摘要:“在中国,每100個研发工程师所配备保障工程师还不到0.5個,”
10月末,一场颇为“神秘”比赛在上海西岸艺术腹地举行——
一台市场上在售新能源车正在接受检验,选手们意向是在20分钟内找到漏洞并攻破这辆车智能系统,在不用钥匙前提下“顺走”它,反而他们开局并非顺利……
这场GEEKCON保障极客大赛,原名是“极棒〔GeekPwn〕”,在中国极客圈久负盛名,已经连续举办十届,所谓保障极客,也叫“白帽黑客”,他们不同样于利用漏洞实行技术攻击、以谋取利益“黑客”,而是在发现漏洞后,经由提示厂家或公开发布等方法,促进漏洞修补,
6支队伍从来自高校、企业或個人组成 93 支战队中选拔引发,他们要在有限时间内完成攻破智能手机、智能汽车系统等挑战项目,以向人们展示与每個人息息相关却尚未得到足够看重保障难题:
你智能手机在浏览恶意网站时会被木马入侵吗?是否会发生霸屏广告或流氓软件?你位置信息是怎样被泄露?短信等敏感信息是否会被劫持?以及,你智能汽车能否在没有钥匙前提下被人开走?……
“咱们花十年时间,用持续奋勉,想传递一些琢磨,比方说:这個世界上不存在没有漏洞系统,漏洞并非因黑客才存在,反而是因被黑客发现才消灭,”GEEKCON主席、DARKNAVY董事长兼CEO王琦说,就便这是常识,“白帽黑客”价值要被主流接纳并非容易,
场内观众经由大屏幕直播,观看选手攻破智能车系统挑战项目,
面具之下
阳光下,三位选手把套头衫帽子戴在头上,、脸上面具一起构成一副严丝合缝“铠甲”,防止暴露自己除身高以外任何生理特征,就连互相间沟通也是经由手势完成,
他们弯腰趴在一台同样被包裹得严严实实新能源汽车引擎盖上,手指在电脑键盘上翻飞跳动……或许是厚重“伪装”影响选手视线,他们前两次尝试均以失败告终,
为什么要这样“全副武装”?选手们表达,原因让人无奈,
在传统印象里,经由代码探寻计算机与网络系统中保障漏洞人就是“黑客”,这個词常含贬义,殊不知,在真正黑客世界里,有“白”也有“黑”,同样是攻击漏洞,一個是为奠定更非常好防御系统而攻,一個是为牟取利益而攻,就有分别代表正义、邪恶白、黑之分,
起初,厂商们总感觉“白帽黑客”是来找茬,不光不接受观赛邀请,还设置各类障碍,2014年,最先個届极棒大赛甫一开幕就遭到打击:比赛现场频频发生网络故障,直播也被迫中断,甚至有厂商因怕一旦被攻破,会影响产品声誉、销量,干脆关掉服务器,导致挑战项目无法实行……
直到十年后今天,就便有更多人晓得“白帽黑客”,也晓得“黑客”并非总是恶代名词,但现实龃龉依然存在,比方说场上这些全副武装选手,
“因这個漏洞还没被公布过,为防止这家车企追责,选手、车都必需伪装出镜,倘若时间到,咱们也让他们挑战完好吗?”王琦向观众解释,观众们则用掌声报以持助,
王琦在业内人称“大牛蛙”,是中国最解“白帽黑客”人之一,他曾是微软中国保障应急响应腹地最先选发明者、技术掌门人,2011年,他离开微软,在上海创办自己保障研究团队,并一举在世界最著名黑客大赛Pwn2Own中,变成历史上最先個支同时攻破电脑操作系统、移动操作系统保障研究团队,王琦深知,并非所有“白帽黑客”都有机遇像他一样站上尖端、走到前台,这也是他创办比赛初衷——让“白帽黑客”本事可视化、价值可度量,
王琦在业内人称“大牛蛙”,是中国最解“白帽黑客”人之一,
“白帽黑客”中那些没有被看到大多数,究竟是什么样存在?从2022年发布《2021中国白帽子调查报告》、《中国白帽人才本事与发展状况调研报告》中大概可以描画出他们样貌:
2021年国内“白帽黑客”总数已超过17万人,协助超过数万個客户组织发现并修复超过260万個漏洞,2022年,在所有“白帽黑客”中,男性占比88.2%、女性占比11.8%;“90后”“00后”是主力群体,占比分别为50.3%、43.4%;学生群体是白帽人才最大组成一部分,占比高达37.7%,再讲是保障企业员工,占比约为26.5%,互联网行业是第三大来源,占比约为16.4%……
这些年,记者断续观察、采访一些鼎级“白帽黑客”、保障团队,记录下他们在网络空间这個看不见硝烟战场中,一個個对抗黑暗轶事,
迷踪追敌
比赛紧张挑战环节间隙,特意穿插“极具披露”环节,邀请从业者讲述本年度行业中最有典型真实案例,
上场演说“白帽黑客”们无一例外都戴着面具,因倘若他们暴露自己身份信息、供职单位,轻则带来供职企业商业价值损失,重则会遭到黑灰产从业者打击报复,威胁自己人身保障,“就像缉毒警察无法公开自己长相、声音,他们就是信息保障领域‘缉毒警察’,”王琦说,
比赛主办方向“白帽黑客”颁发“捍卫者奖”,
凌云〔化名〕供职于国内某著名互联网企业,去年年末他们发现,该企业大概被黑客攻击,发生大规模运用者账号被盗大事,保障团队“白帽黑客”们应声而出……
“发现这件事起因是客诉,每天咱们都会接到数十起同类客户投诉”,凌云说,“这些运用者发现自己账号自动操作一些自己根本没做事,比方说点赞、刷单,怀疑账号被盗,”根据凌云团队经验,客诉数量与实际受影响运用者数量绝对存在差距,经过测算,被盗账号运用者数超过千万级,这般浩大数目引发保障团队强烈Follow,一场猫捉老鼠追踪战打响,
反而在网络世界中,他们并非晓得自己面对是什么样对手,就像为追击敌方一头闯进高山密林侠客,就便一身武艺,也难免因浓雾障目而迷失方向,他们只能抓住仅有线索一步一步追踪,每前进一步都要经过反复试错,
起初凌云、同事们猜测,被盗号运用者大概是因访问恶意网页而导致账号被盗,可经过测试发现,一些条件并非满足他们对攻击者定位,比方说运用者被攻击后,后台显示登陆设备信息、原本设备信息是一样,而设备信息是很难被伪造,
他们又猜测,是不是运用者安装某個恶意软件?他们反复比对账号被盗运用者手机里所安装软件,以找到他们同时安装某個恶意软件,结果发现,并非存在这样交集,
他们又想到一個办法,那就是把自己转变真正受害者,在测试手机上安装被盗账号运用者手机里除系统应用之外所有应用软件,再把测试手机置于满足攻击条件之下,反复打开各异应用,捕捉在哪個应用打开时手机遇受到攻击,这项就业安排保障团队四五個人同时实行,还是毫无收获,
“后来咱们才晓得这是一個‘乌龙’,因对手攻击程序不是极具完美,时而并非会触发攻击,而让人啼笑皆非是,咱们测试那几天刚好就遇上他们这個Bug〔漏洞〕,”凌云说,“现在回看每一步都非常清晰,可当时咱们面对就是一团迷雾,当一条又一条路都走不通时,咱们就只好反复回到起初,不停测试,直到把这個真正作恶东西找出现,”
耗时超过一周,排除四五种大概后,凌云团队终于找到“靶心”——一個恶意SDK〔由第三方服务商供应实行软件产品某项功能工具包,如软件中推送技术、图像识别技术、移动支付技术等组件〕,追踪战进入最后阶段——复现〔复制黑客攻击过程〕、固证〔固定证据〕,只有经过这两個步骤才干顺藤摸瓜地找到对方服务器地址、关联信息,真正锁定、打击黑产,
“咱们在复现过程中甚至把它攻击程序bug全给修复,”讲到复现时这個小插曲,凌云上司、该保障团队掌门人林峰〔化名〕觉得好笑,“这個SDK设置一個下发开关,你可以想象它有一個开关,就像小偷,发现错误劲时候会立马关闭,但咱们在他们发现之前就已经取得并固定证据,整個过程就是一种持续交锋感觉,直到有种‘终于逮住这小子’快感,”
凌云至今还记得自己作为技术人员跟随警方去端掉对方窝点场景:与想象中“见无法人”黑灰产业不同样,这家公司坐落在国内某著名互联网园区内,公司墙上甚至还挂着各类荣誉证书,“这是一条非常成熟产业链,他们披着上市公司外壳,却干着非法勾当,”凌云说,“抓捕时,我见到他们大老板,一看就是一個老黑客,张口就是:‘我要见我律师,’”
价值困境
“砰〔Pwn〕——!”在倒计时结束最后两分钟,选手们终于找到这辆车漏洞并攻破它,一名选手从电脑前飞奔向车门,拉开,欢呼声随之而来,
比赛中,选手每挑战成功一個项目,现场就会发出“砰〔Pwn〕——!”一声,这是一個群体文化符号,代表着一個智能系统被发现漏洞并成功攻破,
“打开车门还不算成功,开走这辆车才行,”王琦提示到,真正挑战还没有结束,场内也很快安静下来,
台下观众都是保障技术发烧友,看得十分投入,
这样赛程设置、王琦一直秉持理念息息相关,“攻击视角对抗是检验保障防御水平唯一科学准则,”他坚持感觉,一個保障系统,必需经受住黑客视角攻击,也就是俗话讲,是骡子是马,拉出现溜溜,保障是一件须要规范化、体系化完成精密工程,但真正能够意识到这一点,同时愿意为此持续投入公司并非多,
“很多企业分管保障部门耀领恰恰是不懂保障专业人,”王琦介绍,在公司决策者眼中,保障是一件看上去“什么都没发生”就业,主观上,决策者们希望什么保障事故都别发生;可倘若保障部门全年没有什么动作,又会被质疑公司为保障所付出本钱去哪里,这是保障部门普遍困境,
“今年极棒比赛能无法把咱们产品‘黑’一下?”不久之后前,在一個业内举办保障会议上,一位巨头企业保障技术主管向王琦提出要求让他惊讶,王琦非常熟悉这支精干团队,也晓得对方提出这样难题并非向他叫板,他问:“倘若咱们把你‘黑’掉,是证明你就业有价值还是没价值?”
对方回答:“我希望公司耀领对保障更看重些,”
王琦立刻明白,在他我在你心,这家企业接近是目前保障做得最非常好中国企业之一,但他们保障部门与王牌业务——摄像头、影像搞定相比,任凭是人力还是财力投入都相差甚远,
困境并非止存在于一家企业,在此前一场培训会上,王琦问台下听众:“今年保障部门被砍掉预算‘同学’请举手,”台下举手人占总人数七大概,
事实上,“白帽黑客”价值最新是被国外一些大型企业所看到,在2000年到2010年期间,以微软、谷歌等为代表企业率先招募“黑客”,来协助自己探寻系统、产品漏洞;2010年到2020年十年间,这样观念传入国内企业,百度、阿里盼望、腾讯、华为等企业也开始有意识地吸收“白帽黑客”进入,武装自己保障团队,
反而,进入这些企业“白帽黑客”并未如想象一般大展宏图,反而变成企业中一個尴尬存在,因决策者们并非清楚“白帽黑客”究竟能为企业创造怎样商业价值,以及到底应该怎么用他们,
王琦打一個比喻:“倘若咱们把这些世界级‘白帽黑客’比作能够研制疫苗医学专家话,他们却被派去做检测,甚至测体温,这是对中国‘白帽黑客’人才巨大浪费,”
一位去年协助警方打掉800多個黑灰产团伙“白帽黑客”委屈地透露:因他所做事情并非在公司制定考评体系范围内,他所在公司不光没有给予他相应奖励,甚至还对他下“封口令”,以防黑灰产业、博弈对手报复,
“咱们须要一個度量衡,让更多人意识到保障部门、‘白帽黑客’价值,让大家理解这個群体,”王琦说,
非“白”就“黑”
场上挑战还在继续,选手坐进驾驶座又操作一番,这一次,车辆终于被启动开走,他从车窗内伸出一只手臂,骄傲地对着镜头挥舞,场内爆发出潮水类似掌声、尖叫,
“十年过去,很多情况在发生更迭,如今,黑掉一辆持续保障投入智能汽车,须要高级黑客花一年甚至更多时间;而其他很多车,大概只须要几周甚至更少时间,手机等其他领域也是一样,”王琦说,
一個不争事实是,假如投入1亿元来呵护消费者保障企业所得到评价,、投入100万在保障领域企业所得到评价相差无几,就不会有非常好企业继续投入,劣币驱逐良币,最后伤害还是每一個消费者,同样,就便保障行业内正奋勉推动人才成长与繁荣,倘若他们在领军企业里也无法体现真正价值,那么势必造成越来越多“白帽黑客”流失,甚至流向黑灰产业,
蚂蚁集团副总裁、最先席技术保障官韦韬是中国最先個代保障从业者,笑称自己是行业一名“老兵”,他见证互联网行业发展,并持续Follow着保障行业,面对当前保障形势,他忧心忡忡,
早在2014年,他就在美国举办一個保障大会上发布自己研究结果:世界上超过60%安卓手机是可以被远程精确定位并控制,他以此发出警告:网络黑灰产持续高速生长,中美两国都面对极其严峻网络保障威胁,
黑灰产变现本事非常无敌,它们只花十几年时间就构建起非常完整匿名化经济体系,以至于黑灰产已经成现实世界中“利润比贩毒高,风险比贩毒小”产业,
“数字化产业价值越来越大,背后相关整個保障代价也越来越大,当整個行业正向投入不够时候,它就会被反向利用,无法防止地发生各类恶性大事,”韦韬说,“当前保障领域人才博弈非常激烈,在中国,每100個研发工程师所配备保障工程师还不到0.5個,倘若咱们无法引导保障从业者,涵盖一些还没有进入这個行业学生,进入正规保障行业话,后果会非常可怕,他们将无法防止地被黑灰产诱惑到反面方向,”
不为人知是,事实上保障行业也是一個“吃青春饭”行业,因一個人脑力、对技术敏锐度与年龄息息相关,“一個‘白帽黑客’最优职业年龄是25岁到35岁,这是自然规律,”王琦介绍,倘若在他们黄金年龄里,任凭是经济回报还是职业荣誉都无法给予他们正向回馈,一些人就主动或被动地由“白”变“黑”,
在韦韬团队打击过黑灰产团伙中,年龄最小黑客甚至是一個还没高考学生,这让他觉得非常惋惜:“很多误入歧途从业者是非常让人可惜,黑灰产诱惑很大,但这件事就是不归路,一旦误入歧途,整個人生都会蒙尘,”
“其实咱们能够看到,国家在政策、机制上做很多就业,但市场化机制,比方说网络保障确保等方面是咱们目前所缺失,市场对人才吸纳、能让他们发挥作用空间严重不够,其实保障行业学生就业是极佳,平均工资也很高,但采购量远远不够,这就意味着大概只有头部大型企业、机构才有容纳这些高端保障人才空间,再往下一步就没有,”韦韬说,
如何破局?韦韬提出一些主张,其中根本,是认知,“你看,现在咱们孩子从小就接受人身保障、交通保障方面科普,涵盖现在反诈科普,但信息保障方面科普,大概你长到大学都从来没有接受过,所以咱们认知教育还有很多欠缺须要弥补,”他说,
后一步是市场难题,“什么时候咱们信息保障确保能够强制起来,就像汽车上路必须要买交强险一样,大家就会晓得,发生保障大事是会带来恶性后果,但是后果并非天崩地裂,”韦韬说,当市场具备一定容忍、补偿机制,大家才干正视这些保障大事,而不是像今天一样“谈洞〔漏洞〕色变”,
韦韬感觉,当市场具备一定容忍、补偿机制,大家才干正视这些保障大事,而不是像今天一样“谈洞〔漏洞〕色变”,
欢呼、掌声仍在继续,一辆市场在售智能车在20分钟内被攻破,刺激着台下观众肾上腺素,选手被场下“技术宅”观众视作“英雄”,只可惜,“英雄”直到退场也没有摘下头盔、面具。