欧冠

網絡黑客自述我的同行如何害死了高考生徐玉

2020-01-16 17:01:32来源:励志吧0次阅读

络黑客自述:我的同行如何害死了高考生徐玉玉

互联安全圈对“黑白”格外敏感

比如90后从业者邓焕,现在更喜欢自称“安全研究者”,而不是“黑客”或者“白帽子”

在大部分人的印象中,“黑客”是动动手指就可以让银行账户多出一串天文数字的少年天才,是电影中轻松攻破美国国防部安全系统的电脑高手,是勒索病毒“WannaCry”、“熊猫烧香”等恶性病毒的制作者而“白帽子”,虽然特指黑客中的守法群体,但这仍很难打消外界对他们的种种猜疑:会不会“白天白帽子,晚上黑帽子”

邓焕并不回避——几乎每一个白帽子都会受到黑产的诱惑他在初三时就收到一份开价数十万元的“邀约”,希望其攻击国内某知名央企的OA系统,窃取财报95后的“珈蓝夜宇”,也多次在上收到月薪10万元的“境外工作机会”

他们少时便学会警醒这是一个如履薄冰的爱好如果说85前一代靠自由、共享的黑客精神完成自我进阶,那么85后、90后一代,则注定要在利益交错的隐秘江湖经受法律、人性的多重考验

因为,黑与白的界限,有时并不那么清晰

野路子

在圈外人面前, “珈蓝夜宇”从不会主动亮明身份

年少气盛时爱炫技,同学朋友得知他是黑客后,纷纷抛来各种不靠谱的“求助”:能不能刷点Q钻怎么追回被盗 帮哥们儿查下女友的做个木马程序……还有年长的亲戚打来:家里电器坏了,你能过来修一下吗

他好脾气地重复解释:我不会,或者,我不做违法的事

“珈蓝夜宇”有一张稚气未脱的脸他高二辍学,18岁工作,到今年刚满20岁我们初次见面时,他身体紧贴桌沿儿,像个腼腆的中学生这与“珈蓝夜宇”在黑客圈子里的活跃形成反差在搜狗、京东、腾讯等大厂商SRC(SecurityResponse Center,安全响应中心)上,他收获过不错的战绩排名前同事记得,他有一叠京东购物卡,都是挖漏洞时获得的平台奖励大家每次购物前,都先来找他兑换

说起来很有意思,“珈蓝夜宇”钻研黑客技术,最初只是为了做外挂

读初中时,他迷恋一款叫《地下城勇士》的游,在一次被盗号后,愤而报了个的外挂班学费300元,是他半个月的生活费也算下了血本

但是剧情在随后发生转折因为做外挂带来的成就感,远远高出升级打怪的**

,“瘾少年”迷上了黑客技术他开始自学,狂啃《非安全》——一本介绍络技术安全的杂志,当年售价29元

很多80后、90后黑客都有相似的经历伴随个人PC机的兴起,电脑杂志在潜移默化中影响了一批人 “白帽汇”联合创始人邓焕记得,他从同桌的一本《技术宝典》开始,买过《黑客手册》《黑客防线》《黑客x档案》等一堆黑客杂志刚开始像看天书,很多东西不懂,却又觉得有意思,就硬着头皮往下读,慢慢理解漏洞成因

此后便是实战

“珈蓝夜宇”最早入侵过“卡盟”商城,一个虚拟物品交易平台他点击右上角的管理员登陆,随手输入一个弱口令“admin” (超级管理员),进去了当时很多站默认密码是“admin”或123456,安全性相当糟糕

接下来的故事,就像一个贸然闯入别人家后花园的孩子,发现院子里没人,便随意采撷几朵玫瑰,扬长而去控制了管理员后台,“珈蓝夜宇”为自己和同学连续刷Q钻,不花一分钱更多同学找过来,他成了大家眼里的牛人一种成就感暗自膨胀

邓焕也是成绩斐然初中时,就有人在上加他,开价数十万元,让其从某央企办公自动化系统窃取财报承认当时很心动,但隐约觉得不太正当,便告知了父母第一次的黑色诱惑被及时扼杀

高中时,他入侵过某部门的官方站,检测出多个漏洞后,发了一封邮件对方的第一反应竟然是:你怎么知道的邮箱 至于漏洞本身,站管理者并不在意

大学毕业前,湖南某知名企业招聘信息安全人员邓焕先测试了企业的官,然后渗透到内发现系统漏洞后,他当晚整理了一份报告发过去第二天,公司便通知他去面试双方聊得不错,但最后被卡在学历一项,据说集团有统一要求,至少本科毕业

