WannaCry勒索病毒横扫世界,其实起点并不是5月12日,而是4月15日,微软的漏洞利用工具被公告天下时。那一天,行动起来的黑客有两种,一种在准备血洗全世界的网络,另一种试图发出预警阻止战争。虽然勒索病毒事件让国内众多一线网络安全公司股票全线飘红,但对试图阻止战争的黑客来说,战争早就发生了,他们并没有获得胜利。
未被重视的预警
“3月的补丁,4月的预警,早知道的事情……”这是陈宇森在病毒事件爆发一周后发的朋友圈。这句话看起来有“事后诸葛亮”之嫌,但他的确有资格这么说。他的团队早在4月15日就作为国内首家,发出过跟这次事件相关的公开详细预警,他们当时预估,“这次事件影响力堪称网络大地震”,一语成谶。
陈宇森是一家叫长亭科技的网络安全创业公司CEO,因公司在应用层安全领域的技术突破和市场表现,今年名列福布斯“30 Under 30排行”。4月15日,公司高级安全工程师李昌志在知乎专栏发表了一篇文章“方程式又一波大规模0day攻击泄漏,微软这次要血崩”,称黑客组织“方程式”放出了一批微软漏洞利用工具,所有Windows服务器将暴露在危险之中,堪称“核弹级爆炸”。
方程式据称是美国国家安全局下属的黑客组织,握有大量的顶级网络漏洞利用工具。2016年8月,一个名叫“影子”的黑客组织号称入侵了方程式,盗窃了大量工具,希望公开拍卖,要价100万比特币(价值接近5亿美元)。或许是为了证实自己握有工具,“影子”团队曾陆续放出部分工具作为先声。在拍卖一直无法成功的情况下,“影子”团队放出了更多的漏洞利用工具。
漏洞是一个网络安全术语,指网络硬件和软件的设计缺陷,黑客可以根据这些漏洞,开发出专门的工具,任何人都可以下载这些工具,使用漏洞进行入侵。0day攻击则通常是指使用未知漏洞进行攻击。虽然文章中的部分漏洞,微软已经在3月给出了最新补丁,但是泄露出来的工具生产时间是2011年,之前一直在使用未知漏洞,所以仍然称得上“0day攻击”。而因为工具被公开,对没有及时升级补丁或使用特定端口的所有用户来说,立刻如赤膊现于重炮之下。
关于“影子”团队放出漏洞利用工具的消息,长亭科技内部是几名实习生最早在Twitter上看到的,时间是4月14日晚上10点左右。因为预感事态严重,公司安全团队连夜组织了员工讨论,一边确认消息的准确性,一边开始组织测试。测试完毕,团队将危害的等级确认为最高,随即写文章在知乎发布。长亭科技确定危害等级主要是从两个维度,一是危害程度,二是影响范围。而根据长亭科技团队的经验,国内众多政府机关、国企、高校甚至部分互联网公司依然在使用未升级的老版本Windows,使用的也正是几个易被攻击的端口,需要特别注意。到4月16日,国内还有其他网络安全公司如360也给出了简短的预警信息。
但也许是因为预警太专业,也许是缺乏一线运维安全人员,对包括多所著名高校和部分地方公安在内的网络系统,这些预警信息并没有发挥作用。清华大学计算机安全中心倒是于4月15日贴出过一则“预防攻击、关闭相关端口”的公告,在病毒爆发后的微博和朋友圈里火了一把,成为“为什么要努力考清华”的新梗。
当然,无论长亭科技还是其他安全公司的预警,都没有提到“病毒”两个字,因为他们也无法预知其他黑客下载这些工具会如何使用,实际上,勒索病毒只利用了那批工具中的一小部分,根据美国网络安全公司Proofpoint的调查,在勒索病毒爆发之前,黑客已经利用这些工具入侵了全球数十万台PC和服务器,远程操控这些设备进行数字货币挖矿,入侵规模可能比勒索病毒更大,只是无人察觉,正如安全圈内流传的那句名言,“互联网世界里,只分被黑过的和不知道自己被黑过的”。
