給黑客戴上「白帽」

360企業安全集團董事長齊向東做演講。 本報記者 喻 劍攝

在日本東京舉辦的世界頂級黑客大賽中，騰訊科恩實驗室奪冠。

360公司首席安全官譚曉生為年度優秀白帽子頒獎。 本報記者 喻 劍攝

日前，2017補天白帽大會在深圳舉辦。會場中，人們能用手機搜索到不少無線網路信號，卻無人敢輕易連接。原來，會場上黑客雲集，如果不幸連上被黑客操控的釣魚WiFi，手機極有可能遭到入侵。

在許多人眼裡，黑客仍然意味著「神秘」和「危險」。但在網路世界中，黑客卻有著三種不同的面孔：白帽、黑帽和灰帽。類似美國早期西部片中以「白帽」和「黑帽」區分正邪雙方，在網路黑客世界中，白帽黑客和黑帽黑客的稱呼分別代表兩種對立角色——臨危救難的英雄和令人側目的反派：白帽黑客專事網路、計算機技術防禦；黑帽黑客研究操作系統，尋找漏洞，以個人意志為出發點攻擊網路或者計算機；灰帽黑客則介於兩者中間，他們懂得技術防禦原理，且有實力突破這些防禦，一般情況下，不會發動惡意攻擊。

360企業安全集團董事長齊向東用一個場景形象地說明三種黑客的區別：「看到有人家門沒關，進屋偷東西的是黑帽子；進屋轉一圈，再對你說『門沒關嚴』的是灰帽子；提醒你『門沒關嚴』，在徵得同意后幫你把門關上的是白帽子。」

那條虛開的門縫，則是黑客們攻防的對象——網路漏洞。

「萬物互聯」下的安全憂患

如同人類進行語言表達時，常會出現語法、邏輯上的錯誤一樣，計算機語言中的「語法錯誤或邏輯性錯誤」，都叫作「漏洞」。齊向東說，「漏洞很容易被人拿來進行網路攻擊，就像我們無意間說話出現瑕疵之後，讓人抓住了把柄，『有心之人』會拿這些話反過來攻擊我們。在計算機領域也是一樣」。

漏洞被非法利用有何危害？齊向東認為，危害在不同時期有著不同的嚴重性：在以內容和應用為核心的「消費互聯網」時代，遭受網路攻擊會丟隱私、丟錢，會「傷財」；而在已經來臨的以大數據為核心的「工業互聯網」時代，互聯網背後是生產線、控制系統，直至萬事萬物。一旦遭受網路攻擊，會控制失靈、車毀人亡、危及生命，是「損命」。

近兩年，全球範圍內先後發生多起引發廣泛關注的，針對工業、能源等關鍵基礎設施的攻擊，除了竊取敏感數據外，更多是以直接破壞工業設備系統為目標，使目標系統癱瘓、日常作業流程無法正常運轉，嚴重者可大面積威脅百姓生命財產安全。2016年4月，德國核電站原料添加系統遭遇網路攻擊，檢查人員發現系統內被植入破壞性木馬，安全起見，核電站被臨時關閉；去年，卡巴斯基掃描了全球170個國家和地區的近20萬套工業控制系統，其中92%都存在安全漏洞，存在遭遇黑客攻擊、接管甚至破壞設備正常運行的風險。

有統計顯示，網路攻擊每年給企業造成的損失高達5000億美元，並且，這個數字每年還在大幅上升。在針對企業的攻擊中，重點關注的領域依次是：通信網路、電子電器、海洋與港口、能源化工、交通運輸、航空航天和網路安全。2015年，菲亞特克萊斯勒汽車美國公司在美國召回旗下大切諾基、自由光等車型共計140萬輛，原因是這些車型存在重大安全漏洞，可能會讓黑客遠程劫持車輛。

安全是發展的前提，在工業互聯網時代，網路安全至關重要。今年2月，國家發展改革委已批准由360公司牽頭承建大數據協同安全技術國家工程實驗室，重點開展數據匯聚隱私保護、數據防泄漏、系統漏洞分析、安全協同分析、大數據系統風險評估與安全監測等技術的研發和工程化工作。日前，美國國防高級研究計劃局也啟動開發項目，核心目標是開發能夠檢測且自動響應針對美國關鍵基礎設施網路攻擊的技術，參與者包括雷神公司、斯坦福研究院等主要供應商，以及美國國土安全部等政府機構。網路安全防護，正在成為國家基礎設施領域建設的重要部分。

眾測之力鎖牢安全屏障

在世界範圍內，科技型公司和重視品牌建設的企業，已經在「挖漏洞」上先行一步。美國知名漏洞眾測平台HackerOne首席運營官王寧表示，越來越多的美國公司意識到，僅依靠幾名技術人員維護安全的做法已經過時。除了加強安全團隊建設，這些公司也開始與第三方平台合作，借白帽黑客眾測之力，鎖牢安全屏障。近年來，不少企業也紛紛組建安全應急響應中心，提高安全防禦能力。在烏雲、補天、威客眾測等第三方漏洞響應平台上，企業授權白帽黑客進行漏洞挖掘，並根據漏洞的危害程度、影響範圍提供相應獎勵，激勵越來越多的黑客戴上象徵正義的「白帽子」。