邓焕去了互联公司互联圈向来是技术说话,不太在意学历和专业白帽子黑客确实大多“野路子出身”,靠兴趣自学成才比如在邓焕前东家360公司的信息安全部负责人,大学读的考古专业,黑客教父级人物TK(腾讯玄武实验室创建者于旸),曾是一名医生

相比之下,读信息安全专业的邓焕,已经算准科班出身在24岁时,他升为补天漏洞响应平台的负责人之一见过他的人说,邓焕眉目清秀的脸上,挂着超越年龄的老练

我问过“珈蓝夜宇”,当黑客什么时候最有成就感他没有丝毫犹豫:“挖一个影响特别大的漏洞”

上狩猎

“珈蓝夜宇”迄今挖到的最大漏洞,是微软“撞库”撞库是黑客通过收集互联已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他站后,得到一系列可以登录的用户

他断断续续挖了一周每晚9点,从公司回到顺义的出租房,第一件事便是打开笔记本上的扫描工具每天要挖到凌晨三四点如果当晚一无所获,总会忍不住沮丧,觉得时间白费了

就像直觉灵敏的猎人,一个晚上,他终于发现了猎物的行踪 — 微软系统存在“撞库”风险要知道,微软随便出一个可能被黑客攻击的漏洞,影响都将是世界级的比如最近在全球攻城略地的勒索病毒,便是写照

提交漏洞后,他很快收到微软奖励的3000美元国外大型互联公司如微软、谷歌、Facebook等,都有相对成熟的SRC机制或者漏洞奖计划,鼓励外部安全测试人员协助企业维护系统安全

国内从2012年开始,才出现第一家企业SRC,是腾讯公司自建平台阿里、百度、搜狗等互联公司随后陆续设立SRC

安全圈人士总结,正是有了SRC,国内才出现白帽子的概念,越来越多的黑客可以通过“挖洞”技术,光明正大地获取收入

普通人想象中黑客个个身怀绝技,但实际中“挖洞”门槛极低

邓焕记得,五六年前,国内对互联安全防护几乎没有概念中国出现漏洞最高的站是和高校“当时有多糟糕随便一个互联小白,拿着工具扫一扫,就能入侵几个站”

上有大量在行业内被称作“脚本小子、工具党”的人他们不懂漏洞原理,只会利用黑客工具,仍然收获颇丰

“珈蓝夜宇”估计,会一点编程、会用黑客工具扫描漏洞的,月收入能达到上万元

他本人多是晚上兼职挖漏洞,最高月收入4万元,仅在搜狗SRC上,他就挖出过包括输入法在内的四五十个漏洞,获得奖金近5万元一年下来,兼职收入10多万元

但他强调,只想赚钱的人,是学不好黑客技术的

乌云创始人方小顿曾说过,一名白帽子黑客,除了要在技术方面感兴趣之外,另一点就是必须拥有一个正能量的理想

理想这个东西,在80后一代黑客身上尤为明显邓焕形容85前的黑客,是理想一代他们处事低调,乐于分享和交流技术,挖洞不为钱,只是为了证明个人能力,从中获得成就感

虽然生于1990年,邓焕从心理认同上更接近80后

“珈蓝夜宇”是标准的95后,但他也看不惯年轻一代黑客的张扬和浮躁有人挖到一个漏洞,就在知乎上大说特说,展示攻击日志有不少人,挖洞只是为了钱或名

他估计,国内从业者至少数万人,但顶级黑客应该不足百人他们或隐于江湖,在BAT身居要职;或开山立派,自己创业当老板

目前白帽子黑客群体的主力是90后

“在岸边走,尽量不靠河边走”

络安全是双刃剑,黑客很难做到百分之百清白在解释这句话前,邓焕抛出一道选择题:“白帽子在未通知对方的前提下做渗透测试提交漏洞,你觉得是合法的吗”

这正是行业一度面临的窘境——法律界限模糊众测本身是一个比较模糊的概念,测试到哪一步就该喊停具体获取多少条数据既可以验证漏洞存在、又不至于违法这些问题此前并未明确规定

曾有某大型知名互联公司被乌云曝出数据泄露但是圈内人都知道,至少在半年前,该公司数据已经在地下流传,只是企业自身不知情

邓焕的合伙人、安全圈“带头大哥”级人物赵武,曾在个人微博中不点名地做出预警对方没反应

很多人会追问,为什么不主动去提醒企业

“如果我主动找上门,说你家某某处有安全问题你的第一感觉是什么你会觉得我勒索你”邓焕苦笑

白帽子黑客的顾虑不无道理2015年底,青年袁炜在乌云平台提交了世纪佳缘的系统漏洞一个月后,世纪佳缘报警称“站数据被非法窃取”,袁炜遭逮捕在圈内人看来,袁炜找漏洞、提交漏洞的行为没有越线,白帽子平时均是如此做测试

