起底
日前,烏云漏洞報(bào)告平臺(tái)(以下簡(jiǎn)稱“烏云”)曝12306信息泄漏,發(fā)布漏洞報(bào)告稱,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)被瘋傳,包括用戶賬號(hào)、明文密碼、身份證郵箱等。在網(wǎng)民大喊“裸奔”互聯(lián)網(wǎng)的同時(shí),也有不少人將矛頭對(duì)準(zhǔn)烏云。烏云的“白帽子(黑客中的一類,即正面黑客)”究竟和黑客有何區(qū)別,他們神秘身份的背后,真實(shí)意圖是什么?
◎解讀◎
“黑產(chǎn)暴利”如何生存
2014年12月25日,烏云發(fā)布“高危害”等級(jí)報(bào)告,稱12306官方網(wǎng)站的用戶資料大量泄漏。隨后,12306官方網(wǎng)站在發(fā)布的聲明中稱:網(wǎng)上泄漏的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。
曝光第二日,中國(guó)鐵路官方微博表示此次用戶泄露案件已經(jīng)告破,系犯罪分子通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄漏的用戶名加密碼信息,嘗試登錄其他網(wǎng)站進(jìn)行“撞庫”,非法獲取用戶的其他信息。“撞庫說”完全推翻了12306對(duì)“搶票軟件泄露數(shù)據(jù)”的猜測(cè)。
烏云網(wǎng)聯(lián)合創(chuàng)始人孟德在分析各種漏洞信息泄漏的案例時(shí)對(duì)記者直言,基礎(chǔ)傳統(tǒng)行業(yè)轉(zhuǎn)型為互聯(lián)網(wǎng)服務(wù)行業(yè),發(fā)生漏洞的概率會(huì)更大。
記者了解到,“黑產(chǎn)暴利”產(chǎn)業(yè)鏈價(jià)值比較大的是“洗庫”,即“黑客”在目標(biāo)數(shù)據(jù)庫導(dǎo)出后,將數(shù)據(jù)庫信息提取分類,分類包括金融相關(guān)賬戶、游戲相關(guān)賬戶和用戶真實(shí)信息。
“可以說,每個(gè)信息都是可以直接轉(zhuǎn)化成錢。”“白帽子”“蒙面?zhèn)b(化名)”告訴記者。
第一步,進(jìn)行虛擬幣等信息的剝離,例如支付寶和QQ等,拿到用戶的賬號(hào)后就會(huì)進(jìn)入賬戶嘗試,如果有虛擬金錢就會(huì)轉(zhuǎn)走;第二次“洗”是對(duì)于個(gè)人信息的收集,有些賬戶可能包括個(gè)人信息內(nèi)容,這些會(huì)賣給那些需要的人,比如銷售、賣考試答案;第三次“洗”是關(guān)聯(lián)手機(jī)號(hào)的信息。賣給發(fā)垃圾短信的,這樣一層層“洗”下去,直到?jīng)]有價(jià)值為止。
◎質(zhì)疑◎
戴著“白帽子”的黑客
“蘋果的聯(lián)合創(chuàng)始人Stephen Wozniak,就是白帽子,他的黑客之旅源于盜打免費(fèi)電話。”“蒙面?zhèn)b”介紹,黑客并非都是黑的,那些用自己的黑客技術(shù)來做好事的叫“白帽黑客”,這點(diǎn)和網(wǎng)絡(luò)安全工程師的性質(zhì)有點(diǎn)相同,他們大多掛靠安全公司,通過檢測(cè)計(jì)算機(jī)系統(tǒng)安全性來謀生。
不少網(wǎng)民在接受“白帽子”庇護(hù)的同時(shí),也會(huì)對(duì)這個(gè)神秘群體產(chǎn)生質(zhì)疑,“白帽子”和“黑客”的技能無差別,但是在網(wǎng)絡(luò)安全中,兩者的身份轉(zhuǎn)化只是一瞬間。“蒙面?zhèn)b”認(rèn)為這種說法有些狹義,在網(wǎng)絡(luò)安全中,“麻瓜”,也就是日常生活中的普通網(wǎng)民,也可以成為“白帽子”,只要他能發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。
孟德介紹說,在烏云歷史上,就有“麻瓜”在信用卡還款的過程中遇到問題——不用扣費(fèi),原有的儲(chǔ)蓄卡就能還款成功。“他向?yàn)踉铺峤宦┒磮?bào)告,我們?cè)诔鯇忂^程中確認(rèn)漏洞,再提交給企業(yè)。這個(gè)過程中,‘麻瓜’也是‘白帽子’。”孟德說。因此,“白帽子”的技能在于發(fā)現(xiàn)漏洞,而非使用技術(shù)去入侵。
◎合作◎
“黑客”測(cè)試企業(yè)產(chǎn)品
如今,烏云已經(jīng)同627家廠商達(dá)成合作,網(wǎng)站注冊(cè)“白帽子”的有1195人,累計(jì)提交漏洞信息4萬多條。未來,烏云將主營(yíng)烏云眾測(cè)和烏云招聘。
據(jù)了解,烏云眾測(cè)最初由烏云社區(qū)的一群頂尖白帽子發(fā)起,2012年正式上線,即經(jīng)驗(yàn)豐富的白帽子在企業(yè)的授權(quán)下,通過眾包方式來提供安全測(cè)試服務(wù)。孟德告訴記者,希望網(wǎng)民對(duì)“白帽子”的認(rèn)識(shí)不再停留在“洗白了的黑客”上,而是一群維護(hù)安全網(wǎng)絡(luò)安全的工程師。長(zhǎng)江商報(bào)