以國內最大的在線旅行服務商攜程旅行網為例，攜程擁有開發人員3000多名，安全人員卻僅有40名。在攜程旅行網信息安全總監凌雲看來，「以40人之力保障由3000多人開發出來的程序安全性，無疑是不夠的」。為藉助白帽黑客的力量讓系統更安全，過去一年攜程為各大漏洞響應平台的白帽子提供了約百萬元獎勵。

「網路安全生態體系的建設必須群策群力、久久為功，單靠一家公司、一個組織不可能完成。技術共享、人才共享和更廣泛、更及時的漏洞響應是未來的趨勢。」齊向東說。國內的補天平台註冊白帽已達31633名，自2013年起，他們累計發現了20多萬個漏洞，企業為這些白帽發出獎金近900萬元；美國的HackerOne已擁有來自150多個國家的註冊白帽約11萬名，自2013年起，他們累計發現了18萬多個漏洞，其中有4萬多個漏洞已經被修復。

精英白帽的「自我修養」

「90后」白帽黑客「華不再揚」內斂安靜，看上去只是一位鄰家小弟，但作為技術達人的他有著不尋常的經歷：從小痴迷網路遊戲，進入職業高中后鑽研黑客技術，畢業后曾在鞋廠做普工，很快又以安全分析師的身份被遊戲公司聘用，並站上各大網路安全專業沙龍的講台。工作之餘，「華不再揚」熱衷參加企業漏洞懸賞計劃，在補天平台的「風雲白帽排行榜」上，他的積分已經高居總排行榜第八位。

大多數白帽黑客有著與「華不再揚」相似的特徵：年輕激進、性格單純、學歷不高但對技術十分狂熱。這些涉世未深的白帽黑客，在網路空間中俠肝義膽、叱吒風雲，但現實世界里，他們出自善意的「挖漏洞」行為，很可能給自己招來大麻煩。

2015年，烏雲網某註冊白帽提交了某婚戀網站一個涉及大量會員信息的漏洞，當時該網站確認了這一漏洞，向白帽致謝並予以修復。不過，該網站隨即向公安局報案稱「有4000餘條實名註冊信息被不法竊取」。不久后，以涉嫌「非法獲取計算機系統數據犯罪」之名，該白帽被逮捕。

這一事件在黑客中掀起軒然大波。一位普通白帽，不牟取任何私利，只是義務檢測漏洞，發現漏洞后告知廠家，也算犯罪嗎？

在齊向東看來，這個案例反映出企業和白帽黑客之間的微妙關係：不敢溝通、不敢交流，互不信任。他用了一句俗語來形容這個關係：「麻稈打狼兩頭怕。」

的確，核心白帽的技術實力之強，可能令任何一家專業廠商都無法小覷。補天漏洞響應平台負責人白健說，補天平台對註冊白帽實施了分層認證管理，對越核心、技術能力越強的白帽子認證越嚴格。最核心的那一批要有明確的身份信息，與平台簽書面協議，甚至做專訪調查。「大家都清楚地知道『挖洞』白帽的個人基本信息，包括工作情況、家庭情況等。」白健說，「在對白帽信息有所掌握的前提下，我們把大量政府、企業和機構用戶也拉到平台註冊。在平台上，雙方才得以打消顧慮，正常溝通合作」。

法律已經為黑客的行動劃定了紅線。《中華人民共和國刑法》第二百八十五條、第二百八十六條、第二百八十七條對侵入計算機信息系統、傳播計算機病毒、利用計算機實施金融詐騙等行為做出了約束。今年6月1日起，網路安全領域的基礎性法律《中華人民共和國網路安全法》也將施行。

然而，黑色產業的猖獗，仍讓不少企業高度警覺。目前，在國內外各大漏洞響應平台，大部分情況下，只有企業授權之後，白帽才能尋找並且提交漏洞。「儘管多方力量嚴加把控，白帽的不少細微動作仍可能在無意中碰觸邊界。『挖洞』時必須盡量低調、點到為止。」經驗豐富的白帽「U神」說，「對於黑色產業尤其要多加小心。許多進入黑色產業的人，最初認為可以做一次就『金盆洗手』。但感受過黑色產業的賺錢速度后，就會鋌而走險繼續干，直到陷入深淵」。

「華不再揚」比照佛教中的「力戒『貪嗔痴』三毒」，來形容白帽黑客自我修養的最高境界。「戒貪，要認清自己的原則，遵照漏洞挖掘測試規定的事項，發現安全風險，協助廠商解決問題；戒嗔，或許有些漏洞計劃，獎勵不能如自己所願，也不要計較；戒痴，黑色產業的誘惑很大，要理智地看待問題。」

時代巨輪滾滾前行，工業互聯網如約而至。繁雜的互聯網生態與多變的人性，為黑客的色譜添上無窮的灰度。顏色深淺各異的黑帽、白帽與灰帽，在網路叢林間展開的對抗與博弈，或許才剛剛開始。