毕竟对普通用户和媒体来说,“漏洞利用工具”是一个陌生的名词,病毒才是可以理解的。在勒索病毒事件爆发之初,甚至有媒体将之冠名为“比特币病毒”,虽然比特币只是黑客要求的支付手段而已。更多的人则将这款病毒与“熊猫烧香”联系起来,看起来,那个屏幕上弹出来的红框和10年前无数人电脑里弹出来的熊猫颇有相似性。
鲜为人知的漏洞
但勒索病毒和“熊猫烧香”除了名声,几乎没有可比性。熊猫烧香是用蠕虫侵入个人电脑,修改文件,损人不利己,更像一场“事件营销”。勒索病毒却直接指向经济收益,是一门可观的生意。并且,随着以比特币为首匿名支付手段日渐成熟,从2014年开始,这门生意的市场就在持续翻倍增长,目标则逐渐从个人用户向高价值机构用户转移,带来影响更广泛的公共影响。
除了动机不同,勒索病毒与“熊猫烧香”的不同还在于,熊猫烧香是通过用户主动在网站上下载的文档植入计算机并传染,可以预防也可以治理。勒索病毒则是,利用“方程式”已经为攻击者找到并铺好道路的Windows漏洞,横扫所有符合攻击条件的用户,快速传播,直接开启了上帝模式。
陈宇森介绍,挖掘并利用类似的漏洞,也是所有从事网络安全攻防的黑客的核心技能。1992年出生的陈宇森毕业于浙江大学竺可桢学院求是科学班,从大学时代进入网络攻防领域,曾是源自清华大学的著名网络安全技术竞赛和研究团队“蓝莲花战队”的一员。陈宇森的创业公司伙伴也大多来自这个战队。
如果利用病毒入侵网络只需要一个简单程序,那高水平的漏洞挖掘和利用,则需要掌握系统的计算机知识,从编程、汇编到操作系统,以及逆向工程,都要有所涉猎,同时还需要如同排雷手般丰富的经验。虽然媒体经常曝光一些“天才少年”,以后者入侵了大型重要网站为例彰显他们的水平,黑客圈也充斥着各种掌握极大量数据的传奇黑客。但在陈宇森看来,这些人都算不上真正的或者说顶级黑客。
对,和大众的固有印象不同,相比安全人员这个标签,陈宇森更希望称自己是一名黑客。对他来说,黑客应该如同其英文母词“hacker”一样,是对计算机有狂热爱好和深入研究者的中性描述。他引用第一个破解iPhone的著名黑客Geohot的话,说黑客精神的核心是:“我渴望权力,不是针对人的权力,而是针对自然力量和技术目标的权力。我只是想知道这一切是如何运作的”。
在黑客圈内,黑客也有白帽黑客和黑帽黑客之分,两者都会挖掘漏洞,这也是他们交手的主战场。不同的是,白帽黑客将漏洞交予厂商和第三方平台,帮助修复产品;黑帽黑客则利用漏洞获得非法收益。陈宇森也不知道为什么,在中国,黑客直接成了一个负面词语,“有点逼良为娼的意思”。
长亭科技首席安全研究员、还在清华大学就读博士的杨坤,就是一名典型的白帽黑客。他经常带领公司和学校的团队进行各类攻防比赛,挖过模拟漏洞,也挖过真实的互联网产品漏洞,他做得最多的事情是,长时间枯坐在电脑前面,从上百万行代码里面找出开发人员的纰漏。这是一件看起来丝毫不酷的事情,却也是一名黑客走向顶尖高度的必经之路。
通常,一般的大型互联网公司在自己的安全部门,都有负责挖掘漏洞的白帽黑客,同时,无论国内还是国外,都有来自政府、企业和第三方的漏洞平台负责收取白帽黑客们挖掘的漏洞,并给予现金和物质回报。其中如BAT等大型互联网公司,根据对不同漏洞的评估,单个漏洞的收购价格上几万是常事。
