在國家網路安全宣傳周首屆網路安全技能大賽上,來自全國10所高校的10支頂尖戰隊一決高下,30名“白帽子”駭客捉對廝殺。
資料圖片
網路安全隱患無處不在。近來,勒索病毒“永恒之藍”和“必加”在全球大規模爆發,再次敲響了警鐘。有攻就有防,面對網路世界的安全隱患,面對駭客攻擊及其佈下的陷阱,“白帽子”駭客是我們的第一道屏障。
目前網路安全人才不足,既有供不應求的原因,也和人才培養模式相關。“白帽子”駭客們的工作究竟有哪些神秘之處?如何讓他們更好地發揮專長,守護網路使用安全?本報記者帶您走近這群“網路遊俠”。
——編 者
■任務不輕:應對病毒攻擊、發現安全隱患、保障重大活動
不久前,一個名為“暗雲”的木馬強勢來襲,數百萬台電腦被感染。“白帽子”駭客董志強隨即和團隊進行監測,對攻擊進行了溯源分析,查清了“暗雲”的攻擊途徑和方式。這一發現能幫助安全軟體有針對性地查殺“暗雲”,有效遏制它的傳播力和破壞力。
“白帽子”駭客是指網路安全從業人員,他們是網路世界的衛士。與利用漏洞、製作木馬病毒去牟利的不法分子不同,“白帽子”們是為了讓網路系統更加安全。
方家弘也是一名“白帽子”駭客,他是騰訊科恩實驗室的骨幹成員,擅長尋找網路世界無處不在的漏洞。“攻擊,是為了防禦”,他通過嘗試攻擊,找到埋藏很深的漏洞,“逮”住它們,並上報給相關企業或組織,以便及時修補,保障安全。
“從手機、路由器,到機器人,再到汽車,任何智慧設備本身或使用環節中都可能存在隱患,任何一個漏洞被駭客利用,都可能造成隱私洩露甚至財産損失。”方家弘説。
2015年初,方家弘和團隊完成了一件很有成就感的工作。“我們發現Linux內核中一個漏洞,利用它可以獲得Root安卓手機的最高許可權。比如,駭客可在你手機中安裝任意軟體,而你可能完全不知情。”方家弘和團隊上報漏洞後,因為危險等級高,1天之內便得到響應,Linux的作者林納斯·托瓦茲立即進行了修復。
杭州安恒安全研究院安全專家王欣也是挖掘漏洞的高手。在G20杭州峰會和歷屆世界網際網路大會等重大活動網路安全保障工作中,他面對的是一個個沒有硝煙的戰場。
“重大活動的網路基礎設施容易成為攻擊點,從一些攻擊手法分析,它們是有策略、有組織地攻擊,不像是普通駭客練手。”王欣説。G20杭州峰會期間,安恒作為峰會的網路安保技術支撐單位,承擔了包括G20官網、註冊網、重要工業控制系統等多個網路安保重點單位的安全保障任務。從接到任務到系統安全上線,僅有短短4天,王欣和團隊需要為酒店線上預訂系統搭建起一堵安全防護墻。那段時間,他每天工作至淩晨兩三點,在臨時辦公室,團隊24小時輪流值守,確保了安全事件零發生。
■行規不少:靠本事掙錢,不許觸犯法律
中國網際網路協會發佈的《2016中國網民權益保護調查報告》顯示,去年我國網民僅僅因垃圾資訊、詐騙資訊、個人資訊洩露等遭受的經濟損失就高達915億元。
國家網際網路應急中心運營部主任嚴寒冰認為,在IT産業軟硬體核心技術和代碼等自主研發能力不足、安全防護手段滯後、地下駭客業務已形成産業鏈的背景下,我國網路安全正面臨日益嚴峻的挑戰。目前,“白帽子”駭客在保障網路安全中的作用無可替代。
比如,他們不斷上報發現的漏洞,預警風險,給網路安全樹立了第一道屏障。而隨著網際網路時代向物聯網時代過渡,安全隱患更複雜,“白帽子”駭客也需不斷“進化”。
董志強的興趣從最初的傳統反病毒轉向雲安全研究,方家弘則從PC端轉向移動端漏洞的研究,王欣從Web安全轉向物聯網安全研究,並開始關注工業自動化控制安全領域風險。他們還要研究前沿技術,做好技術儲備。
與一行行代碼打交道,在“0”和“1”的世界中尋找風險……從事這項工作,除興趣之外,“白帽子”駭客通常還要有點天分——他們大多不是科班出身,而是“江湖派”,屬於怪才、偏才。
在網路安全圈,董志強更響亮的名號是“Killer(殺手)”。他的專業是漢語言文學,研究古代漢語和影視文學。大學期間“邂逅”電腦後,他開始自學逆向工程。讓董志強聲名鵲起的,是他創建的“超級巡警”在2007年截殺“熊貓燒香”病毒時立下了赫赫戰功,甚至因其迅速響應和高效處理能力,招致非議。而今,他已成為雲安全領域的“大咖”,在雲網領域開展更多關於安全的研究。
王欣學應用化學出身,他説從事安全行業,之前純粹是因為愛好,當參加完多次網路安保任務後,感受到的是這項工作的榮譽感和使命感。
