久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

2015年9月下旬，XCodeGhost病毒事件成為國內(nèi)互聯(lián)網(wǎng)安全圈的熱議話題。而這場(chǎng)由各大知名網(wǎng)絡(luò)公司的程序員在不知情的情況下向蘋果用戶“投毒”的重大事故，幾乎囊括了中國互聯(lián)網(wǎng)在安全方面存在各個(gè)環(huán)節(jié)的疏漏。

國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)在官網(wǎng)發(fā)布了預(yù)警公告，被植入惡意程序的蘋果APP可以在App Store正常下載并安裝使用，惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能。這意味著感染病毒的手機(jī)隨時(shí)隨地具有被“惡意遙控”的風(fēng)險(xiǎn)。而騰訊安全應(yīng)急響應(yīng)中心發(fā)布的報(bào)告稱，在App Store上的Top500應(yīng)用有76款被感染。保守估計(jì)，受此事影響的用戶數(shù)超過一億。

蘋果iOS系統(tǒng)一向以“封閉而安全”著稱，XCodeGhost病毒事件和2014年因?yàn)閕Cloud密碼泄露而引發(fā)好萊塢的明星艷照門事件似乎在表明，互聯(lián)網(wǎng)已經(jīng)沒有秘密可言;一個(gè)完全不會(huì)被攻克的系統(tǒng)，只能是神話。

一億個(gè)“毒蘋果”

9月12日，騰訊安全團(tuán)隊(duì)在一次常規(guī)的測(cè)試中發(fā)現(xiàn)異常，經(jīng)過分析和追查，團(tuán)隊(duì)基本還原了感染方式、病毒行為和影響面。

9月13日，產(chǎn)品團(tuán)隊(duì)發(fā)布了相關(guān)軟件的新版本。同時(shí)考慮到事件影響面比較廣，立即通知了國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心，該中心馬上采取了相關(guān)措施，比如在官網(wǎng)發(fā)布預(yù)警公告。

9月16日，騰訊團(tuán)隊(duì)進(jìn)一步檢測(cè)發(fā)現(xiàn)，App Store上的Top 5000應(yīng)用有76款被感染，于是向蘋果官方及大部分受影響的廠商同步了這一情況。

9月18日，嗅覺敏銳的國外安全公司Palo Alto發(fā)現(xiàn)了這個(gè)問題，并發(fā)布第一版分析報(bào)告，指出在App Store上架的網(wǎng)易云音樂v2.3.8版本已經(jīng)感染病毒。

至此，該病毒雖然入侵了超過一億臺(tái)蘋果手機(jī)，但大量普通用戶依然被蒙在鼓里。病毒曝光后，知道創(chuàng)宇安全研究團(tuán)隊(duì)發(fā)現(xiàn)，微信早前的版本同樣受感染，只是，在發(fā)現(xiàn)病毒后騰訊第一時(shí)間悄悄進(jìn)行了修復(fù)。而其他受感染的廠商在得到CNCERT的預(yù)警和騰訊的通報(bào)后，都沒有通知用戶，沒有下架產(chǎn)品，沒有更新產(chǎn)品，大家一起悄無聲息地維持著表面的平靜。

9月17日下午，烏云知識(shí)庫作者蒸米對(duì)網(wǎng)友曝出的“通過非官方渠道下載的IOS開發(fā)工具Xcode被植入惡意代碼”的內(nèi)容進(jìn)行了確認(rèn)。該病毒被命名為XCodeGhost。18日中午，烏云安全中心向業(yè)界發(fā)布了預(yù)警。

這一天，事件開始在社交網(wǎng)絡(luò)發(fā)酵。像被推倒的多米諾骨牌一樣，包括滴滴出行、12306、中國聯(lián)通手機(jī)營業(yè)廳、高德地圖、中信銀行行動(dòng)卡空間等知名應(yīng)用商被先后證實(shí)感染病毒。

烏云漏洞平臺(tái)是介于廠商和安全研究人員的第三方獨(dú)立平臺(tái)，在業(yè)界以“堅(jiān)持公開漏洞”著稱，曾曝光過“攜程網(wǎng)支付漏洞”“12306用戶數(shù)據(jù)泄露”等網(wǎng)絡(luò)安全漏洞，在社會(huì)上引起巨大反響。這一次，又是烏云率先捅出了這個(gè)漏洞。

多數(shù)受感染的廠商依然對(duì)此噤聲。只有網(wǎng)易云音樂等少數(shù)平臺(tái)輕描淡寫地發(fā)布官方聲明，稱“此次感染及信息皆為產(chǎn)品的系統(tǒng)信息，無法調(diào)取和泄露用戶的個(gè)人信息。目前感染制作者的服務(wù)器已經(jīng)關(guān)閉，不會(huì)再產(chǎn)生任何威脅”，試圖以此平息用戶的恐慌。