只是,和回报巨大的黑色产业比起来,白帽黑客通过挖掘漏洞得到的物质奖励仍然显得单薄。已经关闭的国内漏洞平台乌云负责人方小顿曾将这种差距形容为,“月入一万和日入一万的差距”。陈宇森则认为这个差距还将继续增大。“很简单,连入互联网的东西越来越多了。”有过多年黑客经验的冯梓则提供了另外的信息,“过去一份QQ名单可能几百块就能买到,那时候的黑客不知道这些信息的价值,现在翻10倍也不一定买得到了。”
异常残酷的战争
事实上,在网络攻防这条路上,陈宇森和他的团队显得“根正苗红”,即使不创业,团队绝大多数成员都可以顺利拿到国内外著名互联网公司的录取通知书。他们进入安全领域,成为白帽黑客,都是从系统学习和模拟比赛一路打怪晋级,并没有进入黑色产业的动力和推力。但学霸型的黑客只是凤毛麟角,在中国,更多的黑客却只能像老鼠和蝙蝠一样,活在暗无边际的夜色中,游走在道德和法律的边缘,稍有不慎就会跌下悬崖。
一直以来,中国有“白帽黑客”觉悟和立场的安全人才是严重缺乏的。根据上海交通大学信息安全工程学院院长李建华在2017中国网络安全年会的报告,中国目前平均每年增长的安全人才不过两三万,但总需求量却超过70万,缺口高达95%。李建华还认为勒索病毒背后表明,中国目前极缺源码分析专业人才和一线运维服务的安全人才。
与之对应的是尽管谁都看得出网络安全市场必然崛起。但传统企业和单位仍然只注意到业务安全的层面,比如发生了电信诈骗,能否帮忙溯源。也就只有为数不多的一些互联网企业现在强调的是系统层和代码层的安全,比如系统是否有漏洞。勒索病毒事件发生后,国内一线安全公司的股票通通飘了红,网络安全、信息安全一下子成了热门话题,但短期内中国互联网安全现状依然严峻。
从多起网络军火商泄漏的信息可以表明,一直以来中国都是国际化网络攻击的受害者。如在Hacking Team的泄漏数据中发现,一些亚洲地区国家对我国进行的网络攻击窃密的铁证,甚至一些攻击已经得手,成功的控制了国内目标的PC或手机。攻击方还会对新发现的问题做针对性的要求,保证更隐秘的监控与机密信息的回传。这也意味着,国际上对我国的网络间谍行为是真实存在的。相信这次事件也将成为网络安全的里程碑,让我们所有人都深刻的意识到国家网络安全的重要与紧迫性。
业内评论认为。归根结底网络安全是一场国力与民智的综合对抗战,政府、企业、个人各司其职环环相扣,那一个环节掉链子都得付出惨痛的代价。相信这次席卷全球的勒索病毒事件过后,绝大多数遭劫或侥幸躲过的企业,会意识到网络安全、信息安全的重要性,“最起码以后我们的工程师发个预警信息,他们打个补丁总没那么困难了吧”,长亭科技CEO陈宇森摆了个无奈的笑脸说道,当然还是建议有意向、有想法的企业用户或个人,关注长亭科技的官网、官微及知乎等新媒体平台的公众号,或许就能帮你避免下一次类似或者更严重的攻击。(原标题《网络安全战争里,白帽黑客与攻击者的较量》,有删节改编。)
关于长亭科技:
长亭科技是国内一家成立三年的网络安全公司,专注为企业用户提供针对应用层防护的解决方案,其创新性地将语义分析和自动机技术引入传统应用层防护产品中,使得复杂的产品操作简化成一键操控的可视化智能安全产品,更在准确率提升的基础上将速度提升了百倍,曾受邀在美国的Blackhat大会上分享核心技术。目前,公司已为招商银行、招商证券、滴滴、BiliBili、逻辑思维等诸多金融及互联网企业提供简单智能的安全防护,去年获得启明、真格、滴滴等公司的数千万A轮融资。