不錄用有前科的人,是“白帽子”圈的行規。他們有明確的是非觀:要靠自己的本事光明正大地賺錢,不許觸犯法律。
■成長不易:培養模式滯後,“黑産”利誘無處不在
“白帽子”駭客的作用,以往並不受重視,舍得投入的企業並不多。直到近幾年安全事件頻發,網路安全人才的生存和成長環境才逐漸改善。不過,人才缺口依舊很大。
國家網際網路信息辦公室2015年公佈的數據顯示,截至2014年底,我國重要行業資訊系統和資訊基礎設施所需網路安全人才缺口達70萬人左右,預計到2020年,需要各類網路安全人才約140萬人。可見,光靠高校培養遠遠不能滿足需求。
“網路安全的本質,是智慧的對抗;網路空間的競爭,歸根到底是人才的競爭。”天融信總裁于海波説,建設網路強國,就要打造出一支強大的網路安全人才隊伍。
網路安全人才供不應求,與人才培養模式滯後於網路發展速度相關。嚴寒冰説,傳統高校的學科課程,強調基礎理論,忽視培養學生在電腦上的應用能力建設,沒有相關專業設置,大多數“白帽子”駭客都是靠興趣“自學成才”。
“高校在專業設計上還存在與企業需求脫節的問題,學校閉門造車,學生缺乏實際操作經驗,難以扛起維護網路安全的重任。”于海波説。
社會對網路安全的“後知後覺”,也影響了早期一批安全人才的成長。方家弘是上海交通大學資訊安全專業的第一批畢業生。他回憶,2006年,安全專業比較邊緣,畢業後多數同學進了金融行業,同學中還留在安全行業的人已經非常少了。
掌握安全技術的人才還面臨黑産鉅額收益的誘惑。天融信的資訊安全教育專家李躍忠説,駭客通過非法倒賣個人資訊、倒賣遊戲賬號、刷流量、製作網路病毒等,幾個月甚至幾天就能獲得上百萬元的收入。“‘網路黑産’一夜暴富的情形,也不利於引導安全人才健康成長。”
“過去,由於網路安全法律法規不完善,從事‘黑産’的違法成本極低,使得很多人鋌而走險。”安恒資訊副總裁馮旭杭説。直到現在,安全圈子的人,有時還會收到黑産的報價,比如10萬元黑掉競爭對手的網站,30萬元攻擊一家遊戲的私人伺服器,50萬元告知一款常用伺服器軟體的漏洞……
■待遇不高:增加“白帽子”駭客收入,強化歸屬感榮譽感,明確其合法地位
在培養“白帽子”駭客這一特殊群體方面,我國做出了一些有益探索。2015年,教育部增設“網路空間安全”一級學科,要求加快網路安全學科專業和院係建設,量身定制適應網路安全人才成長的系統性培養方案。
安全企業也參與到人才培育中。比如,杭州安恒資訊與高校合作進行學科共建,開發具有實際教學意義的攻防實驗室,幫助高校提升教學水準。方家弘所在的科恩實驗室嘗試將前沿的安全研究成果推向大學課堂,目前已受邀在上海交大和浙江大學開設講座,並將在復旦大學等高校推廣。
于海波建議,國家可拿出部分資源扶持專業的安全企業,整合社會教育力量,通過國家、教育機構、安全企業的努力,加強網路安全人才培養。
要切實提高“白帽子”駭客的收入。“雖然‘白帽子’收入已有較大改善,但和‘黑産’收益相比還有非常大的差距。要想辦法提高報酬,激發他們擔當網路‘俠客’、除暴安良的熱情。”李躍忠説。
此外,還要強化“白帽子”駭客的歸屬感、榮譽感,明確他們合法的社會地位。
採訪中,專家指出,政府和安全圈應更多組織一些安全會議、論壇、競賽等活動,為網路安全人才搭起與政府、企業溝通互動的平臺。
今年6月1日,我國網際網路領域的首部基礎性法律《中華人民共和國網路安全法》(以下簡稱《網路安全法》)正式實施。嚴寒冰表示,《網路安全法》從法律層面明確了網路安全從業人員應該承擔的責任和義務。“包括哪些事情可以做、哪些事情不能做以及做到什麼程度可受法律保護。它在為打擊網路違法行為提供明確法律依據的同時,也為網路安全從業人員提供了合法的社會地位。”
法律專家表示,《網路安全法》為網路安全人員行為邊界做出了規範。比如規定任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動。“白帽子”們一定要注意邊界,堅守法律底線。
馮旭杭認為,讓“白帽子”駭客們遠離黑産,還有必要調整現有的評價體系。“比如,職稱評定能加強安全從業者的責任心和榮譽感,但很多安全人才是實戰型的,學歷並不高,按傳統方式評定,連資格都沒有。”他建議將網路安全人才的評定資格下放到企業,由企業的信譽做背書,參考同行評議制度,讓業內同行來評價。“這個圈子很小,你有幾斤幾兩,大家都清楚。”(記者 喻思孌)