到百万级别。

黑产从业者过着与白帽子截然不同的生活。邓焕身边有人炫耀,做黑产日收入几万元。有人开销特别大,出去吃顿饭要好几千,然后就是买各种豪车、奢侈品。但近年,国家越来越重视网络安全,有不法黑客因多年前的案底被翻出来而锒铛入狱。 “跟贪官一样,有了第一次(受贿),觉得来钱特别容易,收手可就难了。”

有位“回归”的朋友还告诉“珈蓝夜宇”,出国后, “组织”会扣押护照,就像传销组织扣押身份证。

大型互联网公司通常不会录用背景不清楚、或有过“污点”的安全研究人员。不知黑白是很可怕的事,有可能演变成企业危机公关。今年3月央视报道称,京东前员工郑某鹏,被曝长期与黑产团伙勾连,从供职过的多家互联网公司盗取个人信息,在网上售卖。

消息一出,很多用户担心个人信息被泄露,后来京东方面出来澄清,公司是在与腾讯联合打击信息安全地下黑色产业链的日常行动中,发现该员工系黑产团伙成员,并立即报警。“由于该员工入职时间不长且权限不高,因此这批泄露的信息是否包含京东相关信息还有待查证。”

也有商业竞争对手利用安全作文章。 “白帽汇”服务过一家做2B业务的客户,在拿下一轮融资的前几天,该公司用户数据批量被盗。入侵者群发邮件给每一个客户,指出系统不安全,导致下一轮融资直接受到影响。

接手后,邓焕和同事分析网络日志,进行溯源,结果发现系统安全存在漏洞,并被攻击者拿来利用。联想到攻击的时间点非常关键,这家客户推断是某竞争对手所为。

邓焕入行七八年,听过太多以安全为工具的商战故事——有公司为抢客户直接入侵竞争对手的数据库,会把客户资料偷过来,再逐个电话推广。

这也是邓焕选择出来创业的一个原因:大量企业的“后花园”并不安全,“栅栏门”上需要加把锁,将不速之客拦截在门外。他们要做的,便是为企业提供安全定制方案,并收集威胁情报,在事前、事中、事后提醒企业。

团队有一条业务线是卧底黑产。在互联网上,QQ是黑产人员的聊天主要渠道。他们派人加进群里,由系统监控着几百个黑产群,总人数达万人。

黑产盯上谁、攻击谁,想脱谁的数据、哪些企业的数据在地下正被贩卖等,这些均构成威胁信息的内容。

不久前,他们发现QQ群里有人贩卖某知名电商网站的最新订单数据。邓焕团队经过初步印证,发现订单真实存在。因为与网站安全负责人相识,他们便将这一情况直接告知对方。

得到授权后,他们作为企业与黑产的“接头人”,帮对方买回一批数据,验证真伪,排查出问题的环节。最后追踪到,某分省一个快递公司系统出现漏洞,导致客户数据被卖。快递公司连夜报警。

互联网世界,数据成了被交易的商品。有的一条要一两块钱。早些年,花上三四百元,便能买整套身份证和银行卡,全是别人的名字。即使现在,在QQ里还能搜得到。在百度网盘,输入某些关键词,可以搜出几百万条与个人信息相关的数据。

还有不法黑客,为了炫耀,会在某个网页后面挂黑页,留下自己QQ号。黑页属于网站二级目录,需要管理员权限才能创建。白帽汇监控到,会将信息输送给企业。

对安全敏感的企业越来越多。“珈蓝夜宇”有次开着扫描器,边扫描,边浏览知乎网页。次日,知乎技术人员看到攻击日志,便根据ID找过来,委婉地说,公司正在招聘安全人员。而在五六年前,白帽子提交漏洞,或主动联系厂商,通常别人理都不理。

网络安全的剑与盾

在望京一处快餐厅结帐时,“珈蓝夜宇”很认真地盯着小票嘀咕:“说发短信通知,可我不是会员,他们怎么知道我的手机号?”

直到我确信是他误解了字面意思,他才将注意力转移到食物本身。

安全圈的人都敏感。他们比谁都了解,当下信息泄露成本之低。邓焕发现,自己遭遇信息泄漏,也只能抱怨一句:“又被卖了,个人信息没被泄漏出去才厉害”。

中国互联网协会数据报告指出,78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过。曾有媒体报道,在黑产群里,700元就能买到一个人的行踪,包括开房、乘机、上网吧等11项纪录。而获取这些信息,仅需提供一个手机号码。

安全圈对此早就司空见惯。邓焕订外卖,从来不用实名和个人手机号。他周围很多人都用“阿里小号”,与实体SIM卡绑定,在订餐、网站注册、购物时,App会自动生成另一串电话号码,显示到对方平台上。

邓焕本人对实名制的态度极为谨慎:要求互联网实名制,一定是建立在系统安全或能保护好公民隐私的前提下。一旦信息泄漏,影响恶劣。比如韩国要求公民上网需接入个人信息,但却发生了数据库泄漏事件,导致全国公民信息都有可能被脱了库。国内也发生过因为社保系统漏洞,多省公民社保信息被泄漏的事件。遇到网站注册时要输身份证号的,除非BAT这种,其他邓焕情愿放弃注册。

而“珈蓝夜宇”的敏感,更多是在拆快递时的强迫症。他一定要把快递单据撕碎,实在撕不下的,就拿小刀划烂,再扔掉。他从不用公共Wi-Fi,也不会为了领取廉价小礼品,而用手机扫一扫或注册某些乱七八糟的网站。

今年6月1日起施行的《网络安全法》,或许某种程度上可以降低个人信息被泄露的概率。该法第四十二条明确了运营者的责任:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”否则,轻者被警告罚款,“情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”。

一把高悬的达摩克里斯之剑。

这也意味着,发现网络漏洞或网站被黑以后,企业不能再不了了之。对于中国互联网的安全来说,这部法律的实施不啻为一个良好的开端。

邓焕觉得,对白帽子黑客而言,这或许也是件好事。

【本文将刊发于2017年6月5日出版的第134期《财经天下》周刊】