第三方软件系统漏洞、外部数据撞库、个别内鬼泄露……近年来,不少企业信息泄露事件总会把调查原因最终推托给这几个看似无能为力,或者极度个别的原因,然后再建议用户“提高安全意识,定期更改密码”。最终,企业的安全部门好像无功也无过,消费者只能眼巴巴地期待着天下无贼……
俗话说“苍蝇不叮无缝的蛋”,12 月 13 日,南都i玩版刊登了《审计环节缺位“内鬼”作祟批发信息》,可见国内企业在安全信息方面的投入微乎其微。然而,一边是国内大部分企业没有安全防御;另一边,黑客的进攻技术却日益高超、出神入化。结果可想而知,消费者变成了“透明人”。
谁在破坏安全?
黑客一念成佛一念成魔
实际上,安全从业者跟入侵黑客本质是同一班人,做的是同一件事,就是不停开锁找漏洞。在他们眼中,系统只有两种,一种是可以侵入的,一种是即将被侵入的。简单点理解,就是只有不勤快的开锁匠,没有开不了的锁。
但这是一个很奇特的圈子。在业内,如果找到漏洞后交给企业让他赶紧“修锁”,这种人就是安全从业者,俗称“whitehat”,这个开锁的事情就叫做“深度测试”;如果找到漏洞,直接进屋子把有价值的东西拖出来卖,这种人就是入侵黑客,俗称“blackhat”,这件事就是大家所熟悉的信息泄露了。
事实上,“whitehat”与“blackhat”之间的区别很多时候只是一念之差。“相对于‘whitehat’而言,‘blackhat’技术更高,赚得钱也更多”,黑客小林(化名)向南都记者表示。知道创宇超级安全体检团队负责人王宇说,“我看过的黑市叫价最贵的漏洞达到 300 万元以上,相比较来说,国内较有安全意识的厂商肯为漏洞付出的费用最高也才几十万。”据悉,小林去年在全网挖出了 300 多个漏洞,其中也就 30% 会付费。更多时候,个人黑客行为取决于所谓的“正义感”。
不仅如此,黑客行为可能还会遭到企业敌视。美国一黑客发现了波音公司一个漏洞,但后者一直不予理睬。他最终买了一张波音公司的机票,在飞机上成功把飞行系统劫持,以此证明漏洞的存在。他的朋友、McAfee 创始人约翰·迈克菲告诉南都记者,“波音应该给他发一块奖牌感谢,但事实上,他一下飞机就被 FBI 直接逮捕了。”
“就我所知,国内大部分个人黑客,黑白都会做,今年乌云事件爆发后大家才躲起来的。”另一位黑客小金如是表示。
维护安全的灰色地带
奖励与敲诈瓜田李下讲不清楚
但“blackhat”实际已是犯罪行为。“为了证明安全漏洞存在而进行的技术验证,一般不涉及刑事犯罪。但如果检测过程中入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统,即使不获取数据,没有从事破坏行为,也构成犯罪。”IT 知名律师赵占领表示,如果属于其他领域的计算机信息系统,首先不能非法获取数据,否则也涉嫌构成非法获取计算机信息系统数据罪。
除此之外,漏洞众测的机制本身也有灰色边界。“你要试试这个锁行不行,你总得撬两下,这个动作的法律定义很难讲清楚。”360 董事长周鸿祎告诉南都记者,目前乌云等众测平台提交漏洞给企业后,企业会自主定价打赏黑客。“但奖励也是‘瓜田李下’讲不清楚的,跟‘敲诈’没法区别。”
“对于黑客提交漏洞的行为,企业专门给予现金或者物质奖励,一般没有问题,这是企业主动从事的赠与行为。除非在提交漏洞之前,向相关企业索要钱财,否则提交给乌云网按流程予以公开披露,这种情况涉嫌敲诈勒索。”赵占领表示。
谁在为安全防御?
企业内部养不起技术大神
与强悍的进攻方相比,大部分中小企业没有自己的防御团队。“安全看不到收益,纯烧钱,中小企业首先考虑的是控制成本,所以基本只是网管跟运维。”小金说,一个技术大牛年薪起码百万以上,他们“养不起”。另一方面,大部分技术大牛也不考虑去企业,“几十年对着同一套系统太枯燥了。”
作为个体户与员工之间的中间地带,现在许多公司化的安全团队可能是一个比较成熟的模式,但他们必须接到企业授权的订单才能模拟攻击。
近期,知道创宇就接到一个中学教育类创业网站对新版本深度测试的需求,王碰负责这个项目两个域名的分析。测试后发现,该系统年级筛选的搜索框有代码漏洞,于是将背后核心题库“拖”了出来。因为题库数据也涉及企业核心商业利益,这个漏洞提交半月后就被修复。
但如果拖出来的是与企业利益无关的用户个人信息,企业的态度可能不同。“360 补天发现过一个国内高校的漏洞,给他们技术方反复提交了半年愣是没改,”周鸿祎说,这些校园 B B S 是信息泄露重灾区,“他们觉得自己是小网站,没有敏感信息,不会被攻击。实际上学生在这上面的 ID 密码可能同时用在支付宝上。”
王碰说,“其实企业内部查找漏洞跟修复漏洞不是同一班人,如果不是特别敏感的信息,这种内部沟通效率就是问题。”打个比方,小A盖了房子给公司,小B找外部第三方检测发现锁不行,如果是卧室锁坏了,小A会赶紧修;但如果只是跟房间格局无关的某个抽屉锁坏了,小A承受的指责、增加的工作量以及心中的怨念可想而知。
安全的命门在哪?
最终还是人与人的较量
“现在厂商宁愿多买服务器硬件,也不愿雇一个安全人员进行长期监测。”周鸿祎曾告诉南都记者,但安全不是机器与机器斗,而是人与人斗,永远没有一个方案可以一劳永逸,人的服务才是安全最好的解决方案。简单说来,一个写字楼会有门锁,但日常管理进出人员还是得依赖保安。
实际上,安全隐患很多时候来自人为伤害,也就是“内鬼”。“其实信息‘拖库’简单说来就是获得管理员权限。”王碰说,技术可以通过伪装获得权限,而企业内部人员不需要懂技术就已经有这个权限。
白帽汇首席安全官邓焕说,“一般安全领域主要有三类人员,一类安全管理者,制定安全域安全规则;一类‘白核’,主要看代码逻辑性;一类是‘黑核’,不看代码,以黑客思维模拟攻击。”但现在大部分安全团队接到的客户需求都类似王碰接到的项目,很少长期监测,“白核”工作并不多。
这主要是在于“白核”的工作很难量化考核。“其实不管是外部攻击还是内鬼作祟,都有相应的攻防方案可以对付。”王宇说,现在国内安全的最大难题就是决策者本人的重视态度问题。
采写:南都记者蔡辉