黑客|中国是个肥羊
2014/04/14 00:00:00
文 | 李柯达 来源:福布斯中文网
大家都在谈论OpenSSL漏洞,仿佛互联网的天空,突然就在那一天,塌了一个洞,自己原本藏得好好的隐私,一下子都从那个洞里漏了出去。大家都很惊恐。
不是这样的。一位不愿透露姓名的黑客告诉我,互联网从来不是这样的,至少中国的不是。他说,中国互联网安全原本就惨不忍睹。
简单地讲,OpenSSL这个被称为“心脏流血”(HeartBleed)的漏洞,很多人之前都不知道。在披露后,黑客和互联网安全运维人员第一时间反应过来,围绕着这个漏洞,你攻我守。但更多的早已披露的漏洞,互联网公司却没有注意到,任由他人自由进出。
前两天,上述黑客在一个俄罗斯语论坛上看到,有人发帖正在兜售一家类谷歌的中国互联网搜索企业的服务器信息。“1万60台服务器的权限,卖400比特币。帖子写的是类Google的搜索引擎。”他不愿意公开他的猜测。
在东欧这些地方,黑客很活跃,水平也很高。他们在论坛里,常常用比特币交易得到的数据或服务器权限。“数据无非是用户数据与服务器数据;如果像比特币交易平台的话,就直接是比特币了。”他说,拿到了服务器权限,黑客可以用来攻击别人,也可以挖挖比特币,“如果黑掉了游戏公司的话,把高消费能力的用户导出来,别人肯定想买。”
“像携程之前那个漏洞,‘太酷了’。”他说。上个月,互联网安全问题反馈平台乌云上出现了一份报告:携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。这可能直接引发盗刷等问题。
“往往应该重视这个问题的互联网公司,他们其实不重视。我很不理解他们为什么不重视。这个你怎么可以不重视?”
他又举了一个例子,“比如做云服务,数据敏感性非常高。如果我们的数据泄露了,那就是关门的事情,因为用户再也不会相信我们。如果这家云服务面向公司用户,那么,他的客户公司所有的数据也都没了。”
他说,漏洞就像你在厨房看到蟑螂一样,看到一只,你就应该知道,其实那还有几十只。“中国被卖的公司越来越多。大家也开始知道,中国是个肥羊。”
这一现状说明,互联网安全大有商机:不是去窃取服务器和数据;而是在互联网安全成为刚需的情况下,为这些疏于防范的公司提供渗透服务与技术支持。
渗透测试,就是以黑客的身份,想尽办法地进入系统,拿到用户数据,或者服务器权限。所有黑客会采取的手段和渠道,包括技术手段与社交工程,测试方都会使用。“你自己所有的安全工作都做完以后,可以通过买这个服务试试,自己是不是真的安全。”国内渗透测试服务cagetest.com的负责人说,这在国外早已是成熟产业。
“我们在黑客论坛上,看到一个帖子,就会以买家的身份,接触发帖人,尽可能地得到详尽信息。”该负责人说,通过这个渠道,发现哪家公司已经出事了,就找上门去,告知对方,“你已经有问题了。”
测试方会事先与受试公司签订合同,获取对方授权,并约定收费模式。“或者按用户量收费,或者按服务器收费。我们给他看证据,他们付我们70%的钱。然后我们把完整的报告发给对方,里面包含问题漏洞与解决方案,对方再补上剩下的30%。”
“其实我们也不知道这个收费模式对不对。”该负责人补充说,不同行业用户价值不一样,目前每单合同都要定制。如果无法成功渗透,就不收任何费用。他认为在中国这种商业模式可能更容易为人所接收。
目前这家渗透测试公司已经接过十数单合同,每单最少几十万,后续月费几万左右:有比特币交易平台,有云存储平台,有航空公司,也有会计公司。这些公司都在业内拥有领先地位。
通常做过渗透测试,就会成为该服务的长期客户。因为安全不是一次性的。每更新一次系统,每增加一台服务器,事实上都在制造漏洞。
但与不少走在市场生长边缘的创新一样,这门生意也有自己的禁忌。“我期待做银行客户。”该公司负责人说,但不敢先黑进去,再跑过去对银行说,你有漏洞,你交点钱,我来帮你解决吧。
他说那就是黑客界的传统手段了:直接黑你,然后来勒索你。“那种超高效的。”他问了以前替谷歌中国做法务的朋友,但至今还没得到很好的答案。那位朋友告诉他,如果要这么做,就得提前告知对方,说要扫描你,要我停的话,就要告诉我。“目前我们没看到中国法律上有相关条款。所以还是按规矩来,没有得到人家授权,就不进去,不能把人家惹毛了。”
让我们看看知乎上的用户怎么看待这个问题。
@云舒:有些不合法,但是基本合理。说通俗点,我们这些在甲方做安全的人,大部分也是从黑帽子转过来的。当真在自己被招安之后,转身就把以前的老兄弟都抓起来,即使他们只是对我们保护的东西做了一点略微出格的探测?
