霍光

　　[“正面的經濟回報一定沒有黑産能提供的多，但出於內心的正義，或是擔心與黑産交易産生的風險，有這樣的機制，就不會讓好孩子變成壞孩子。”]

　　當資訊安全軍備競賽不斷升級，網路攻擊像核武器一樣無法防禦時，我們還能做什麼？

　　今年7月，義大利駭客公司Hacking Team被黑，其400GB資料外泄，引起了駭客界的軒然大波。“這400GB內容讓整個駭客界的技術水準前進了兩年。”中國台灣駭客組織HITCON領隊與競賽負責人李倫銓如是評價這次事件。

　　Hacking Team洩露的數據中，包括其開發的能夠監控幾乎所有桌面電腦和智慧手機的監聽軟體，以及為實現監控而蒐集的大量零日漏洞(0day，未經公開、沒有修補程式的漏洞)。更驚人的是，數據中還有若干國家政府與其交易的資訊存檔。“Hacking Team讓圈內人驚嘆，原來只是知道漏洞可以賣，現在才知道居然還可以合法地賣。”李倫銓調侃道。

　　“今天，有目的的駭客攻擊只靠技術來防禦已經遠遠不夠。”曾任美國中央情報局CTO的Bob Flores對《第一財經日報》表示，最可怕的是，很多公司在資料外泄時，還沒有意識到已經被攻破了。“最重要的，應該是在事情發生後的應變。”

　　防不勝防的攻擊

　　今年4月，美國人事管理局遭到攻擊，超過400萬的政府僱員數據遭到洩露。“現在，確認的洩露資料數字已經刷新到2100萬筆。”Bob Flores説。

　　可怕的是，這次入侵其實在兩年之前就已發生了。Bob Flores表示，對美國人事管理局的入侵“只是最近才被發現和公開”。這起入侵是通過竊取美國人事管理局的資訊系統承包商的電腦來切入的。

　　“2013年起，我們進行了一個調查，採樣了台灣企業的1216台伺服器，結果顯示，平均攻擊潛伏時間(從駭客入侵成功到入侵被發現的時間)達到了559天，極端案例超過了2000天。”趨勢科技台灣暨香港區總經理洪偉淦向《第一財經日報》記者表示。

　　如果説早期駭客的攻擊主要是以政府機關為目標，那麼最近幾年，越來越多的入侵事件已經轉移到商業機密的竊取上。對於這種有目標的持續性攻擊，防範是非常困難的。目前，業內將這種攻擊方式稱為APT(Advanced Persistent Threat，高級持續性威脅)。APT的實施者會試圖通過釣魚郵件、網站，以及各種漏洞等一切方式嘗試入侵目標的資訊系統，獲取管理員許可權並潛伏其中，伺機進行破壞或資料竊取。

　　2013年發生在南韓的事件是一個典型的APT攻擊案例。2013年3月20日，南韓KBS、MBC、YTN等主要廣播電視臺以及新韓銀行(Shinhan Bank)、農協銀行、濟州銀行等商業銀行的電腦網路全面癱瘓，三大電視臺畫面被控，南韓大量民眾遭遇到無法在ATM取現，也無法用信用卡消費的窘境。事後調查發現，這起攻擊經過至少8個月的策劃，至少6台相關電腦設備從2012年6月就已經被入侵，駭客植入的惡意程式達76種，超過4.8萬台設備遭攻擊。

　　趨勢科技全球研發長暨大中華區執行總裁張偉欽介紹，APT攻擊通常會在被入侵設備上植入後門，在需要發動時，從駭客的“指揮中心”向這些設備發送指令，完成指定的操作。“這些後門可以很容易地寫出大量的變種，查殺是查殺不過來的，但掐斷了指揮中心與後門之間的聯繫，後門收不到指令，也就無害化了。”張偉欽笑著説，趨勢還會去購買一些被發現的指揮中心資訊加入到趨勢産品中，從指揮中心方面去防範APT。

　　“美國人事管理局公佈的數據，它們在4月一個月當中，系統遭攻擊的次數就達到3.08億次，你説有多少病毒侵入了它們的系統？”Bob Flores説，“美國人事管理局的資訊安全保護是用所謂的病毒特徵方式進行防護，所以它只能偵測已知威脅，沒有辦法防範未知入侵。最糟糕的是，他們雖然有入侵偵測系統，但沒有合理的防護措施，所以東西(駭客)進來他們知道，但沒有辦法把它(駭客)擋下來，人事資料也沒有加密，所以人家一進來就偷走了。”

　　“最重要的是，你必須知道公司哪些資料是你要優先保護的；還要建立一個處理事件應變的小組；同時，還要教育你的員工如何防範風險，發現有問題了要報告給誰來處理。”Bob Flores如是説。

　　防止人才“黑化”

　　在防範入侵的同時，一個問題也讓人深思：到底為何這麼多“天才”會選擇進入駭客産業鏈？

　　駭客在很多人心目中是比較神秘的，李倫銓卻表示，駭客其實也是普通人，只不過掌握了很多專業的技能。“給他們一個好的環境，他們就不會流失到黑産中；讓更多的人留在正面去研究怎麼防範攻擊，而不是成為攻擊者，這是應對安全問題最釜底抽薪的辦法。”所以，他也戲謔地將HITCON稱為“義工”組織。“我們是義工。”他反覆地跟記者重復這句話，面帶微笑。