但威脅遠(yuǎn)非如此簡(jiǎn)單。安全專家林正隆(coolfire)分析，因?yàn)楹诳屯ㄟ^受病毒感染的軟件能獲得的資料權(quán)限與 App的權(quán)限一樣，比如定位、照片、通訊錄，安裝越多受感染的App，用戶的個(gè)人資料泄漏得就越全面。

雖然App Store緊急下架了所有受感染應(yīng)用，但已經(jīng)被下載到手機(jī)的應(yīng)用風(fēng)險(xiǎn)并未消除。而那些錯(cuò)過了相關(guān)新聞而沒有及時(shí)刪除軟件的用戶，也許至今都用著“毒蘋果”而不自知。

蘋果有毒，源頭在于國內(nèi)互聯(lián)網(wǎng)公司開發(fā)產(chǎn)品的不規(guī)范操作。因?yàn)閲鴥?nèi)從蘋果官方下載Xcode速度慢，部分軟件工程師直接從非官方渠道，比如各大論壇和網(wǎng)盤，尋找第三方資源而導(dǎo)致中招。

這就相當(dāng)于黑客在河流的上游投毒，所有用此開發(fā)工具的軟件都成了小型木馬，處于下游的用戶毫無預(yù)警地集體躺槍。知名白帽黑客蔡晶晶稱，這次事件足以載入移動(dòng)安全的史冊(cè)，他將黑客對(duì)蘋果開發(fā)工具感染的技巧與著名的伊朗鈾濃縮設(shè)備被蠕蟲損壞的震網(wǎng)事件相提并論。后者由于西門子工業(yè)開發(fā)集成工具WinCC中被入侵者感染了惡意代碼，使與WinCC連接的工業(yè)控制系統(tǒng)被間接感染，最后導(dǎo)致了大量伊朗核工業(yè)設(shè)備物理損壞。

一直到9月19日，騰訊安全應(yīng)急響應(yīng)中心才發(fā)布長(zhǎng)文《你以為這就是全部了?我們來告訴你完整的XCodeGhost事件》，披露上述過程。而這么做的原因，是因?yàn)椴夭蛔×恕?/p>

可以想見，如果沒有白帽子在烏云安全平臺(tái)率先公布細(xì)節(jié)，這個(gè)影響巨大的病毒將依然被捂在企業(yè)內(nèi)部，毒蘋果將于暗處滋長(zhǎng)，被地下黑色產(chǎn)業(yè)鏈慢慢吮吸，直至某個(gè)不可估量的損失到來。

無處不在的隱私泄露隱患

不僅僅是下載到手機(jī)的軟件，只要與互聯(lián)網(wǎng)連接，現(xiàn)實(shí)生活的隱私也可能在瞬息之間被黑客侵入而曝光于眾。網(wǎng)絡(luò)攝像頭便是其中的重災(zāi)區(qū)。根據(jù)攝像頭漏洞原理，黑客可以通過固件缺陷和漏洞獲取那些能夠由網(wǎng)絡(luò)訪問的攝像頭控制權(quán)限，達(dá)到窺探目的。而目前可以通過網(wǎng)絡(luò)訪問的攝像頭已隨處可見，它們不僅涉及到家用監(jiān)控，而且蔓延至商業(yè)場(chǎng)所、賭博、酒店、銀行等所有公共場(chǎng)所。此外，黑客還可以讓用戶在遠(yuǎn)程查看自己監(jiān)控器畫面時(shí)，永遠(yuǎn)看到的是一個(gè)靜止的畫面，而非真實(shí)現(xiàn)場(chǎng)環(huán)境。

9月初，一家名為“俺瞧瞧”的攝像頭視頻直播分享網(wǎng)站被媒體曝光，任何人都可以免費(fèi)在線收看這些視頻。根據(jù)相關(guān)報(bào)道，僅江蘇一個(gè)省，13個(gè)市無一幸免，600多個(gè)直播點(diǎn)涵蓋普通人上班、吃飯、游玩、住宿等各個(gè)生活環(huán)節(jié)，而被偷窺者大都對(duì)此一無所知。

在2014年一場(chǎng)的安全極客嘉年華暨GeekPwn活動(dòng)上，國內(nèi)著名的安全團(tuán)隊(duì)Keen Team現(xiàn)場(chǎng)演示了如何攻破聲稱是全美最安全汽車特斯拉的系統(tǒng)。在演示中，只要通過手機(jī)打開網(wǎng)頁，就可以遠(yuǎn)程讓一輛特斯拉打開車門、后備箱，讓正向行使的汽車突然倒車，甚至熄火失控。