这成了安全圈的一个标志性事件处于灰色地带的白帽子黑客群体,开始重新审视法律边界

2016年7月,又一转折性事件发生:中国最大的白帽子黑客聚集地 — 乌云关闭,多名高管被警方带走调查

安全圈一片惶恐,特别是在乌云排名靠前的黑客,几乎陷入集体焦虑邓焕说,很多人都进入“倒带”状态,回忆自己是否在不知情时踩线,是否碰过敏感数据

有段时间,“珈蓝夜宇”格外警惕,不再轻易对某些站进行测试,除非得到授权,“我怕被误伤”他为自己定的规矩是:在岸边走,尽量不靠河边走

一些黑客团体也会对成员提出明确要求:做测试一定需要公司授权做远程评估渗透,必须拿到对方书面授权文件

特别是今年6月1日以后,新施行的《络安全法》第二十六条已经对白帽子黑客行为做出了明确界定,“开展络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、络攻击、络侵入等络安全信息,应当遵守国家有关规定”

受乌云事件的影响,部分企业安全人员有点郁闷乌云鼎盛时,企业被曝光,就像经历了一次慌手慌脚的公关危机部分企业由此开始重视络安全,招聘安全人员 “珈蓝夜宇”一个朋友,便在那时入职一家小公司刚开始,这个朋友特别受重视,公司每次产品会议都会叫上他;后来乌云倒了,没人报(漏洞)了,他越来越边缘,没了会议通知,没了安全要求,他只得乖乖走人

快一年了,外界仍无乌云及其高管的最新消息

一名圈内人评论,乌云社区的存在有利有弊:它标榜自由理想,汇集了一批热爱技术的人,对安全行业做出了不可忽视的贡献;但与此同时,这种漏洞公布方式,不能排除有搞黑产的人会混在里面,坐收渔利

“黑产的诱惑”

圈子里总有人过段时间会莫名消失直觉告诉“珈蓝夜宇”,又有人去闷声发大财了

“大财”,即黑产白帽子与黑产从业者都是“漏洞猎人”不同的是,前者的猎物是漏洞本身,后者则围猎企业和民,靠洗劫攫取财富在这类人眼中,技术或许只是让银行卡数字不断变长的魔法工具

“珈蓝夜宇”就在黑客技术交流论坛上,结识过一个名“法师”的少年天才,技术特别厉害两人后来在一个朋友的聚会上还见过面,一起喝酒、唱歌

但他最近一次见“法师”却是在照片上2016年8月19日,山东准大学生徐玉玉被一个诈骗骗走5000元学费,18岁女孩绝望离世,震惊全国警方侦破案件时发现,一名不法黑客利用站安全漏洞,侵入“山东省2016高考上报名信息系统”,下载了60多万条高考考生信息,并在上非法出售,获利5万多元这其中,就包括徐玉玉的个人信息

“珈蓝夜宇”发现,犯罪嫌疑人有点脸熟 — 正是“法师”本人

一阵唏嘘

“珈蓝夜宇”也遇到过黑产的诱惑,但自嘲“怕有钱没命花”

“我感觉他(“法师”)就是有钱没命花的那种” “珈蓝夜宇”发现,黑产人员会从各大厂商的白帽子排行榜上挖人对方上来就说,有新加坡、菲律宾的工作机会,年薪百万,保证绝对安全开出的条件里,还包括每天换模特女朋友

这个待遇极具诱惑毕竟,在国内要做到大神级黑客,年收入才有可能达到百万级别

黑产从业者过着与白帽子截然不同的生活邓焕身边有人炫耀,做黑产日收入几万元有人开销特别大,出去吃顿饭要好几千,然后就是买各种豪车、奢侈品但近年,国家越来越重视络安全,有不法黑客因多年前的案底被翻出来而锒铛入狱 “跟贪官一样,有了第一次(受贿),觉得来钱特别容易,收手可就难了”

有位“回归”的朋友还告诉“珈蓝夜宇”,出国后, “组织”会扣押护照,就像传销组织扣押身份证

大型互联公司通常不会录用背景不清楚、或有过“污点”的安全研究人员不知黑白是很可怕的事,有可能演变成企业危机公关今年3月央视报道称,京东前员工郑某鹏,被曝长期与黑产团伙勾连,从供职过的多家互联公司盗取个人信息,在上售卖

消息一出,很多用户担心个人信息被泄露,后来京东方面出来澄清,公司是在与腾讯联合打击信息安全地下黑色产业链的日常行动中,发现该员工系黑产团伙成员,并立即报警“由于该员工入职时间不长且权限不高,因此这批泄露的信息是否包含京东相关信息还有待查证”