@毕月乌:白帽黑客和黑帽的区别就在于是否有恶意,这一点其实很容易证明,比如查询服务器日志,但是从法律角度来看,鉴别入侵行为是否合法的唯一标准就是预先授权,也就是说从法律角度来说,乌云绝大多数白帽子的大多数安全测试都是不合法的(乌云众测合法,这是授权测试)。
发现携程漏洞的那位黑客,在微博上表示:目前已经将安全测试涉及到的日志信息彻底删除,携程也已经及时修复漏洞。采访他的那家媒体认为,他可能是受到了一些外部压力。
但也有从事互联网安全的黑客称,即使法律没有站在未获得授权就擅自发布渗透测试报告的黑客那边,大多数公司也不会选择走法律途径。否则,后果很可能是不再有人报告该厂商漏洞,甚至可能有人会直接公开漏洞。
这种判断反应在携程事件上,就是该公司客服微博上的一段话:携程对于乌云平台发现的漏洞信息,表示非常重视和感谢,并将对于提供漏洞信息者给与奖励。
大家都在谈论OpenSSL漏洞,仿佛互联网的天空,突然就在那一天,塌了一个洞,自己原本藏得好好的隐私,一下子都从那个洞里漏了出去。大家都很惊恐。
不是这样的。一位不愿透露姓名的黑客告诉我,互联网从来不是这样的,至少中国的不是。他说,中国互联网安全原本就惨不忍睹。
简单地讲,OpenSSL这个被称为“心脏流血”(HeartBleed)的漏洞,很多人之前都不知道。在披露后,黑客和互联网安全运维人员第一时间反应过来,围绕着这个漏洞,你攻我守。但更多的早已披露的漏洞,互联网公司却没有注意到,任由他人自由进出。
前两天,上述黑客在一个俄罗斯语论坛上看到,有人发帖正在兜售一家类谷歌的中国互联网搜索企业的服务器信息。“1万60台服务器的权限,卖400比特币。帖子写的是类Google的搜索引擎。”他不愿意公开他的猜测。
在东欧这些地方,黑客很活跃,水平也很高。他们在论坛里,常常用比特币交易得到的数据或服务器权限。“数据无非是用户数据与服务器数据;如果像比特币交易平台的话,就直接是比特币了。”他说,拿到了服务器权限,黑客可以用来攻击别人,也可以挖挖比特币,“如果黑掉了游戏公司的话,把高消费能力的用户导出来,别人肯定想买。”
“像携程之前那个漏洞,‘太酷了’。”他说。上个月,互联网安全问题反馈平台乌云上出现了一份报告:携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。这可能直接引发盗刷等问题。
“往往应该重视这个问题的互联网公司,他们其实不重视。我很不理解他们为什么不重视。这个你怎么可以不重视?”
