合肥網(wǎng)站規(guī)劃,合肥建造網(wǎng)站哪家好,合肥網(wǎng)站制造 |
發(fā)布時間:2017-03-14 文章來源: 瀏覽次數(shù):2634 |
便捷的信息產(chǎn)品、服務(wù)和應(yīng)用已成為人類社會生活賴以運轉(zhuǎn)的必需品,信息安全的重要性不言而喻。近年來發(fā)生的海量用戶數(shù)據(jù)泄露、智能設(shè)備遭非法遠程控制、網(wǎng)絡(luò)勒索橫行等事件已成為全球性問題。據(jù)估算,2016年網(wǎng)絡(luò)相關(guān)犯罪造成的損失超過4500億美元。如果說網(wǎng)絡(luò)有江湖,那亦是風雨飄搖,自古江湖正邪不兩立,既有惡人橫行,自有俠客出山。“白帽黑客”作為網(wǎng)絡(luò)江湖俠客,正逐漸走入人們的視野。 在這一背景下,2016年11月至今年1月,美國陸軍開展了名為“黑進軍隊(Hack The Army)”的賞金計劃,包括征兵網(wǎng)站和陸軍數(shù)據(jù)庫等重要信息系統(tǒng)在軍方授意下公開經(jīng)受黑客的輪番測試。美國軍方共收到400多份漏洞報告,派發(fā)獎金超10萬美元。此外還將部分高危漏洞詳情向社會披露,并計劃篩選出優(yōu)秀“白帽”為國效力。 1 黑客和他們的“帽子” 黑客(Hacker)指精通計算機技術(shù),專注于程序設(shè)計的電腦高手,通過挖掘安全漏洞進而可以破解密碼、控制計算機、竊取數(shù)據(jù)的神秘群體。“黑客”的稱呼最初是中性甚至是褒義的,擁有“自由”“共享”“創(chuàng)造性”的獨特文化。黑客往往會通過漏洞工具自動化掃描,獲得一幅系統(tǒng)“漏洞地圖”后嘗試對信息產(chǎn)品和服務(wù)進行攻破。網(wǎng)絡(luò)上無所不能的神秘黑客,在現(xiàn)實生活中可能是普通學生、程序員、工程師、研究人員或自由職業(yè)者。 技術(shù)作為工具并無曲直,但使用者的目的卻大相徑庭。黑客大體可分為“白帽黑客”“黑帽黑客”和“灰帽黑客”三類。“白帽黑客”會利用自己的能力維護信息安全,發(fā)現(xiàn)漏洞后及時向廠商或有關(guān)部門進行反饋,保證漏洞在被惡意行為者利用前及時修復,提升產(chǎn)品系統(tǒng)的安全性;“黑帽黑客”則是利用技術(shù)損害產(chǎn)品和用戶安全惡意獲利的一群人。媒體上有關(guān)黑客攻擊的報道指的就是“黑帽黑客”,例如臭名昭著的全球最大黑客組織“匿名者”,其核心成員超過千人,針對政府和企業(yè)系統(tǒng)發(fā)動攻擊以表達不滿,五角大樓、美中情局、索尼公司、萬事達公司和希臘央行等網(wǎng)絡(luò)系統(tǒng)均是其攻擊目標。而“灰帽黑客”則是游走于二者之間,既不以維護網(wǎng)絡(luò)安全為己任,亦不齒于為害一方,其關(guān)注重心只在于純粹的炫技,追求的是技術(shù)超越帶來的成就感。 換言之,“白帽”為安全而技術(shù),是網(wǎng)絡(luò)安全的建設(shè)者;“黑帽”為利益而技術(shù),是網(wǎng)絡(luò)安全的破壞者。黑與白的界限往往非常模糊,仿佛蒼茫大海中的白濤與黑浪,游戲世界中的白魔法與黑魔法。白帽子一念之差可能鋌而走險,黑帽子浪子回頭會變?yōu)榫W(wǎng)絡(luò)安全的堅強捍衛(wèi)者。 2 網(wǎng)絡(luò)漏洞:黑客的獵物 無論戴著什么樣的帽子,對于黑客而言,唯一的“獵物”就是網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)漏洞是指在信息產(chǎn)品軟硬件、協(xié)議實現(xiàn)或安全策略上存在的缺陷,可以讓攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)。