2015年7月舉辦的烏云白帽子大會(huì)上，很多泄露隱私的漏洞隱患在會(huì)上被曝光。會(huì)議吸引了超過700名黑客和企業(yè)安全圈的技術(shù)人員參加，

白帽子，是近幾年新興的一個(gè)稱謂。為了和那些非法入侵謀取暴利的黑客區(qū)分開來，一部分有正義感、希望用掌握的技術(shù)維護(hù)網(wǎng)絡(luò)安全的黑客稱自己為“白帽黑客”，簡(jiǎn)稱“白帽子”。他們的入侵行為點(diǎn)到為止，并主動(dòng)將漏洞提交給企業(yè)，其中有信息安全愛好者，也不乏互聯(lián)網(wǎng)安全從業(yè)者。

黑客的聚會(huì)自然也是黑客顯身手的地方。黑客們要現(xiàn)場(chǎng)證明互聯(lián)網(wǎng)漏洞無處不在防不勝防。

入場(chǎng)之前，組織了就一再告誡參會(huì)者，不要隨意連接場(chǎng)內(nèi)不明WIFI，那有可能是黑客們?cè)O(shè)置的誘餌。會(huì)場(chǎng)還專門設(shè)置了一道綿羊墻來公示那些因連接WIFI而被竊取的客戶終端信息，這源于西方黑客大會(huì)的傳統(tǒng)，用來教育粗心的人們——“你很可能隨時(shí)都被監(jiān)視”。但會(huì)場(chǎng)外依然有不明真相的人中招，綿羊墻上其中一條被入侵手機(jī)的短信寫著，“×××，你要求的小妹已經(jīng)給你安排好了，還是在昨天晚上的套房。”引來會(huì)場(chǎng)一片歡樂的笑聲。

白帽子們?cè)跁?huì)議上現(xiàn)場(chǎng)演示的各類黑客技術(shù)讓人不寒而栗。入侵電腦、“黑”掉一臺(tái)手機(jī)、復(fù)制一張手機(jī)卡都是分分鐘的“小把戲”;而利用漏洞劫持一臺(tái)無人機(jī)，改變其航程和目的，在黑客的操作下也如探囊取物。

“黑客大會(huì)”，聽起來是一小撮網(wǎng)絡(luò)犯罪分子聚集起來共同搞破壞的地下組織，充滿了不安全的因素。但白帽子們公開演示這些地下黑色產(chǎn)業(yè)的前端技術(shù)，恰恰是為了讓警醒網(wǎng)民，提高對(duì)防范意識(shí)。

白帽子畢月烏在現(xiàn)場(chǎng)演示了如何偽造電話號(hào)碼、通過偽基站發(fā)送釣魚短信、以及讓各大企業(yè)飽受傷害的羊毛黨背后的黑手。

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告》，2014年，我國發(fā)現(xiàn)惡意仿冒釣魚網(wǎng)站頁面數(shù)量增至93136個(gè)，較2013年增長(zhǎng)2.1倍。

偽基站不需要通過運(yùn)營商可以直接給手機(jī)發(fā)短信。用戶在接收到偽基站發(fā)送的諸如“中國移動(dòng)積分兌換”的短信后，如果警惕性不高，很容易點(diǎn)擊短息內(nèi)的鏈接而進(jìn)入仿冒的10086官網(wǎng)，一旦輸入姓名、銀行卡和密碼這些信息后，黑客們就輕松盜取卡上的錢。在畢月烏入侵的一家釣魚網(wǎng)站后臺(tái)，赫然看到上面的紅字，“歡迎來到尖刀科技工作室，我們不生產(chǎn)人民幣，我們只是人民幣的搬運(yùn)工。”

不止個(gè)人，在“互聯(lián)網(wǎng)+”金融市場(chǎng)崛起后，眾多企業(yè)也開始深受地下產(chǎn)業(yè)的坑害。為了吸引客戶，企業(yè)經(jīng)常舉辦一些回報(bào)非常豐厚的活動(dòng)，比如注冊(cè)用戶送十塊錢代金券。“羊毛黨”便應(yīng)運(yùn)而生，在一些薅羊毛網(wǎng)站專門收集發(fā)布各種注冊(cè)送禮、返現(xiàn)的“薅羊毛”信息。看中這塊蛋糕而迅速團(tuán)隊(duì)作案的黑客們，利用一種名叫“貓池”的設(shè)備，他們可以一次性注冊(cè)成百上千個(gè)賬號(hào)，以此獲得返利。