也有商业竞争对手利用安全作文章 “白帽汇”服务过一家做2B业务的客户,在拿下一轮融资的前几天,该公司用户数据批量被盗入侵者群发邮件给每一个客户,指出系统不安全,导致下一轮融资直接受到影响

接手后,邓焕和同事分析络日志,进行溯源,结果发现系统安全存在漏洞,并被攻击者拿来利用联想到攻击的时间点非常关键,这家客户推断是某竞争对手所为

邓焕入行七八年,听过太多以安全为工具的商战故事——有公司为抢客户直接入侵竞争对手的数据库,会把客户资料偷过来,再逐个推广

这也是邓焕选择出来创业的一个原因:大量企业的“后花园”并不安全,“栅栏门”上需要加把锁,将不速之客拦截在门外他们要做的,便是为企业提供安全定制方案,并收集威胁情报,在事前、事中、事后提醒企业

团队有一条业务线是卧底黑产在互联上,是黑产人员的聊天主要渠道他们派人加进群里,由系统监控着几百个黑产群,总人数达万人

黑产盯上谁、攻击谁,想脱谁的数据、哪些企业的数据在地下正被贩卖等,这些均构成威胁信息的内容

不久前,他们发现群里有人贩卖某知名电商站的最新订单数据邓焕团队经过初步印证,发现订单真实存在因为与站安全负责人相识,他们便将这一情况直接告知对方

得到授权后,他们作为企业与黑产的“接头人”,帮对方买回一批数据,验证真伪,排查出问题的环节最后追踪到,某分省一个快递公司系统出现漏洞,导致客户数据被卖快递公司连夜报警

互联世界,数据成了被交易的商品有的一条要一两块钱早些年,花上三四百元,便能买整套身份证和银行卡,全是别人的名字即使现在,在里还能搜得到在百度盘,输入某些关键词,可以搜出几百万条与个人信息相关的数据

还有不法黑客,为了炫耀,会在某个页后面挂黑页,留下自己号黑页属于站二级目录,需要管理员权限才能创建白帽汇监控到,会将信息输送给企业

对安全敏感的企业越来越多“珈蓝夜宇”有次开着扫描器,边扫描,边浏览知乎页次日,知乎技术人员看到攻击日志,便根据ID找过来,委婉地说,公司正在招聘安全人员而在五六年前,白帽子提交漏洞,或主动联系厂商,通常别人理都不理

络安全的剑与盾

在望京一处快餐厅结帐时,“珈蓝夜宇”很认真地盯着小票嘀咕:“说发短信通知,可我不是会员,他们怎么知道我的号”

直到我确信是他误解了字面意思,他才将注意力转移到食物本身

安全圈的人都敏感他们比谁都了解,当下信息泄露成本之低邓焕发现,自己遭遇信息泄漏,也只能抱怨一句:“又被卖了,个人信息没被泄漏出去才厉害”

中国互联协会数据报告指出,78.2%的民个人身份信息被泄露过,63.4%的民个人上活动信息被泄露过曾有媒体报道,在黑产群里,700元就能买到一个人的行踪,包括**、乘机、上吧等11项纪录而获取这些信息,仅需提供一个号码

安全圈对此早就司空见惯邓焕订外卖,从来不用实名和个人号他周围很多人都用“阿里小号”,与实体SIM卡绑定,在订餐、站注册、购物时,App会自动生成另一串号码,显示到对方平台上

邓焕本人对实名制的态度极为谨慎:要求互联实名制,一定是建立在系统安全或能保护好公民隐私的前提下一旦信息泄漏,影响恶劣比如韩国要求公民上需接入个人信息,但却发生了数据库泄漏事件,导致全国公民信息都有可能被脱了库国内也发生过因为社保系统漏洞,多省公民社保信息被泄漏的事件遇到站注册时要输身份证号的,除非BAT这种,其他邓焕情愿放弃注册

而“珈蓝夜宇”的敏感,更多是在拆快递时的强迫症他一定要把快递单据撕碎,实在撕不下的,就拿小刀划烂,再扔掉他从不用公共Wi-Fi,也不会为了领取廉价小礼品,而用扫一扫或注册某些乱七八糟的站

今年6月1日起施行的《络安全法》,或许某种程度上可以降低个人信息被泄露的概率该法第四十二条明确了运营者的:“络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”否则,轻者被警告罚款,“情节严重的,并可以责令暂停相关业务、停业整顿、关闭站、吊销相关业务许可证或者吊销营业执照”

一把高悬的达摩克里斯之剑

这也意味着,发现络漏洞或站被黑以后,企业不能再不了了之对于中国互联的安全来说,这部法律的实施不啻为一个良好的开端

邓焕觉得,对白帽子黑客而言,这或许也是件好事

产后感染多久能好
月经颜色暗红的原因
太原治疗白癜风费用
分享到: