?　　半島全媒體記者　景毅　徐新東

　　席卷全球的“永恒之藍(lán)”WannaCry(想哭)勒索病毒,宛如打開的潘多拉魔盒,讓整個(gè)互聯(lián)網(wǎng)行業(yè)如臨大敵,互聯(lián)網(wǎng)安全的警鐘再次敲響。而這背后,一條以“黑客”為主導(dǎo)的網(wǎng)絡(luò)黑產(chǎn)產(chǎn)業(yè)鏈漸漸浮出水面。金錢和信息從來沒有像今天這樣與互聯(lián)網(wǎng)技術(shù)緊密聯(lián)系在一起,這給了黑客們接近財(cái)富的機(jī)會(huì)。“一念天堂一念地獄”,是黑還是白,考驗(yàn)著他們的底線。

　　

數(shù)據(jù)來源/360　制圖/張銘偉

　　■與病毒賽跑

　　鎖定病毒樣本,72小時(shí)完善“補(bǔ)丁”

　　“雖然我們?cè)缬蓄A(yù)警,但真正爆發(fā)了還是讓所有人都感到不可思議?！?月12日下午,在民眾意識(shí)到“永恒之藍(lán)”WannaCry(想哭)勒索病毒在互聯(lián)網(wǎng)上全面爆發(fā)前,北京360總部大樓內(nèi),一場(chǎng)互聯(lián)網(wǎng)病毒阻擊戰(zhàn)已經(jīng)全面打響。

　　作為這家公司首席安全工程師,鄭文彬深知這個(gè)病毒的威力:全球150多個(gè)國(guó)家的無數(shù)臺(tái)電腦瞬間籠罩在病毒陰影之下。

　　除了波及范圍廣、中招個(gè)人用戶多之外,此次病毒攻擊還涉及醫(yī)院、教育、公安、石油、民航和鐵路等公共基礎(chǔ)設(shè)施。其中,英國(guó)國(guó)立醫(yī)療服務(wù)(NHS)在此次病毒攻擊中受到重大影響,英格蘭、蘇格蘭許多醫(yī)院正常的治療活動(dòng)受到影響,英國(guó)政府表示,在NHS全國(guó)248個(gè)醫(yī)療機(jī)構(gòu)中,共有48個(gè)受到了攻擊。而中國(guó)的一些高校是病毒剛開始發(fā)作的重災(zāi)區(qū)之一。360監(jiān)測(cè)數(shù)據(jù)顯示,5月12日“想哭”勒索病毒發(fā)起全球攻擊后,在中國(guó)部分校園網(wǎng)開始擴(kuò)散,夜間高峰期每小時(shí)攻擊約4000次。

　　與此同時(shí),北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在5月13日凌晨突然斷網(wǎng),造成無法刷銀行卡及使用網(wǎng)絡(luò)支付,一天左右后才基本恢復(fù)正常。青島也有個(gè)別企業(yè)局域網(wǎng)遭到病毒勒索,經(jīng)過緊急處理才脫險(xiǎn)。這一切正如360董事長(zhǎng)周鴻祎所言,“感覺像極了打開了潘多拉魔盒。”

　　5月12日17時(shí)許,在發(fā)現(xiàn)病毒警報(bào)兩小時(shí)后,鄭文彬迅速聯(lián)動(dòng)其所在的技術(shù)團(tuán)隊(duì)、產(chǎn)品團(tuán)隊(duì)、客服部門以及負(fù)責(zé)企業(yè)安全的部門,成立了第一個(gè)應(yīng)對(duì)這個(gè)病毒事件的群。此后,在360大樓6層應(yīng)急響應(yīng)中心,一個(gè)由各個(gè)部門聯(lián)動(dòng)組成的安全技術(shù)團(tuán)隊(duì),都聚集在一起辦公,不論白天和晚上都保持十幾個(gè)人在那里值班,“為了避免更大損失,我們一直在跟對(duì)方賽跑”。

　　“偶然背后都有必然?！痹谂c勒索病毒交戰(zhàn)過程中,反病毒工程師劉海粟感觸頗深。在病毒爆發(fā)的5月12日晚上,劉海粟接到線索,一名用戶的計(jì)算機(jī)遭遇入侵。在幫助用戶遠(yuǎn)程看電腦Windows系統(tǒng)日志的過程中,劉海粟起初沒抱太大希望,但突然看到服務(wù)啟動(dòng)這一項(xiàng),憑經(jīng)驗(yàn)看不是正常程序,從而鎖定病毒樣本。鎖定之后,后續(xù)的分析就有的放矢了,他和團(tuán)隊(duì)一起很快提出應(yīng)對(duì)策略。

