黑客暗战:白帽子的困难不是技术,那是什么?
《大西洋月刊》报道称,网络安全专家基斯·洛克(Chris Rock)是个非比寻常的“杀手”。在今年的世界黑客大会DEFCON上,洛克展示了黑客如何通过医生的信息系统生成一个真正的“死亡”证书,这样,想让谁死,谁就能死。而黑客背后的动机,也许就是为了复仇,或者是想窃取人寿保险利益等等。
洛克从去年开始调查这些黑客,当时墨尔本医院错误地发行了200张死亡证明。而入侵医疗系统信息系统不仅能让人死,也能让人生——洛克也揭露了黑客能够伪造出生证明,造出一个虚假婴儿的漏洞。犯罪黑客为他们申请社会保障号、工作,申请结婚等等。洛克的演示意味着,黑客有了下一代的身份盗窃技术,能够产生新类型的洗钱和保险欺诈行为。
在黑客世界中,基斯·洛克(Chris Rock)是著名的“白帽子”——有道德正义感的正面黑客,主要负责识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。帮助单位组织在被其他人(例如黑帽子)利用之前来修补漏洞。近年来,随着各类公司都要聘请像洛克这样的白帽子来对网络犯罪进行防御,白帽子的身价也越来越高。
但是,要与老练、狡诈的黑帽子作斗争,白帽子黑客产业还有很长的路要走。
黑客暗战如此艰难,其实不是技术的原因
美国国家情报局今年早些时候公布的一份报告显示,网络犯罪是全球安全的头号威胁,严重于恐怖袭击和大规模杀伤性武器。报告指出:“2014年,恶意的网络活动规模和次数都在增长,比如企业数据被盗、个人身份信息被盗(PII)等等。”据统计,去年大约有10亿个身份数据被盗用。
普华永道全球及美国网络安全主管大卫·伯格(David Burg)表示,公共数据泄露——像Ashley Madison被拖库、索尼黑客事件等等——而这只是黑客犯罪活动的前奏。这些数据的盗用涉及身份信息盗用、伪造信息套现信用卡等等,或者许多未曾公开过的经济间谍输出本应被保密的健康信息等等。“网络攻击行为背后都蕴藏着巨大的商业链。分分钟涉及全球中数亿万美元的财富转移。”
在回应网络攻击的需要之下,一些大公司已经增加了安全防御的资金投入。根据PwC的报告,在过去的两年中,美国公司在网络安全方面的预算已经平均提高至信息技术投入预算的两倍之多。一些公司聘请像洛克一样的外部信息安全专家来承担对其软件系统进行渗透性测试的工作——像黑客攻击那样,攻击自己的系统来发现漏洞。另外部分公司是推出Bug Bounty项目来悬赏漏洞。
这些项目也有可能是内部运行——比如谷歌,该公司自2010年起就建立起自家的Bug Bounty系统,对每个漏洞悬赏2万美元——又或者外包给HackerOne和BugCrowd一类的独立公司。
HackerOne首席技术官(CTO)、 Facebook 产品安全团队组建人亚历克斯·莱斯(Alex Rice)表示,HackerOne的全球网络中,大约包括2000名付黑客,他们大多数都有一份正经的全职工作,黑客只是兼职项目。Synack主要为客户提供订阅系统防御方案,该公司CEO卡普兰(Jay Kaplan)称,旗下的黑客基础遍布35个国家,部分将白帽子作为副业,而另一部分则完全依靠白帽子事业来养活自己,尤其是在中国、印度、东欧等欠发达的地方。卡普兰透露,支付给白帽子的报酬很大程度上有项目性质确定。“市价由该项目的覆盖范围和对组织的影响力大小来决定。”
然而在许多情况下,许多白帽子其实难以维持生计。克利夫特·里戈(Clifford Trigo)一名来自菲律宾保和市的22岁全职白帽子,2014年加入HackerOne。他的收入主要依靠Bug Bounty项目悬赏和测试演示,不过,Bug Bounty的机会并不多。一般来说,里戈几个月才会找到一个价值几千美元的bug。“如果有新的bug-bounty下来,我通常可以将它当作一笔大收获了,”里戈说道。但更多的是,“你也可以做上几个小时的研究,然后拿到50至100美元的报酬。”里戈表示,他认识好一些白帽子黑客,为了增补收入不惜去参加一些肮脏的活动,比如利用自己的技术来获取人们的信用卡信息。
既然能防御,也就能攻击
这些“灰帽子”黑客暴露了科技行业的窘境:防御所需要的技术,与攻击所用的相同。洛克指出,白帽子也会从事黑帽子性质的行动,而且这样的情况还有可能继续扩展。“许多公司声称不会雇用黑帽子,但大多数情况他们还是会这么做。”
前美国国安局反恐分析师卡普兰对此并不同意。“Synack对所有的候选研究人员都采取周密的面试和背景调查。”
大卫·伯格则认为,聘用白帽子的的好处要大于风险。“愿意接受漏洞排查的组织和第三方独立机构的研究员都有能力把控网络威胁。”而且,未来政府组织仍会有相关政策和行动支持白帽子黑客产业的发展,比如10月刚通过参议院审议的法案,呼吁了联邦政府降低网络安全威胁情报机密度,让私营企业能够获得更多的信息。
via Atlantic