查看原文
其他

20分钟“黑”掉一台智能车、帮警方端掉数百个黑产团伙,他们却始终戴着面具

雷册渊 师梦娇 原点original 2024-01-19

“在中国,每100个研发工程师所配备的安全工程师还不到0.5个。”

文 | 雷册渊 师梦娇

编辑 | 王潇


10月末,一场颇为“神秘”的比赛在上海西岸艺术中心举行——

一台市场上在售的新能源车正在接受检验。选手们的目标是在20分钟内找到漏洞并攻破这辆车的智能系统,在不用钥匙的前提下“顺走”它。然而他们的开局并不顺利……

这场GEEKCON安全极客大赛,原名是“极棒(GeekPwn)”,在中国的极客圈久负盛名,已经连续举办了十届。所谓安全极客,也叫“白帽黑客”。他们不同于利用漏洞进行技术攻击、以谋取利益的“黑客”,而是在发现漏洞后,通过提示厂家或公开发布等方式,促进漏洞的修补。

6支队伍从来自高校、企业或个人组成的 93 支战队中选拔产生。他们要在有限的时间内完成攻破智能手机、智能汽车系统等挑战项目,以向人们展示与每个人息息相关却尚未得到足够重视的安全问题:

你的智能手机在浏览恶意网站时会被木马入侵吗?是否会出现霸屏广告或流氓软件?你的位置信息是怎样被泄露的?短信等敏感信息是否会被劫持?以及,你的智能汽车能否在没有钥匙的前提下被人开走?……

“我们花了十年时间,用持续的努力,想传递一些思考,比如:这个世界上不存在没有漏洞的系统,漏洞并非因为黑客才存在,反而是因为被黑客发现才消灭。”GEEKCON主席、DARKNAVY董事长兼CEO王琦说。即便这是常识,“白帽黑客”的价值要被主流接纳并不容易。

场内观众通过大屏幕直播,观看选手攻破智能车系统的挑战项目。

面具之下

阳光下,三位选手把套头衫的帽子戴在头上,和脸上的面具一起构成了一副严丝合缝的“铠甲”,避免暴露自己除身高以外的任何生理特征,就连彼此间的沟通也是通过手势完成的。

他们弯腰趴在一台同样被包裹得严严实实的新能源汽车的引擎盖上,手指在电脑键盘上翻飞跳动……或许是厚重的“伪装”影响了选手的视线,他们的前两次尝试均以失败告终。

为什么要这样“全副武装”?选手们表示,原因令人无奈。

在传统印象里,通过代码寻找计算机与网络系统中安全漏洞的人就是“黑客”,这个词常含贬义。殊不知,在真正的黑客世界里,有“白”也有“黑”。同样是攻击漏洞,一个是为建立更好的防御系统而攻,一个是为牟取利益而攻,就有了分别代表正义和邪恶的白、黑之分。

最初,厂商们总认为“白帽黑客”是来找茬的,不但不接受观赛邀请,还设置各种障碍。2014年,第一届极棒大赛甫一开幕就遭到打击:比赛现场频频出现网络故障,直播也被迫中断,甚至有厂商因为怕一旦被攻破,会影响产品的声誉和销量,干脆关掉了服务器,导致挑战项目无法进行……

直到十年后的今天,即便有更多人知道了“白帽黑客”,也知道了“黑客”并不总是恶的代名词。但现实的龃龉依然存在,比如场上这些全副武装的选手。

“因为这个漏洞还没被公布过,为了防止这家车企追责,选手和车都必须伪装出镜。如果时间到了,我们也让他们挑战完好吗?”王琦向观众解释,观众们则用掌声报以支持。

王琦在业内人称“大牛蛙”,是中国最了解“白帽黑客”的人之一。他曾是微软中国安全应急响应中心的主要创始人和技术负责人。2011年,他离开微软,在上海创办了自己的安全研究团队,并一举在世界最著名的黑客大赛Pwn2Own中,成为历史上第一支同时攻破电脑操作系统和移动操作系统的安全研究团队。王琦深知,并不是所有的“白帽黑客”都有机会像他一样站上顶端、走到前台,这也是他创办比赛的初衷——让“白帽黑客”的能力可视化、价值可度量。

王琦在业内人称“大牛蛙”,是中国最了解“白帽黑客”的人之一。

“白帽黑客”中那些没有被看到的大多数,究竟是什么样的存在?从2022年发布的《2021中国白帽子调查报告》和《中国白帽人才能力与发展状况调研报告》中大概可以描画出他们的样貌:

2021年国内“白帽黑客”总数已超过17万人,帮助超过数万个客户组织发现并修复了超过260万个漏洞。2022年,在所有“白帽黑客”中,男性占比88.2%、女性占比11.8%;“90后”“00后”是主力群体,占比分别为50.3%和43.4%;学生群体是白帽人才最大的组成部分,占比高达37.7%,其次是安全企业员工,占比约为26.5%。互联网行业是第三大来源,占比约为16.4%……

这些年,记者断续观察和采访了一些顶级的“白帽黑客”和安全团队,记录下他们在网络空间这个看不见硝烟的战场中,一个个对抗黑暗的故事。

迷踪追敌

比赛紧张的挑战环节间隙,专门穿插了“特别披露”的环节,邀请从业者讲述本年度行业中最有代表性的真实案例。

上场演说的“白帽黑客”们无一例外都戴着面具,因为如果他们暴露了自己的身份信息、供职单位,轻则带来供职企业商业价值的损失,重则会遭到黑灰产从业者的打击报复,威胁自己的人身安全。“就像缉毒警察不能公开自己的长相和声音,他们就是信息安全领域的‘缉毒警察’。”王琦说。

比赛主办方向“白帽黑客”颁发“捍卫者奖”。

凌云(化名)供职于国内某知名互联网企业。去年年末他们发现,该企业可能被黑客攻击,发生了大规模的用户账号被盗事件,安全团队的“白帽黑客”们应声而出……

“发现这件事的起因是客诉,每天我们都会接到数十起同类的客户投诉”,凌云说,“这些用户发现自己的账号自动操作了一些自己根本没做的事,比如点赞、刷单,怀疑账号被盗。”根据凌云团队的经验,客诉数量与实际受影响的用户数量肯定存在差距,经过测算,被盗账号的用户数超过百万。如此庞大的数目引发了安全团队的强烈关注,一场猫捉老鼠的追踪战打响了。

然而在网络世界中,他们并不知道自己面对的是什么样的对手。就像为追击敌方一头闯进高山密林的侠客,即便一身武艺,也难免因为浓雾障目而迷失方向。他们只能抓住仅有的线索一步一步追踪,每前进一步都要经过反复试错。

起初凌云和同事们猜测,被盗号的用户可能是因为访问了恶意网页而导致账号被盗。可经过测试发现,一些条件并不满足他们对攻击者的定位,比如用户被攻击后,后台显示的登录设备信息和原本的设备信息是一样的,而设备信息是很难被伪造的。

他们又猜测,是不是用户安装了某个恶意软件?他们反复比对账号被盗用户的手机里所安装的软件,以找到他们同时安装的某个恶意软件。结果发现,并不存在这样的交集。

他们又想到一个办法,那就是把自己变成真正的受害者。在测试手机上安装被盗账号用户手机里除系统应用之外的所有应用软件,再把测试手机置于满足攻击的条件之下,反复打开不同的应用,捕捉在哪个应用打开时手机会受到攻击。这项工作安排了安全团队的四五个人同时进行,还是毫无收获。

“后来我们才知道这是一个‘乌龙’。因为对手的攻击程序不是特别完美,有时并不会触发攻击,而令人啼笑皆非的是,我们测试那几天刚好就遇上了他们的这个Bug(漏洞)。”凌云说,“现在回看每一步都非常清晰,可当时我们面对的就是一团迷雾。当一条又一条路都走不通时,我们就不得不反复回到最初,不停测试,直到把这个真正作恶的东西找出来。”

耗时超过一周,排除了四五种可能后,凌云团队终于找到了“靶心”——一个恶意SDK(由第三方服务商提供的实现软件产品某项功能的工具包,如软件中推送技术、图像识别技术、移动支付技术等组件)。追踪战进入最后的阶段——复现(复制黑客攻击过程)和固证(固定证据),只有经过这两个步骤才能顺藤摸瓜地找到对方服务器地址和关联信息,真正锁定和打击黑产。

“我们在复现的过程中甚至把它攻击程序的bug全给修复了。”讲到复现时的这个小插曲,凌云的上司、该安全团队的负责人林峰(化名)觉得好笑,“这个SDK设置了一个下发开关。你可以想象它有一个按钮,就像小偷,发现不对劲的时候会立马关闭。但我们在他们发现之前就已经取得并固定了证据,整个过程就是一种持续交锋的感觉,直到最后,有种‘终于逮住这小子了’的快感。”

凌云至今还记得自己作为技术人员跟随警方去端掉对方窝点的场景:与想象中“见不得人”的黑灰产业不同,这家公司坐落在国内某知名的互联网园区内,公司墙上甚至还挂着各种荣誉证书。“这是一条非常成熟的产业链,他们披着上市公司的外壳,却干着非法的勾当。”凌云说,“抓捕时,我见到了他们的大老板,一看就是一个老黑客,张口就是:‘我要见我的律师。’”

价值困境

“砰(Pwn)——!”在倒计时结束的最后两分钟,选手们终于找到这辆车的漏洞并攻破了它。一名选手从电脑前飞奔向车门,拉开,欢呼声随之而来。

比赛中,选手每挑战成功一个项目,现场就会发出“砰(Pwn)——!”的一声,这是一个群体文化符号,代表着一个智能系统被发现漏洞并成功攻破。

“打开车门还不算成功,开走这辆车才行。”王琦提示到,真正的挑战还没有结束,场内也很快安静下来。

台下观众都是安全技术的发烧友,看得十分投入。

这样的赛程设置和王琦一直秉持的理念息息相关。“攻击视角的对抗是检验安全防御水平的唯一科学标准。”他坚持认为,一个安全的系统,必须经受住黑客视角的攻击,也就是俗话讲的,是骡子是马,拉出来遛遛。安全是一件需要规范化、体系化完成的精密工程,但真正能够意识到这一点,并且愿意为此持续投入的公司并不多。

“许多企业分管安全部门的领导恰恰是不懂安全专业的人。”王琦介绍。在公司决策者眼中,安全是一件看上去“什么都没发生”的工作。主观上,决策者们希望什么安全事故都别发生;可如果安全部门全年没有什么动作,又会被质疑公司为安全所付出的成本去了哪里。这是安全部门的普遍困境。

“今年极棒的比赛能不能把我们的产品‘黑’一下?”不久前,在一个业内举办的安全会议上,一位巨头企业的安全技术主管向王琦提出的要求让他惊讶。王琦非常熟悉这支精干的团队,也知道对方提出这样的问题并不是向他叫板,他问:“如果我们把你‘黑’掉,是证明你的工作有价值还是没价值?”

对方回答:“我希望公司领导对安全更重视些。”

王琦立刻明白了。在他心中,这家企业几乎是目前安全做得最好的中国企业之一了,但他们的安全部门与王牌业务——摄像头和影像处理相比,无论是人力还是财力投入都相差甚远。

困境并不仅仅存在于一家企业。在此前一场培训会上,王琦问台下的听众:“今年安全部门被砍掉预算的‘同学’请举手。”台下举手的人占了总人数的七八成。

事实上,“白帽黑客”的价值最早是被国外一些大型企业所看到的。在2000年到2010年期间,以微软、谷歌等为代表的企业率先招募“黑客”,来帮助自己寻找系统和产品的漏洞;2010年到2020年的十年间,这样的观念传入国内企业,百度、阿里巴巴、腾讯、华为等企业也开始有意识地吸收“白帽黑客”进入,武装自己的安全团队。

然而,进入这些企业的“白帽黑客”并未如想象一般大展宏图,反而成为企业中一个尴尬的存在,因为决策者们并不清楚“白帽黑客”究竟能为企业创造怎样的商业价值,以及到底应该怎么用他们。

王琦打了一个比喻:“如果我们把这些世界级的‘白帽黑客’比作能够研制疫苗的医学专家的话,他们却被派去做检测,甚至测体温。这是对中国‘白帽黑客’人才的巨大浪费。”

一位去年协助警方打掉800多个黑灰产团伙的“白帽黑客”委屈地透露:因为他所做的事情并不在公司制定的考评体系范围内,他所在的公司不但没有给予他相应的奖励,甚至还对他下了“封口令”,以防黑灰产业和竞争对手的报复。

“我们需要一个度量衡,让更多人意识到安全部门和‘白帽黑客’的价值,让大家理解这个群体。”王琦说。

非“白”即“黑”

场上的挑战还在继续。选手坐进驾驶座又操作了一番。这一次,车辆终于被启动开走。他从车窗内伸出一只手臂,骄傲地对着镜头挥舞。场内爆发出潮水般的掌声和尖叫。

“十年过去了,很多情况在发生变化。如今,黑掉一辆持续安全投入的智能汽车,需要高级黑客花一年甚至更多时间;而其他很多车,可能只需要几周甚至更少的时间。手机等其他领域也是一样的。”王琦说。