他又举了一个例子,“比如做云服务,数据敏感性非常高。如果我们的数据泄露了,那就是关门的事情,因为用户再也不会相信我们。如果这家云服务面向公司用户,那么,他的客户公司所有的数据也都没了。”
他说,漏洞就像你在厨房看到蟑螂一样,看到一只,你就应该知道,其实那还有几十只。“中国被卖的公司越来越多。大家也开始知道,中国是个肥羊。”
这一现状说明,互联网安全大有商机:不是去窃取服务器和数据;而是在互联网安全成为刚需的情况下,为这些疏于防范的公司提供渗透服务与技术支持。
渗透测试,就是以黑客的身份,想尽办法地进入系统,拿到用户数据,或者服务器权限。所有黑客会采取的手段和渠道,包括技术手段与社交工程,测试方都会使用。“你自己所有的安全工作都做完以后,可以通过买这个服务试试,自己是不是真的安全。”国内渗透测试服务cagetest.com的负责人说,这在国外早已是成熟产业。
“我们在黑客论坛上,看到一个帖子,就会以买家的身份,接触发帖人,尽可能地得到详尽信息。”该负责人说,通过这个渠道,发现哪家公司已经出事了,就找上门去,告知对方,“你已经有问题了。”
测试方会事先与受试公司签订合同,获取对方授权,并约定收费模式。“或者按用户量收费,或者按服务器收费。我们给他看证据,他们付我们70%的钱。然后我们把完整的报告发给对方,里面包含问题漏洞与解决方案,对方再补上剩下的30%。”
“其实我们也不知道这个收费模式对不对。”该负责人补充说,不同行业用户价值不一样,目前每单合同都要定制。如果无法成功渗透,就不收任何费用。他认为在中国这种商业模式可能更容易为人所接收。
目前这家渗透测试公司已经接过十数单合同,每单最少几十万,后续月费几万左右:有比特币交易平台,有云存储平台,有航空公司,也有会计公司。这些公司都在业内拥有领先地位。
通常做过渗透测试,就会成为该服务的长期客户。因为安全不是一次性的。每更新一次系统,每增加一台服务器,事实上都在制造漏洞。
但与不少走在市场生长边缘的创新一样,这门生意也有自己的禁忌。“我期待做银行客户。”该公司负责人说,但不敢先黑进去,再跑过去对银行说,你有漏洞,你交点钱,我来帮你解决吧。
他说那就是黑客界的传统手段了:直接黑你,然后来勒索你。“那种超高效的。”他问了以前替谷歌中国做法务的朋友,但至今还没得到很好的答案。那位朋友告诉他,如果要这么做,就得提前告知对方,说要扫描你,要我停的话,就要告诉我。“目前我们没看到中国法律上有相关条款。所以还是按规矩来,没有得到人家授权,就不进去,不能把人家惹毛了。”
让我们看看知乎上的用户怎么看待这个问题。
@云舒:有些不合法,但是基本合理。说通俗点,我们这些在甲方做安全的人,大部分也是从黑帽子转过来的。当真在自己被招安之后,转身就把以前的老兄弟都抓起来,即使他们只是对我们保护的东西做了一点略微出格的探测?
@毕月乌:白帽黑客和黑帽的区别就在于是否有恶意,这一点其实很容易证明,比如查询服务器日志,但是从法律角度来看,鉴别入侵行为是否合法的唯一标准就是预先授权,也就是说从法律角度来说,乌云绝大多数白帽子的大多数安全测试都是不合法的(乌云众测合法,这是授权测试)。
发现携程漏洞的那位黑客,在微博上表示:目前已经将安全测试涉及到的日志信息彻底删除,携程也已经及时修复漏洞。采访他的那家媒体认为,他可能是受到了一些外部压力。
但也有从事互联网安全的黑客称,即使法律没有站在未获得授权就擅自发布渗透测试报告的黑客那边,大多数公司也不会选择走法律途径。否则,后果很可能是不再有人报告该厂商漏洞,甚至可能有人会直接公开漏洞。
这种判断反应在携程事件上,就是该公司客服微博上的一段话:携程对于乌云平台发现的漏洞信息,表示非常重视和感谢,并将对于提供漏洞信息者给与奖励。