　　“其實每個駭客都曾經是一個天真的孩子。”李倫銓給記者講述了一個故事。曾經，一個年輕的駭客發現了雅虎的一個漏洞，出於正義的本性，他將這個漏洞發送給了雅虎的技術人員，然而雅虎卻遲遲沒有做出回應，後來，久候雅虎答覆不至的他收到了他聯繫的雅虎技術人員個人送給他的一件T恤，於是他在T恤胸前寫上了這樣的字樣表達他的不滿：“I reported a bug to Yahoo and all I got was this t-shirt。”(我向雅虎上報了一個漏洞，這件T恤是我得到的全部回報。)

　　“Hacking Team這樣的組織，將監控程式銷售給各國政府可以獲取上百萬美元的回報，因而也可以出數萬甚至更高的價格去收購0day漏洞；與此同時，企業卻往往沒有意識到漏洞的價值，對上報者不聞不問。”李倫銓表示，這也許是很多駭客被吸引到暗面的原因——不僅有高額回報，同時有能夠獲得認可的感覺。

　　李倫銓現在擔任台灣駭客年會HITCON的組織者，也會以HITCON的名義，作為領隊組織台灣的駭客去參與國際上的一些駭客大賽。“我認識的駭客都是比較正派的。”他介紹，HITCON平時也是比較鬆散的，成員各自有各自的生活，“平常除了吃飯我們也沒有其他事情，大家都很忙。我們很少會聚集。”他所做的，就是鼓勵大家，樹立一些目標，讓大家聯合起來，有一個方向去努力。

　　除了HITCON成員，李倫銓也接觸過各國的一些其他駭客，不過並不頻繁。“美國，或者中國大陸太大了，見面就要坐飛機，所以很少見。”他向記者表示，在一些重大活動上，他們會見面，不過很多人只知道綽號，駭客彼此之間也有一些神秘感。他表示，他認識的駭客，包括中國台灣、中國大陸的一些知名駭客，基本都能抗拒黑産的誘惑。“大家都是技術人才，很單純。”不過，他也不忘笑著補上一句，“我也知道非常多抗拒不住的人，當然他們也不會跟你講。”

　　李倫銓認為，對駭客人才，除了引導之外，也要有合理的回饋機制。“之前那次事件，雅虎被嘲弄了之後，就很快地建立了一套對上報漏洞的人的回饋機制。目前，雅虎花在這方面的錢已經超過100萬美元，做得相當不錯。”李倫銓“洗白”了之前調侃過的雅虎。他也很贊同中國大陸的“烏雲”這樣的漏洞平臺在做的工作。“正面的經濟回報一定沒有黑産能提供的多，但出於內心的正義，或是擔心與黑産交易産生的風險，有這樣的機制，就不會讓好孩子變成壞孩子。”

　　雲查殺不是“萬靈丹”

　　應對防不勝防的APT入侵，安全企業們紛紛把目光投向大數據，希望通過大數據來對未知威脅進行“自動化”的偵測。

　　在去年的美國DEFCON駭客大會的競賽中，HITCON取得了亞軍的成績。李倫銓向《第一財經日報》記者介紹了比賽的機制。“每個團隊會獲得自己的設備，上面有不同的漏洞，你要在5分鐘之內找到漏洞攻破對手的系統，並儘量不讓自己的系統被攻破，這樣的競爭會重復進行多輪。”他介紹，找到漏洞遠比修補容易，一個漏洞的修補最少也要幾個小時，但攻破只要幾分鐘。因此，美國政府也在嘗試用機器來進行自動化地尋找漏洞、攻擊、修補等過程。

　　“也許明年，就會有一個初步的成果出來，美國也會邀請全球的駭客團隊去和這個系統比拼，也許到時我們會被打得體無完膚。”他這樣調侃道。不過，他也表示，做出這樣一個系統還是非常困難的。“畢竟這個領域的頂尖人才就那麼一小部分，讓這一小撮人才去構造這麼大一個系統，進展不會太快。”

　　而手握多年防護數據的安全企業，也在尋找如何利用這些數據的方法。不過，在個人電腦上已經實踐的“雲查殺”，應用到企業並不容易。

　　“個人與企業的行為和要求都相差很大。例如，一個新出現的程式快速傳播進大量個人電腦，你從這一行為出發判斷它是病毒，準確率達到80%，即使誤判，最多是重裝系統；但在企業，一個新出現的程式快速傳播，可能是企業新開發的核心應用。你如果將它誤判成病毒，殺掉了，企業的業務可能會崩潰。”張偉欽表示，極端情況，例如一些對精密性、實時性要求很高的工控系統，“掃描病毒造成的反應遲緩可能比病毒本身危害性更大。”

　　今年8月，趨勢科技還特地將其在台灣舉辦的年度資訊安全大會CLOUDSEC2015的主題定位在雲安全、移動安全方面，希望尋找新形勢下的企業資訊安全管理及防禦策略。

　　“未來的趨勢，更合理的做法是將大數據包裝成一個平臺，交給客戶，上面的各種應用機制由客戶根據自己的特性去調整。”張偉欽説，“直接將大數據打包進一個産品，希望它能夠解決問題是非常難的，因為大數據很難控制。”