　　5月13日下午,應(yīng)急響應(yīng)中心里傳出好消息,終于解密了該病毒存在設(shè)計(jì)上的一個(gè)漏洞,當(dāng)天晚上技術(shù)團(tuán)隊(duì)接著熬夜做恢復(fù)工具,5月14日凌晨2點(diǎn),工具正式發(fā)布。

　　“在360安全衛(wèi)士5億用戶中,僅有約20萬沒有打補(bǔ)丁的用戶電腦被病毒攻擊,但基本都被攔截下來。正常安裝和開啟360的用戶不會(huì)中毒?！?60安全產(chǎn)品負(fù)責(zé)人孫曉駿說。而針對(duì)不少企業(yè)和政府的計(jì)算機(jī)系統(tǒng),沒有官方補(bǔ)丁的系統(tǒng),或者官方補(bǔ)丁打不上的系統(tǒng),鄭文彬的團(tuán)隊(duì)又在5月15日上午發(fā)了一個(gè)熱補(bǔ)丁,以化解此類用戶的危機(jī)。此時(shí)距離蠕蟲勒索病毒爆發(fā)剛好72小時(shí)。

　　■“黑白”之爭(zhēng)

　　“攻防戰(zhàn)”就像打競(jìng)技游戲

　　潘多拉魔盒被打開了。打開魔盒的黑手,正是游走于地下的網(wǎng)絡(luò)黑客。他們隱藏在黑暗之中,伺機(jī)而動(dòng),防不勝防。

　　鄭文彬告訴記者,勒索病毒是黑客利用美國(guó)國(guó)家安全局NSA不慎泄露的黑客武器“Eternal　Blue(永恒之藍(lán))”進(jìn)行的變種攻擊。無需任何操作,開機(jī)上網(wǎng)黑客就能在電腦和服務(wù)器中植入勒索軟件。一旦感染,電腦內(nèi)的文件會(huì)被黑客加密,受害者需要支付300美元以上的贖金才能解密,且贖金隨著時(shí)間推移增加,如果一周內(nèi)不付贖金,被加密的文件就會(huì)被“撕票”銷毀。

　　不過截至5月18日上午,全球僅有292人交了贖金,共約8萬美元。一方面,安全廠商在積極做數(shù)據(jù)恢復(fù),很多機(jī)構(gòu)通過斷網(wǎng)和安裝補(bǔ)丁阻止病毒擴(kuò)算,另一方面,很多人和企業(yè)并不相信黑客。黑客也“食言”了,據(jù)說打錢的人并沒有收到數(shù)據(jù)解密,這甚至讓黑客圈發(fā)出了“盜亦有道”的呼吁,告誡勒索者“要言而有信,不要?dú)袠I(yè)名聲”。

　　“黑客本來是個(gè)帶有褒義的詞,但是隨著病毒泛濫,黑客開始和網(wǎng)絡(luò)犯罪聯(lián)系在一起,黑客這個(gè)稱謂也有些變質(zhì)了?！?60反病毒工程師劉海粟介紹,為了區(qū)分“敵我”,網(wǎng)絡(luò)上把從事網(wǎng)絡(luò)安全防衛(wèi)的黑客稱為“白帽黑客”,而從事網(wǎng)絡(luò)攻擊的則稱為“黑帽黑客”,另外還有介入黑白之間的“灰帽子黑客”。黑白之爭(zhēng),攻防不斷。

　　360企業(yè)安全集團(tuán)董事長(zhǎng)齊向東曾用一個(gè)場(chǎng)景形象地說明三種黑客的區(qū)別:“看到有人家門沒關(guān),進(jìn)屋偷東西的是黑帽子；進(jìn)屋轉(zhuǎn)一圈,再對(duì)你說‘門沒關(guān)嚴(yán)’的是灰帽子；提醒你‘門沒關(guān)嚴(yán)’,在征得同意后幫你把門關(guān)上的是白帽子?！比缤祟愡M(jìn)行語言表達(dá)時(shí),常會(huì)出現(xiàn)語法、邏輯上的錯(cuò)誤一樣,計(jì)算機(jī)語言中的“語法錯(cuò)誤或邏輯性錯(cuò)誤”,都叫“漏洞”。其實(shí),無論是什么帽子,他們的“獵物”都是這些網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)漏洞是指在信息產(chǎn)品軟硬件、協(xié)議實(shí)現(xiàn)或安全策略上存在的缺陷,可以讓攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)。當(dāng)企業(yè)發(fā)現(xiàn)或被通知產(chǎn)品存在漏洞時(shí),會(huì)積極進(jìn)行針對(duì)性的修復(fù)。

　　“坊間對(duì)于‘黑客’的種種遐想都屬于一廂情愿,黑客多數(shù)是普通人,不過是術(shù)業(yè)有專攻,選擇了一個(gè)相對(duì)窄小的、不為外人熟悉的領(lǐng)域而已?！眲⒑Ｋ谑冀K不覺得自己的職業(yè)跟別人有什么不同。

　　1987年出生的劉海粟在上大二的時(shí)候開始接觸這一行當(dāng),當(dāng)時(shí)他和一群好友整天研究如何尋找殺毒軟件漏洞,雖然技術(shù)還比較粗陋,但找到一個(gè)別人未發(fā)現(xiàn)的小漏洞照樣成就感十足。

　　2010年劉海粟正式進(jìn)入互聯(lián)網(wǎng)安全行業(yè)后才發(fā)現(xiàn),自己當(dāng)初那點(diǎn)小得意是多么業(yè)余。“無論白帽黑帽,不斷學(xué)習(xí)是他們的共同特質(zhì)。”劉海粟說,除了各種專業(yè)知識(shí),行業(yè)里的“大神”也是他們學(xué)習(xí)的榜樣。

　　前文提到的鄭文彬就是劉海粟心目中的大神之一。鄭文彬與劉海粟同齡。2006年底,鄭文彬接受360邀請(qǐng)來北京時(shí),只有19歲,彼時(shí)的網(wǎng)絡(luò)安全市場(chǎng)才剛剛起步。

　　初見鄭文彬,很多人可能會(huì)誤以為他是搞藝術(shù)的,但在黑客界,他有一個(gè)響亮的代號(hào):MJ0011。

　　今年3月份,鄭文彬帶領(lǐng)的團(tuán)隊(duì)在加拿大舉行的世界黑客大賽“Pwn2Own　2017”中戰(zhàn)勝來自全球的10支頂尖黑客隊(duì)伍奪得冠軍。比賽中,戰(zhàn)隊(duì)不僅只用時(shí)3秒鐘便攻破Adobe公司的PDF閱讀器,還先后拿下了蘋果Safari、MacOS、Flash、Windows10等項(xiàng)目。大賽最后一天,戰(zhàn)隊(duì)挑戰(zhàn)被稱為“史上最高難度”的連環(huán)破解項(xiàng)目,最終在63秒內(nèi),遠(yuǎn)程攻破Edge拿下Win10系統(tǒng)權(quán)限,并突破VMware虛擬機(jī)成功逃逸,這也是Pwn2Own舉辦十年來首次打破VMware的“不敗金身”。

　　白帽黑客與黑帽黑客之間的對(duì)決就在于對(duì)網(wǎng)絡(luò)漏洞的攻防上。兩者之間的“攻防戰(zhàn)”就像打競(jìng)技游戲,黑客們尋找系統(tǒng)漏洞的過程,就如同要在地圖要安裝的炸彈。“黑帽黑客發(fā)現(xiàn)漏洞,就會(huì)安裝炸彈,但白帽黑客發(fā)現(xiàn),就會(huì)發(fā)出預(yù)警做好防衛(wèi)?！?br>
　　2015年,意大利的黑客公司Hacking　Team被入侵,公司郵件內(nèi)容被公布,其中包含了很多漏洞信息。漏洞被公布在網(wǎng)絡(luò)上,擴(kuò)大了危害面,黑帽黑客會(huì)利用公開出來的漏洞攻擊普通人。

　　這時(shí)候就是白帽黑客和黑帽黑客在賽跑。最終,360Vulcan團(tuán)隊(duì)花了四五天從幾百G的文件中找到3個(gè)漏洞,涉及微軟、Adobe等廠商,立即報(bào)給廠商去修復(fù),避免損失擴(kuò)大。

　　采訪中,有業(yè)內(nèi)人士也曾透露,因?yàn)閾趿撕诿焙诳偷呢?cái)路,有公司就曾被堵門,不僅如此,有些白帽黑客也曾收到過恐嚇短信。

　　■模糊的“界限”

　　“白帽黑客”年入幾百萬不稀奇

　　同樣是有千里之外攻城拔寨的功力,很多時(shí)候白帽與黑帽的界限并不明顯。

　　近期,青島警方破獲了一起非法竊取、販賣公民信息案件,摧毀了從黑客竊取到網(wǎng)絡(luò)販賣的全部犯罪鏈條。其中,犯罪嫌疑人張某(男,27歲,濰坊人)自2015年底利用黑客技術(shù)暴力破解某第三方支付平臺(tái),并編寫“一種神奇的軟件”、“一種神奇的軟件2017”。販賣給下線,而下線則利用這一軟件非法獲取下載公民身份證及銀行卡等個(gè)人信并最終實(shí)施犯罪。據(jù)警方公布的數(shù)據(jù)顯示,這伙“個(gè)人信息大盜”獲利近百萬元。

　　“2008年前,白帽黑客在中國(guó)生存環(huán)境不好?！编嵨谋蚪榻B。

　　一是收入不高。當(dāng)時(shí)安全產(chǎn)業(yè)主要靠傳統(tǒng)方式賣安全軟件,一套光盤幾百元。產(chǎn)品價(jià)格貴,安全公司線下銷售成本高。技術(shù)高手賺不著錢,被迫去當(dāng)黑客:稍有“良心”的,從事流氓軟件、販賣隱私；沒底線的,就會(huì)涉及經(jīng)濟(jì)犯罪。除了不掙錢,當(dāng)時(shí)社會(huì)對(duì)網(wǎng)絡(luò)安全領(lǐng)域不重視,從業(yè)人員地位不高。就個(gè)人素質(zhì)而言,安全行業(yè)對(duì)天賦的要求甚至高于職業(yè)體育。很多頂尖高手甚至中學(xué)都沒上完,在傳統(tǒng)就業(yè)門檻面前,水平再高也難找工作。“所以當(dāng)時(shí)很多技術(shù)很強(qiáng)的人要么轉(zhuǎn)行,要么就潛下去干了黑產(chǎn)?！编嵨谋蛘f。

　　2008年后,安全行業(yè)發(fā)生大變革。360率先宣布做免費(fèi)殺毒,這種商業(yè)邏輯是做大用戶數(shù)量,通過用戶流量帶來廣告和其他方面收入成級(jí)數(shù)級(jí)增長(zhǎng)。

　　完成了這輪產(chǎn)業(yè)變革,這些年伴隨著中國(guó)互聯(lián)網(wǎng)紅利釋放,國(guó)內(nèi)的安全公司無論是技術(shù)還是資金實(shí)力,都有了質(zhì)的提升。技術(shù)過硬的“白帽黑客”在安全公司,有年薪、股票期權(quán)和比賽獎(jiǎng)金激勵(lì),收入不菲?！皣?guó)內(nèi)頂尖白帽子收入已經(jīng)超過國(guó)外同行的收入水平,年入幾百萬甚至上千萬的不稀奇?！编嵨谋蛘f。

　　地位提升也讓白帽黑客越來越有底氣。國(guó)家網(wǎng)信辦、教育部、科技部等多部門下發(fā)的文件指出,國(guó)家戰(zhàn)略層面要大力推動(dòng)安全人才培養(yǎng),行業(yè)數(shù)據(jù)顯示:2020年,我國(guó)重要行業(yè)的網(wǎng)絡(luò)安全人才需求量超過140萬人。

　　勒索病毒潮反思:

　　國(guó)家安全需要

　　“實(shí)戰(zhàn)試金”

　　勒索病毒潮事件背后,需國(guó)民整體安全素質(zhì)提升。通常,我們認(rèn)為企業(yè)和機(jī)構(gòu)的內(nèi)網(wǎng)是絕對(duì)封閉和安全的。但實(shí)際上,因?yàn)槿藛T龐雜,操作不規(guī)范,導(dǎo)致病毒入侵。

　　另據(jù)IDC數(shù)據(jù)顯示,中國(guó)政府企業(yè)IT系統(tǒng)的建設(shè)投入中,安全投入金額只占2%；發(fā)達(dá)國(guó)家是9%；一分投入,一分收獲,勒索病毒潮中,金融系統(tǒng)因?yàn)閷?duì)抗風(fēng)險(xiǎn)的能力、意識(shí)和投入最大,損失也是最小的。

　　實(shí)戰(zhàn)是最大的試金石,任何行業(yè)都是如此。這段時(shí)間,網(wǎng)上曝光多起傳統(tǒng)武術(shù)和自由散打人士比武,引發(fā)輿論對(duì)傳統(tǒng)武術(shù)“實(shí)戰(zhàn)型”的思考。

　　國(guó)內(nèi)安全行業(yè)的實(shí)戰(zhàn)性較為樂觀。很多安全廠商內(nèi)部會(huì)有安全AB隊(duì),彼此互促,競(jìng)爭(zhēng)十分殘酷；廠商間的競(jìng)爭(zhēng)也如此。

　　任何行業(yè),都是“實(shí)戰(zhàn)造行業(yè)整體強(qiáng)大和發(fā)展”。無論是勒索病毒和未來的種種危機(jī),恰恰是對(duì)國(guó)內(nèi)安全產(chǎn)業(yè)的“大考”,無論是國(guó)內(nèi)黑產(chǎn),還是國(guó)家間的安全對(duì)抗,都需要篩選出可以快速啟動(dòng)和響應(yīng)危機(jī)的“能力型供應(yīng)商”。