白帽子Only_Guest就展示了大數(shù)據(jù)和云存儲(chǔ)的時(shí)代，黑客們無孔不入普通用戶無處藏身的境遇。他能入侵一個(gè)車輛查詢系統(tǒng)，隨便點(diǎn)擊一輛出租車，就可以知道載客的狀態(tài);他還能隨意修改租車所有的頂燈信息、并可以發(fā)送拍照的指令拍攝車上乘客，甚至讓車斷油斷電。

黑客進(jìn)攻網(wǎng)絡(luò)演變史

有人曾提出，“在中國，存在三個(gè)互聯(lián)網(wǎng)形態(tài)。一種是媒體給人灌輸?shù)幕ヂ?lián)網(wǎng)，以海外IPO為目標(biāo)的;一種是草根互聯(lián)網(wǎng)，低調(diào)掘金，卻體量不容小覷;一種是深藏地下的互聯(lián)網(wǎng)。”

在知名互聯(lián)網(wǎng)評(píng)論人闌夕看來，第三類的“地下互聯(lián)網(wǎng)”無意中直接或者間接的影響著普通網(wǎng)絡(luò)用戶的生活環(huán)境。而“黑客”則是地下互聯(lián)網(wǎng)龐大冰山里的第一座山頭。闌夕在他的文章中寫道，“毫不夸張地說，它們真正意義上左右著中國互聯(lián)網(wǎng)的某些時(shí)局。”

中國1994年才接入互聯(lián)網(wǎng)，早期黑客并非從大學(xué)孕育而生，大都是民間高手通過自學(xué)成才，他們更具有草莽氣息和江湖氣質(zhì)。

上個(gè)世紀(jì)90年代，年輕黑客們大多出于個(gè)人愛好研究計(jì)算機(jī)，他們帶著好奇心和求知欲，并熱衷于分享自己的最新研究成果。

在信息安全資料匱乏時(shí)期，臺(tái)灣黑客林正隆(coolfire)寫的關(guān)于“黑客入門”的八篇文章幾乎是中國黑客的啟蒙教材。林正隆純粹出于興趣自學(xué)入門和分享，八篇文章每一次開頭都這樣寫道，“這不是一個(gè)教學(xué)文件，如果你能夠?qū)⑦@份文件完全看完，你就能夠知道電腦駭客們是如何入侵你的電腦, 寫這篇文章的目的是要讓大家明白電腦安全的重要性。”

雖然被尊稱為中國黑客界的一代宗師，但林正隆一直在一家電子公司工作，從未踏足安全圈，甚至他身邊的同事都不知道他早年的輝煌。但并不是所有掌握技術(shù)的人都可以不忘初心，保持純粹。

當(dāng)時(shí)計(jì)算機(jī)還是少數(shù)人的玩物，撥號(hào)上網(wǎng)費(fèi)用昂貴。黑客入侵電腦的實(shí)質(zhì)意義并不大，無非是通過實(shí)踐增強(qiáng)技術(shù)，證明能力，在小圈子里博得名聲。而被攻擊的網(wǎng)站網(wǎng)頁癱瘓也不會(huì)造成太大的損失。

但幾場(chǎng)國家范圍的黑客大戰(zhàn)給了這群年輕黑客聲名鵲起的機(jī)會(huì)。2001年中美黑客大戰(zhàn)，黑客們使中國國旗占據(jù)美國白宮網(wǎng)站長(zhǎng)達(dá)兩個(gè)多小時(shí)。一個(gè)名叫“綠色兵團(tuán)”的組織和他的核心成員也開始嶄露頭角，此基礎(chǔ)上建立的綠盟被后來視為黑客界的“黃埔軍校”。

到了2002年4月，中國互聯(lián)網(wǎng)協(xié)會(huì)公告制止有組織的攻擊行為。通過政治事件尋找存在感的機(jī)會(huì)被斬?cái)?。而彼時(shí)，“傳奇”等網(wǎng)絡(luò)游戲剛剛興起，資深的游戲賬號(hào)成為有價(jià)值的商品，各類網(wǎng)游私人服務(wù)器為了爭(zhēng)奪資源相互廝殺，黑客通過DDoS攻擊對(duì)方的網(wǎng)頁直至癱瘓。

DDoS(Distributed Denial of Service，分布式拒絕服務(wù))通過大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，以達(dá)到使訪問的網(wǎng)絡(luò)癱瘓的目的。通俗來講，就是原本只能容納10個(gè)人的屋子，突然來了50個(gè)人，不但屋里的人動(dòng)彈不得，后來者也無法再進(jìn)入。

像電影《無間道》一樣，因?yàn)閮r(jià)值觀的對(duì)立，黑客們開始站隊(duì)分流。“黑客”這個(gè)原本略帶酷炫感的中性詞也逐漸被染黑，成為惡的代名詞，黑客被認(rèn)為是指所有入侵計(jì)算機(jī)的人，不管他們是否有精湛的技術(shù)。

資深黑客吳翰清在他2012年出版的《白帽子講Web安全》一書中，將中國黑客的發(fā)展分為三個(gè)階段：?jiǎn)⒚蓵r(shí)代、黃金時(shí)代、黑暗時(shí)代。至此，黑客圈進(jìn)入黑暗時(shí)代。黑客之間不再交流技術(shù)，漏洞成了謀利的工具，門戶型的漏洞披露站點(diǎn)也不再公布任何漏洞相關(guān)的技術(shù)細(xì)節(jié)。

如今，黑客們基本掌握著各類社會(huì)工程學(xué)數(shù)據(jù)庫(Social Engineering Data)，簡(jiǎn)稱社工庫。而這些數(shù)據(jù)，大都通過公開或地下售賣的方式獲得。而在Only_Guest演示的一個(gè)社工庫上，他可以通過一個(gè)車牌立刻查到車主信息、聯(lián)系方式、家庭住址等一系列資料。

數(shù)據(jù)竊取產(chǎn)業(yè)雖然隱藏得非常深，但因?yàn)榘l(fā)展歷史較長(zhǎng)，地下產(chǎn)業(yè)鏈也較成熟，把數(shù)據(jù)變成貨幣，已經(jīng)有了非常完整的程序和渠道。一般只包括：拖庫、洗庫、撞庫這三個(gè)階段。

“拖庫”是指黑客入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，把注冊(cè)用戶的資料數(shù)據(jù)庫全部盜走的行為，因?yàn)橹C音，也經(jīng)常被稱作“脫褲”。在取得大量的用戶數(shù)據(jù)之后，黑客會(huì)通過一系列的技術(shù)手段清洗數(shù)據(jù)，并通過黑市交易把用戶數(shù)據(jù)變現(xiàn)，這通常也被稱作“洗庫”。

最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上嘗試登陸，叫做“撞庫”，因?yàn)楹芏嘤脩粝矚g使用統(tǒng)一的用戶名密碼，“撞庫”可能使黑客收獲頗豐。

這意味著數(shù)據(jù)的泄露不僅危害到某一平臺(tái)，因?yàn)榛ヂ?lián)網(wǎng)不僅共享信息、資源，也共享危機(jī)。

12306數(shù)據(jù)泄露就是典型的撞庫事件。2014年12月，白帽子在烏云官網(wǎng)爆料，12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳，其中包括用戶帳號(hào)、明文密碼、身份證、郵箱等信息。這份涉及131653條用戶數(shù)據(jù)信息在3個(gè)小時(shí)后被知道創(chuàng)宇安全研究團(tuán)隊(duì)證實(shí)，并基本確定其為黑客“撞庫攻擊”所得。

TOM sInsight團(tuán)隊(duì)通過對(duì)黑市的輿情監(jiān)控和專業(yè)網(wǎng)絡(luò)調(diào)查，對(duì)互聯(lián)網(wǎng)每年的流量排名前 100 的網(wǎng)站(除去沒有用戶賬號(hào)機(jī)制的)進(jìn)行調(diào)查，結(jié)果顯示，2014年數(shù)據(jù)泄露的網(wǎng)站達(dá)79%，是2009年38%的兩倍多。如果把挖掘盜取數(shù)據(jù)比喻成盜墓，如果沒有更好的防御機(jī)制，在云時(shí)代，互聯(lián)網(wǎng)公司的數(shù)據(jù)庫很可能“十墓九空”。

如果在一個(gè)漆黑的夜晚，沒有攝像頭，突然100萬在你面前，沒有任何監(jiān)視和旁觀者的情況下，這100萬你拿不拿?這是黑客余弦向記者提出的道德困境，這也是黑客入侵后經(jīng)常面臨的情況。“當(dāng)犯罪成本很低的時(shí)候，人性的惡和貪婪很容易被激發(fā)出來。”余弦說。