一个不争的事实是,假如投入1亿元来保护消费者安全的企业所得到的评价,和投入100万在安全领域的企业所得到的评价相差无几,就不会有好的企业继续投入,劣币驱逐良币,最终伤害的还是每一个消费者。同样,即便安全行业内正努力推动人才的成长与繁荣,如果他们在领军企业里也无法体现真正的价值,那么势必造成越来越多的“白帽黑客”流失,甚至流向黑灰产业。

蚂蚁集团副总裁、首席技术安全官韦韬是中国第一代安全从业者,笑称自己是行业的一名“老兵”。他见证了互联网行业的发展,并持续关注着安全行业。面对当前的安全形势,他忧心忡忡。

早在2014年,他就在美国举办的一个安全大会上发布自己的研究结果:世界上超过60%的安卓手机是可以被远程精确定位并控制的。他以此发出警告:网络黑灰产持续快速生长,中美两国都面临极其严峻的网络安全威胁。

黑灰产变现的能力非常强大,它们只花了十几年时间就构建起了非常完整的匿名化的经济体系,以至于黑灰产已经成了现实世界中“利润比贩毒高,风险比贩毒小”的产业。

“数字化产业的价值越来越大,背后相关的整个安全的代价也越来越大。当整个行业正向投入不足的时候,它就会被反向利用,不可避免地发生各种恶性事件。”韦韬说,“当前安全领域的人才竞争非常激烈。在中国,每100个研发工程师所配备的安全工程师还不到0.5个。如果我们不能引导安全从业者,包括一些还没有进入这个行业的学生,进入正规的安全行业的话,后果会非常可怕,他们将不可避免地被黑灰产吸引到反面的方向。”

不为人知的是,事实上安全行业也是一个“吃青春饭”的行业,因为一个人的脑力和对技术的敏锐度与年龄息息相关。“一个‘白帽黑客’最佳的职业年龄是25岁到35岁,这是自然规律。”王琦介绍。如果在他们黄金年龄里,无论是经济回报还是职业荣誉都无法给予他们正向回馈,一些人就主动或被动地由“白”变“黑”。

在韦韬团队打击过的黑灰产团伙中,年龄最小的黑客甚至是一个还没高考的学生。这让他觉得非常惋惜:“很多误入歧途的从业者是非常让人可惜的。黑灰产的诱惑很大,但这件事就是不归路,一旦误入歧途,整个人生都会蒙尘。”

“其实我们能够看到,国家在政策、机制上做了很多工作,但市场化的机制,比如网络安全保险等方面是我们目前所缺失的,市场对人才的吸纳和能让他们发挥作用的空间严重不足。其实安全行业的学生就业是非常好的,平均工资也很高,但采购量远远不足,这就意味着可能只有头部的大型企业和机构才有容纳这些高端安全人才的空间,再往下一步就没有了。”韦韬说。

如何破局?韦韬提出了一些建议。其中的关键,是认知。“你看,现在我们的孩子从小就接受人身安全、交通安全方面的科普,包括现在的反诈科普,但信息安全方面的科普,可能你长到大学都从来没有接受过。所以我们的认知教育还有很多欠缺需要弥补。”他说。

后一步是市场问题。“什么时候我们的信息安全保险能够强制起来,就像汽车上路必须要买交强险一样,大家就会知道,出现安全事件是会带来恶性的后果,但是后果并不是天崩地裂的。”韦韬说,当市场具备了一定的容忍和补偿机制,大家才能正视这些安全事件,而不是像今天一样“谈洞(漏洞)色变”。

韦韬认为,当市场具备了一定的容忍和补偿机制,大家才能正视这些安全事件,而不是像今天一样“谈洞(漏洞)色变”。

欢呼和掌声仍在继续,一辆市场在售的智能车在20分钟内被攻破,刺激着台下观众的肾上腺素。选手被场下的“技术宅”观众视作“英雄”。只可惜,“英雄”直到退场也没有摘下头盔和面具。


未经正式授权严禁转载本文,侵权必究。

继续滑动看下一个

20分钟“黑”掉一台智能车、帮警方端掉数百个黑产团伙,他们却始终戴着面具

雷册渊 师梦娇 原点original
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存