2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,发布的《网络黑色产业链年度报告》显示,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链。从业者主要分布在二三线城市,是年龄介于15至25岁之间的无业年轻人。腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰6月平均每天6.8万名用户中毒。
黑色产业的发展,也给各个公司的安全团队招人带来了困难。
“我的团队完全是社会招聘,现在发现一个好苗子实在太难了。”郑文彬说。很多黑客都被黑色产业卷走,剩下的这些人,有着一个比较统一的性格标签,“道德洁癖”。因此,吴石、郑文彬们愿意出现各种黑客大赛上,甚至公开演讲,希望能够引导年轻人,走正确的路。
米特尼克是历史上第一个因网络犯罪而入狱的黑客,也是第一个被FBI通缉的电脑黑客。他在15岁的时候,就入侵了北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,后来又先后入侵了太平洋电脑公司、联邦调查局等系统。2002 年出狱后,他出版了畅销书《欺骗的艺术》,成为全球广受欢迎的计算机安全专家之一。
米特尼克曾说,骇客是条错误的道路,如果能回到过去,他绝不会重蹈覆辙。
奇虎360核心安全负责人郑文彬在黑客界有一个响亮的代号:MJ0011。
“袁炜”们的尴尬
并不是所有的人,都进入了大公司。那些单独作战的孤狼,有时也会面临尴尬的境地。
最近一个安全大会上,一位父亲闯了进来,拿着一沓打印的资料,希望有人能够帮到他的儿子袁炜。
2015年12月3日,袁炜对世纪佳缘网站进行SQL网络漏洞注入攻击,并把漏洞发在了与世纪佳缘有合作的乌云平台上。12月4日,乌云通知了世纪佳缘存在SQL数据库注入漏洞。但随后,世纪佳缘选择了报警,称袁炜获取了900多条有效数据。袁炜最终被批捕。
袁炜不是个例。
2011年低,中国互联网爆发了一次大规模用户信息泄漏事件,当时天涯社区、技术开发网站 CSDN、游戏门户多玩网、婚恋网站珍爱网等多家网站用户资料被泄露,被业内人士称之为“脱裤门”。京东商城也没有幸免。
2011年4月,贾伟,常用ID“我心飞翔”在京东购物时,无意间发现了京东“后门”(技术漏洞),可以获取京东所有客户账号和密码及个人信息。随即,他将这一漏洞反馈给京东,一位技术人员“鱼蛋”主动联系贾询问漏洞,表示将在第一时间内修复。
贾伟连续跟踪观察领了8个月,发现漏洞没有实际性的改变。他便把漏洞发布在了乌云平台上,京东也验证了自己存在的漏洞,并以官方身份进行了漏洞确认。但京东技术人员还是无法确认具体的漏洞所在,贾伟表示只要聘请自己为高级技术顾问,并支付约240万元劳务费,就可以为京东商城修复该漏洞。结果,京东商城以网络被入侵并被“敲诈勒索”为由,向北京朝阳区公安局报警,2011年12月30日,贾伟被警方带走,一个多月后,被保释出狱。
“这就像我家有个后门,开着,但我没有允许你进来看啊。你不但进来了,还把我家房间的摆设都看了一遍。我当然不高兴了。”孙义(化名)在一家大型国产手机厂商做安全运维——负责与黑客接触,发现漏洞并作出响应。
孙义虽然在会上看到了袁炜的父亲,却没有对他的遭遇表现出同情。“乌云也只是一个平台,你把信息发在上面,出了事,他们一样不管的。”
每个月,孙义都能收几十起安全漏洞的报告。“我们会给他(发现漏洞的黑客)一些精神奖励,给他证书,甚至帮他申请国际漏洞编号。这些他都可以写在他的简历里,找工作好使啊。”至于金钱上的报酬,没有。
“我们鼓励‘白帽子’一起建设安全生态,会给漏洞发现者提供精神和物质上的双重奖励。”阿里巴巴安全总监陈树华说。
而京东也在贾伟事件之后,设立了应急响应中心。京东商城信息安全部经理李学庆说,作为一个安全应急响应中心,和腾讯的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一样,京东的 JSRC 有一个主要任务——堵住一切有可能产生破坏的漏洞。
不过,与国外的厂商相比,国内厂商给予的奖励仍然缺少竞争力。根据京东的数据,提交任何可以攻击京东的漏洞,大概能够获得1000元的京东购物卡奖励。在6.18 之前,京东搞了一个双倍积分的活动,“白帽子”提交高危漏洞,最高可以得到折合价值12000元的奖励。
附:中国十大黑客(排名来自网络)
NO.10 网名:冰雪封情
所属组织:邪恶八进制
介绍:中国现役风云组织邪恶八进制站长,中国黑客界后起领袖人物。邪恶八进制听起来很邪恶,其实是一个白客组织。
NO.9 网名:中华特攻 (King Xer)
所属组织:中国网络安全部队、雷霆反计算机病毒小组