“一臺(tái)電腦、一個(gè)網(wǎng)絡(luò)足以讓我影響世界。”這是余弦十年前踏進(jìn)這個(gè)圈子時(shí)的想法，“黑客技術(shù)的掌握確實(shí)讓我好幾次有能力去影響世界，不過這種影響往往是破壞性的，但我希望的影響是正面的。”余弦在大學(xué)畢業(yè)后進(jìn)入知道創(chuàng)宇，做到技術(shù)VP，這么多年來一直做與地下黑客對(duì)抗的事，包括去了解他們的模式。他說，“隨便一個(gè)比較有知名度的產(chǎn)業(yè)鏈，比如詐騙電話，背后都極其龐大的利益。我們看到的只是水面上的冰山一角，水下非常大的部分我們沒有辦法看到。水下的世界是灰色的，甚至純黑色的。”

當(dāng)黑客戴上白帽子

在很長(zhǎng)一段時(shí)間里，網(wǎng)絡(luò)安全的發(fā)展是一潭死水，一個(gè)封閉的死循環(huán)。“行業(yè)的發(fā)展很快，但企業(yè)不重視安全，好多懂安全的技術(shù)人員沒有機(jī)會(huì)進(jìn)入企業(yè)，他可能會(huì)去做有害的事情。”烏云創(chuàng)始人方小頓說。

2010年起，中國互聯(lián)網(wǎng)開始進(jìn)入web2.0時(shí)代。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的報(bào)告，2011年中國互聯(lián)網(wǎng)網(wǎng)民達(dá)到5.13億，擁有2.5億微博用戶，較2010年增長(zhǎng)296.0%，社交網(wǎng)站使用率達(dá)到47.6%，網(wǎng)上支付使用率達(dá)到32.5%?；ヂ?lián)網(wǎng)開始全面介入普通人的生活，大數(shù)據(jù)因此變得有意義和價(jià)值，從而值錢。

醉心地下黑產(chǎn)的黑客們迅速發(fā)家致富，甚至招兵買馬建立團(tuán)隊(duì)，成為隱形的富豪;而真正想為互聯(lián)網(wǎng)安全守門的黑客，苦于沒有業(yè)主賞識(shí)，要么在職場(chǎng)中變得苦悶，要么轉(zhuǎn)型做開發(fā)或者其他技術(shù)工種。

孟卓曾在新浪的安全部門工作。他感覺，做安全是一件特別沉悶的事情。就好像守城門的士兵，沒有入侵者，日復(fù)一日的補(bǔ)漏洞，付出了很多，但看不到效果。而作為技術(shù)人員，他經(jīng)常發(fā)現(xiàn)一些網(wǎng)站存在安全漏洞，“我們把資料提供給網(wǎng)站，但網(wǎng)站并不重視自己的安全。”

曾在百度負(fù)責(zé)安全團(tuán)隊(duì)的方小頓也感覺到了行業(yè)對(duì)安全的限制。“百度可以把安全要求在60分，但是它的安全為什么不能是80、90分?這就是我在公司的天花板。”

在與一個(gè)名叫80 Sec的安全組織相識(shí)后，因?yàn)橛邢嗤睦砟睿?010年，方小頓和孟卓成立成立烏云漏洞報(bào)告平臺(tái)，以公開、透明的原則披露網(wǎng)絡(luò)漏洞。在蒸蒸日上一派祥和的互聯(lián)網(wǎng)環(huán)境里，烏云以作為一個(gè)“攪局者”而飽受攻擊，網(wǎng)站幾次被迫關(guān)閉，甚至因?yàn)閳?jiān)持不刪除某運(yùn)營商的漏洞報(bào)告而被拔掉網(wǎng)線。

據(jù)孟卓回憶，2011年12月21日，由白帽子提交的“CSDN社區(qū)網(wǎng)站被入侵，近600萬用戶賬號(hào)密碼被泄露”的報(bào)告是烏云發(fā)展史上的里程碑事件。

CSDN擁有中國最大的IT技術(shù)社區(qū)，泄露的賬戶多為分布在各個(gè)互聯(lián)網(wǎng)企業(yè)的核心技術(shù)人員，因?yàn)楹诳涂梢杂?ldquo;撞庫”的方式測(cè)試企業(yè)網(wǎng)絡(luò)入口的相關(guān)口令。“這相當(dāng)于企業(yè)的命根子丟了。”孟卓說。

在漏洞被披露的第二天，CSDN公司才向北京警方報(bào)案。經(jīng)歷40余天，輾轉(zhuǎn)10余個(gè)城市后，警方抓獲黑客曾某。曾某供認(rèn)，早在2010年4月，他就已經(jīng)利用網(wǎng)站漏洞竊取數(shù)據(jù)并公開售賣。

雖然案件破獲，但CSND漏洞事件產(chǎn)生的影響是不可逆的。就好像一片被污染的海域，雜質(zhì)雖會(huì)被稀釋但永遠(yuǎn)存在，只是不知道飄向何方。CSDN事件使烏云第一次爆發(fā)能量，但因其極強(qiáng)的余震而被關(guān)停整改。

