?　　半島全媒體記者　景毅　徐新東

　　席卷全球的“永恒之藍”WannaCry(想哭)勒索病毒,宛如打開的潘多拉魔盒,讓整個互聯網行業如臨大敵,互聯網安全的警鐘再次敲響。而這背后,一條以“黑客”為主導的網絡黑產產業鏈漸漸浮出水面。金錢和信息從來沒有像今天這樣與互聯網技術緊密聯系在一起,這給了黑客們接近財富的機會。“一念天堂一念地獄”,是黑還是白,考驗著他們的底線。

　　

數據來源/360　制圖/張銘偉

　　■與病毒賽跑

　　鎖定病毒樣本,72小時完善“補丁”

　　“雖然我們早有預警,但真正爆發了還是讓所有人都感到不可思議。”5月12日下午,在民眾意識到“永恒之藍”WannaCry(想哭)勒索病毒在互聯網上全面爆發前,北京360總部大樓內,一場互聯網病毒阻擊戰已經全面打響。

　　作為這家公司首席安全工程師,鄭文彬深知這個病毒的威力:全球150多個國家的無數臺電腦瞬間籠罩在病毒陰影之下。

　　除了波及范圍廣、中招個人用戶多之外,此次病毒攻擊還涉及醫院、教育、公安、石油、民航和鐵路等公共基礎設施。其中,英國國立醫療服務(NHS)在此次病毒攻擊中受到重大影響,英格蘭、蘇格蘭許多醫院正常的治療活動受到影響,英國政府表示,在NHS全國248個醫療機構中,共有48個受到了攻擊。而中國的一些高校是病毒剛開始發作的重災區之一。360監測數據顯示,5月12日“想哭”勒索病毒發起全球攻擊后,在中國部分校園網開始擴散,夜間高峰期每小時攻擊約4000次。

　　與此同時,北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在5月13日凌晨突然斷網,造成無法刷銀行卡及使用網絡支付,一天左右后才基本恢復正常。青島也有個別企業局域網遭到病毒勒索,經過緊急處理才脫險。這一切正如360董事長周鴻祎所言,“感覺像極了打開了潘多拉魔盒。”

　　5月12日17時許,在發現病毒警報兩小時后,鄭文彬迅速聯動其所在的技術團隊、產品團隊、客服部門以及負責企業安全的部門,成立了第一個應對這個病毒事件的群。此后,在360大樓6層應急響應中心,一個由各個部門聯動組成的安全技術團隊,都聚集在一起辦公,不論白天和晚上都保持十幾個人在那里值班,“為了避免更大損失,我們一直在跟對方賽跑”。

　　“偶然背后都有必然。”在與勒索病毒交戰過程中,反病毒工程師劉海粟感觸頗深。在病毒爆發的5月12日晚上,劉海粟接到線索,一名用戶的計算機遭遇入侵。在幫助用戶遠程看電腦Windows系統日志的過程中,劉海粟起初沒抱太大希望,但突然看到服務啟動這一項,憑經驗看不是正常程序,從而鎖定病毒樣本。鎖定之后,后續的分析就有的放矢了,他和團隊一起很快提出應對策略。

　　5月13日下午,應急響應中心里傳出好消息,終于解密了該病毒存在設計上的一個漏洞,當天晚上技術團隊接著熬夜做恢復工具,5月14日凌晨2點,工具正式發布。

　　“在360安全衛士5億用戶中,僅有約20萬沒有打補丁的用戶電腦被病毒攻擊,但基本都被攔截下來。正常安裝和開啟360的用戶不會中毒。”360安全產品負責人孫曉駿說。而針對不少企業和政府的計算機系統,沒有官方補丁的系統,或者官方補丁打不上的系統,鄭文彬的團隊又在5月15日上午發了一個熱補丁,以化解此類用戶的危機。此時距離蠕蟲勒索病毒爆發剛好72小時。

　　■“黑白”之爭

　　“攻防戰”就像打競技游戲

　　潘多拉魔盒被打開了。打開魔盒的黑手,正是游走于地下的網絡黑客。他們隱藏在黑暗之中,伺機而動,防不勝防。

　　鄭文彬告訴記者,勒索病毒是黑客利用美國國家安全局NSA不慎泄露的黑客武器“Eternal　Blue(永恒之藍)”進行的變種攻擊。無需任何操作,開機上網黑客就能在電腦和服務器中植入勒索軟件。一旦感染,電腦內的文件會被黑客加密,受害者需要支付300美元以上的贖金才能解密,且贖金隨著時間推移增加,如果一周內不付贖金,被加密的文件就會被“撕票”銷毀。

　　不過截至5月18日上午,全球僅有292人交了贖金,共約8萬美元。一方面,安全廠商在積極做數據恢復,很多機構通過斷網和安裝補丁阻止病毒擴算,另一方面,很多人和企業并不相信黑客。黑客也“食言”了,據說打錢的人并沒有收到數據解密,這甚至讓黑客圈發出了“盜亦有道”的呼吁,告誡勒索者“要言而有信,不要毀行業名聲”。

　　“黑客本來是個帶有褒義的詞,但是隨著病毒泛濫,黑客開始和網絡犯罪聯系在一起,黑客這個稱謂也有些變質了。”360反病毒工程師劉海粟介紹,為了區分“敵我”,網絡上把從事網絡安全防衛的黑客稱為“白帽黑客”,而從事網絡攻擊的則稱為“黑帽黑客”,另外還有介入黑白之間的“灰帽子黑客”。黑白之爭,攻防不斷。

　　360企業安全集團董事長齊向東曾用一個場景形象地說明三種黑客的區別:“看到有人家門沒關,進屋偷東西的是黑帽子；進屋轉一圈,再對你說‘門沒關嚴’的是灰帽子；提醒你‘門沒關嚴’,在征得同意后幫你把門關上的是白帽子。”如同人類進行語言表達時,常會出現語法、邏輯上的錯誤一樣,計算機語言中的“語法錯誤或邏輯性錯誤”,都叫“漏洞”。其實,無論是什么帽子,他們的“獵物”都是這些網絡漏洞。網絡漏洞是指在信息產品軟硬件、協議實現或安全策略上存在的缺陷,可以讓攻擊者在未授權的情況下訪問或破壞系統。當企業發現或被通知產品存在漏洞時,會積極進行針對性的修復。

　　“坊間對于‘黑客’的種種遐想都屬于一廂情愿,黑客多數是普通人,不過是術業有專攻,選擇了一個相對窄小的、不為外人熟悉的領域而已。”劉海粟始終不覺得自己的職業跟別人有什么不同。

　　1987年出生的劉海粟在上大二的時候開始接觸這一行當,當時他和一群好友整天研究如何尋找殺毒軟件漏洞,雖然技術還比較粗陋,但找到一個別人未發現的小漏洞照樣成就感十足。

　　2010年劉海粟正式進入互聯網安全行業后才發現,自己當初那點小得意是多么業余。“無論白帽黑帽,不斷學習是他們的共同特質。”劉海粟說,除了各種專業知識,行業里的“大神”也是他們學習的榜樣。

　　前文提到的鄭文彬就是劉海粟心目中的大神之一。鄭文彬與劉海粟同齡。2006年底,鄭文彬接受360邀請來北京時,只有19歲,彼時的網絡安全市場才剛剛起步。

　　初見鄭文彬,很多人可能會誤以為他是搞藝術的,但在黑客界,他有一個響亮的代號:MJ0011。

　　今年3月份,鄭文彬帶領的團隊在加拿大舉行的世界黑客大賽“Pwn2Own　2017”中戰勝來自全球的10支頂尖黑客隊伍奪得冠軍。比賽中,戰隊不僅只用時3秒鐘便攻破Adobe公司的PDF閱讀器,還先后拿下了蘋果Safari、MacOS、Flash、Windows10等項目。大賽最后一天,戰隊挑戰被稱為“史上最高難度”的連環破解項目,最終在63秒內,遠程攻破Edge拿下Win10系統權限,并突破VMware虛擬機成功逃逸,這也是Pwn2Own舉辦十年來首次打破VMware的“不敗金身”。

　　白帽黑客與黑帽黑客之間的對決就在于對網絡漏洞的攻防上。兩者之間的“攻防戰”就像打競技游戲,黑客們尋找系統漏洞的過程,就如同要在地圖要安裝的炸彈。“黑帽黑客發現漏洞,就會安裝炸彈,但白帽黑客發現,就會發出預警做好防衛。”

　　2015年,意大利的黑客公司Hacking　Team被入侵,公司郵件內容被公布,其中包含了很多漏洞信息。漏洞被公布在網絡上,擴大了危害面,黑帽黑客會利用公開出來的漏洞攻擊普通人。

　　這時候就是白帽黑客和黑帽黑客在賽跑。最終,360Vulcan團隊花了四五天從幾百G的文件中找到3個漏洞,涉及微軟、Adobe等廠商,立即報給廠商去修復,避免損失擴大。

　　采訪中,有業內人士也曾透露,因為擋了黑帽黑客的財路,有公司就曾被堵門,不僅如此,有些白帽黑客也曾收到過恐嚇短信。

　　■模糊的“界限”

　　“白帽黑客”年入幾百萬不稀奇

　　同樣是有千里之外攻城拔寨的功力,很多時候白帽與黑帽的界限并不明顯。

　　近期,青島警方破獲了一起非法竊取、販賣公民信息案件,摧毀了從黑客竊取到網絡販賣的全部犯罪鏈條。其中,犯罪嫌疑人張某(男,27歲,濰坊人)自2015年底利用黑客技術暴力破解某第三方支付平臺,并編寫“一種神奇的軟件”、“一種神奇的軟件2017”。販賣給下線,而下線則利用這一軟件非法獲取下載公民身份證及銀行卡等個人信并最終實施犯罪。據警方公布的數據顯示,這伙“個人信息大盜”獲利近百萬元。

　　“2008年前,白帽黑客在中國生存環境不好。”鄭文彬介紹。

　　一是收入不高。當時安全產業主要靠傳統方式賣安全軟件,一套光盤幾百元。產品價格貴,安全公司線下銷售成本高。技術高手賺不著錢,被迫去當黑客:稍有“良心”的,從事流氓軟件、販賣隱私；沒底線的,就會涉及經濟犯罪。除了不掙錢,當時社會對網絡安全領域不重視,從業人員地位不高。就個人素質而言,安全行業對天賦的要求甚至高于職業體育。很多頂尖高手甚至中學都沒上完,在傳統就業門檻面前,水平再高也難找工作。“所以當時很多技術很強的人要么轉行,要么就潛下去干了黑產。”鄭文彬說。

　　2008年后,安全行業發生大變革。360率先宣布做免費殺毒,這種商業邏輯是做大用戶數量,通過用戶流量帶來廣告和其他方面收入成級數級增長。

　　完成了這輪產業變革,這些年伴隨著中國互聯網紅利釋放,國內的安全公司無論是技術還是資金實力,都有了質的提升。技術過硬的“白帽黑客”在安全公司,有年薪、股票期權和比賽獎金激勵,收入不菲。“國內頂尖白帽子收入已經超過國外同行的收入水平,年入幾百萬甚至上千萬的不稀奇。”鄭文彬說。

　　地位提升也讓白帽黑客越來越有底氣。國家網信辦、教育部、科技部等多部門下發的文件指出,國家戰略層面要大力推動安全人才培養,行業數據顯示:2020年,我國重要行業的網絡安全人才需求量超過140萬人。

　　勒索病毒潮反思:

　　國家安全需要

　　“實戰試金”

　　勒索病毒潮事件背后,需國民整體安全素質提升。通常,我們認為企業和機構的內網是絕對封閉和安全的。但實際上,因為人員龐雜,操作不規范,導致病毒入侵。

　　另據IDC數據顯示,中國政府企業IT系統的建設投入中,安全投入金額只占2%；發達國家是9%；一分投入,一分收獲,勒索病毒潮中,金融系統因為對抗風險的能力、意識和投入最大,損失也是最小的。

　　實戰是最大的試金石,任何行業都是如此。這段時間,網上曝光多起傳統武術和自由散打人士比武,引發輿論對傳統武術“實戰型”的思考。

　　國內安全行業的實戰性較為樂觀。很多安全廠商內部會有安全AB隊,彼此互促,競爭十分殘酷；廠商間的競爭也如此。

　　任何行業,都是“實戰造行業整體強大和發展”。無論是勒索病毒和未來的種種危機,恰恰是對國內安全產業的“大考”,無論是國內黑產,還是國家間的安全對抗,都需要篩選出可以快速啟動和響應危機的“能力型供應商”。