2013年11月，烏云網(wǎng)再次曝料，一份涉及7000多萬個(gè)QQ群、12億個(gè)部分重復(fù)的QQ號(hào)的QQ群關(guān)系數(shù)據(jù)被泄露。根據(jù)QQ號(hào)，可以查詢到用戶備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個(gè)人隱私。隨后雖然騰訊稱，這一漏洞發(fā)生于2011并已及時(shí)修復(fù)。但直至漏洞曝光前，騰訊從未告知用戶泄露事件。

對(duì)于從事地下黑色產(chǎn)業(yè)鏈的黑客們來說，如果沒有“好事者”曝光，他們可以長(zhǎng)期利用同一個(gè)漏洞入侵牟利。

而因?yàn)闉踉乒嫉穆┒磮?bào)告也是通過大量的入侵獲得的，一段時(shí)間內(nèi)，烏云也被戲稱為國內(nèi)最大的“黑客培訓(xùn)基地”。

讓白帽子欣喜的是，經(jīng)過相當(dāng)長(zhǎng)一段時(shí)間的沉默，國家終于開始關(guān)注互聯(lián)網(wǎng)信息安全。2012年底，人大頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。2013年，斯諾登事件更是喚醒了政府的信息安全意識(shí)。2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。2015年6月，《中華人民共和國網(wǎng)絡(luò)安全法(草案)》審議通過，向社會(huì)征集意見。

而成立于2002年的國家互聯(lián)網(wǎng)應(yīng)急服務(wù)中心也積極發(fā)起國家信息安全漏洞共享平臺(tái)(CNVD)和中國反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)，并以每周簡(jiǎn)報(bào)的方式發(fā)布全國范圍內(nèi)的安全監(jiān)測(cè)報(bào)告。

8月，白帽子們通過烏云提交國內(nèi)知名票務(wù)網(wǎng)站大麥網(wǎng)存在安全漏洞的報(bào)告，稱600余萬用戶賬戶密碼遭到泄露。另外，根據(jù)雷鋒網(wǎng)的統(tǒng)計(jì)，在過去一年半的時(shí)間里，大麥網(wǎng)因?yàn)?ldquo;不同嚴(yán)重程度”的漏洞問題已經(jīng)陸續(xù)被烏云平臺(tái)提醒41次，其中包括3次嚴(yán)重性安全漏洞問題。

歷經(jīng)五年，烏云和白帽子的堅(jiān)持逐漸改變了一部分企業(yè)對(duì)“漏洞”的看法。

一開始，漏洞提交給廠商后，很有可能被“無情忽略”。如果漏洞涉及的知名度較高的公司，影響過大，公司往往會(huì)第一時(shí)間聯(lián)系烏云進(jìn)行公關(guān)，而不是讓技術(shù)部門積極予以解決。有些企業(yè)很直白：“技術(shù)無所謂，名譽(yù)上(的影響)要處理掉。”

但現(xiàn)在不同了，多數(shù)企業(yè)會(huì)主動(dòng)與他們溝通。比如大麥網(wǎng)主動(dòng)調(diào)查受影響的數(shù)據(jù)，發(fā)布聲明，并通知受損的用戶修改密碼，開始表達(dá)“我們很重視這個(gè)事情”的姿態(tài)。孟卓覺得，他們最初建立烏云的一部分心愿已經(jīng)達(dá)成。

但烏云和白帽子門依然面臨爭(zhēng)議。一個(gè)形象的比喻是，在沒有得到邀請(qǐng)的情況下，白帽子門擅自闖入別人的家，并告訴主人你家的門窗不安全。這種行為本身是否越界?

對(duì)此，方小頓的回應(yīng)是，如果企業(yè)通過用戶賺了錢，但卻沒有保護(hù)用戶的數(shù)據(jù)和資產(chǎn)，為何反倒去指責(zé)那些發(fā)現(xiàn)問題的人。

70萬人才缺口

截至2014年底，全國信息安全人只有6萬余。全國2500多所高校中，開設(shè)信息安全專業(yè)的僅有103所，其中博士點(diǎn)、碩士點(diǎn)不到40個(gè)，每年我國信息安全專業(yè)畢業(yè)生不足1萬人，信息安全專業(yè)人才缺口70萬。

而根據(jù)《2015年中國大學(xué)生就業(yè)報(bào)告》對(duì)2014屆畢業(yè)生畢業(yè)半年后月收入統(tǒng)計(jì)，信息安全專業(yè)已位于榜首。

信息安全前所未有地得到重視，而另一方面也意味著，信息安全形勢(shì)從未如此嚴(yán)峻過。

安全咨詢師岑義濤認(rèn)為，“互聯(lián)網(wǎng)公司其實(shí)是非常不注重安全的，尤其是在A輪或者B輪融資的時(shí)候，不管如何先讓業(yè)務(wù)上線，聚攏一批用戶，去拉風(fēng)投，然后改進(jìn)第二版再去拉一輪。他們會(huì)把所有的錢都放在擴(kuò)大辦公場(chǎng)所、招人、改界面、修改交互設(shè)計(jì)、完成業(yè)務(wù)上。”

互聯(lián)網(wǎng)思維強(qiáng)調(diào)快速迭代，以用戶需求為導(dǎo)向，即用戶為王、體驗(yàn)為王。但體驗(yàn)和安全有時(shí)候是相悖的。“比如調(diào)用一個(gè)功能需要有0.5秒和0.1秒兩種設(shè)計(jì)，前者肯定比后者安全但速度慢、體驗(yàn)差。”岑義濤說。

方小頓一直覺得互聯(lián)網(wǎng)行業(yè)發(fā)展太快，導(dǎo)致大家對(duì)安全的忽視。原本是要經(jīng)過深思熟慮、投入足夠的時(shí)間保證產(chǎn)品安全性的問題，一旦走得太快會(huì)容易出現(xiàn)隱患。安全始終是一件重要但不緊急的事情，但一旦兵臨城下，為時(shí)已晚。

目前，闖入“互聯(lián)網(wǎng)+”的傳統(tǒng)企業(yè)們確實(shí)面臨著兵臨城下的窘境，尤其是金融業(yè)。

根據(jù)烏云漏洞平臺(tái)的統(tǒng)計(jì)，2015年僅上半年的P2P金融行業(yè)漏洞數(shù)量累計(jì)235個(gè)，比2014年全年增長(zhǎng)了40.7%。其中高危漏洞占了很大比例，達(dá)56.2%。P2P的迅速興起使得行業(yè)并沒有在安全上投入太多資源和精力，這些漏洞危及資金、危及客戶，一個(gè)小漏洞有可能成為公司覆滅的導(dǎo)火索。

安全架構(gòu)的建設(shè)，對(duì)中小企業(yè)來說，不僅缺錢，還缺人。暮然回首，第一代黑客中的那些曾拒絕黑產(chǎn)但又在行業(yè)內(nèi)找不到位置的技術(shù)高手，已經(jīng)黯然離開這個(gè)行業(yè);而堅(jiān)持下來的第一代黑客，大都已經(jīng)被BAT等互聯(lián)網(wǎng)巨頭們歸攏。

沒有百分之一百完美的防御體系。白帽子的存在只是不斷增加了黑客的攻擊成本，攻守雙方的技術(shù)是膠著上升。僵尸、蠕蟲、木馬，DDoS攻擊，偽基站，APT攻擊，孟卓坦言，“地下黑產(chǎn)目的明確，他們對(duì)攻擊技術(shù)的探索和掌握是超過我們的。現(xiàn)在我們?cè)趽焖麄兊氖！?rdquo;

與云端和智能手機(jī)關(guān)聯(lián)的智能設(shè)備已成了新的安全重災(zāi)區(qū)，其中只要任何一方出問題都可能入侵到整個(gè)系統(tǒng)。而手機(jī)端和云端本就防不勝防，目前正在研究這一領(lǐng)域的技術(shù)人員王書魁告訴《中國新聞周刊》，大部分智能硬件廠商，在設(shè)計(jì)制造的時(shí)候，沒有真正周詳考慮安全性。

“我們現(xiàn)在做的研究是，只要我能知道你的設(shè)備ID，我就可以對(duì)你的設(shè)備進(jìn)行控制。有的甚至都不用知道，我只要知道你家里用這個(gè)東西，我就可以對(duì)你家里的設(shè)備進(jìn)行控制。”他說。

安言咨詢的總經(jīng)理張耀疆2000年進(jìn)入信息安全行業(yè)，浸淫多年，見證了互聯(lián)網(wǎng)信息安全的演變。他把信息安全比作網(wǎng)絡(luò)世界的環(huán)保，“我們?yōu)榱税l(fā)展經(jīng)濟(jì)一定程度上忽略環(huán)保，積重難返。互聯(lián)網(wǎng)剛發(fā)展時(shí)，沒人在乎安全，好用就行，但現(xiàn)在暴露的問題已經(jīng)讓我們驚慌，如果沒有一開始未雨綢繆考慮治理，真正想改造是非常難了。”