當企業(yè)發(fā)現(xiàn)或被通知產(chǎn)品存在漏洞時,會積極進行針對性地修復。漏洞具有全球化、通用性等特征,目前數(shù)量迅速增長,影響范圍和程度不斷增大,是對國家安全、經(jīng)濟發(fā)展的巨大威脅。 打個比方,信息技術(shù)公司好比“錢莊”,負責保管用戶的各類財產(chǎn)——我們的言行、資料、財產(chǎn)均以數(shù)字化形式被“錢莊”收集、保存、分析和利用。漏洞就是“錢莊”整個運行流程中的風險點,當然,大多數(shù)“錢莊”的金庫圍墻不會有缺口,窗子也裝有護欄,會雇傭守衛(wèi)看護,用戶存取財產(chǎn)也需要提供憑證。但安全風險并未完全消除:惡意行為者可以雇傭大量閑散人員在柜臺排隊導致“錢莊”無法為真正的用戶提供服務(wù);守衛(wèi)監(jiān)守自盜;年久失修的圍墻出現(xiàn)裂縫;市場上出現(xiàn)可以悄無聲息剪開護欄鋼筋的便攜液壓剪;或者直接通過地道挖進金庫。黑客就是不斷找出這些漏洞的一群人。 網(wǎng)絡(luò)漏洞具有全球化、通用性的特征,能夠以點破面,筑再高的墻,換再復雜的門鎖都難免疏漏。那么是不是把金庫建造成銅墻鐵壁、堅不可摧、處處監(jiān)控、只進不出甚至深埋海底就可以保障絕對安全了呢?答案是否定的。首先信息領(lǐng)域沒有“堅不可摧”,安全系統(tǒng)很快會隨著技術(shù)更新變得不堪一擊,安全系統(tǒng)需要不斷更新維護;其次,互聯(lián)網(wǎng)的本質(zhì)是信息數(shù)據(jù)的自由流動和充分利用,“錢莊”的龐大金庫需要被頻繁存取訪問,易訪問性必須得到保證,所以不具備絕對安全的條件。 因此,無論設(shè)計多么巧妙,實現(xiàn)能力多么強大,經(jīng)過多少輪測試檢驗,任何信息產(chǎn)品和服務(wù)都不可避免地存在漏洞。信息產(chǎn)品安全不可能一蹴而就,需要在產(chǎn)品的整個生命周期中得到重視,能夠及時發(fā)現(xiàn)并修復漏洞才是負責任企業(yè)的正確做法。以安全著稱的蘋果iOS系統(tǒng)僅在2015年就有387個安全漏洞被曝出,而微軟的“視窗XP”系統(tǒng)在十多年的漫長生命周期中也有726個漏洞被曝出。正是因為這些產(chǎn)品的關(guān)注度高、用戶量大,才會在“聚光燈”和“放大鏡”下被研究得更徹底,修補漏洞后的產(chǎn)品也才會更安全和完善。因此,致力于發(fā)現(xiàn)并修補漏洞的白帽黑客們無疑是信息安全保障的重要助力之一。 3 “白帽黑客”與江湖歷練 當然,漏洞不光是黑客們的獵物,亦是傳統(tǒng)殺毒軟件公司的勢力范圍。只不過殺毒軟件是漏洞被利用后“亡羊補牢”,“白帽黑客”則是主動在羊圈外“巡視缺口”,力爭未亡先補。“白帽黑客”作為維護網(wǎng)絡(luò)安全的民間力量不斷得到各方肯定與重視,同時他們也面臨各類誘惑和困境。 社會偏見。為吸引眼球,大眾媒體往往對于黑客相關(guān)的新聞過度神秘化,所有負面安全事件均歸結(jié)到“無所不能”的黑客身上。技術(shù)公司往往對“白帽黑客”未經(jīng)授權(quán)的測試行為不滿,并懷疑其主動報告的動機。政府往往抵觸“外部黑客”的幫助,更不會建設(shè)獎勵機制,打造正向反饋。 金錢誘惑。在地下黑色產(chǎn)業(yè)鏈中,惡意利用漏洞變現(xiàn)的速度驚人,一個高危漏洞在黑市上可以買到六位數(shù)的高價,而“白帽黑客”通過正規(guī)渠道只能得到象征性的物質(zhì)獎勵。盡管“白帽黑客”對技術(shù)和安全的追求高于對金錢追求,但面對數(shù)十倍的收入差距和一夜暴富的誘惑,心存“網(wǎng)絡(luò)犯罪難以追蹤”的僥幸,不少黑客且將白帽換黑帽,不可避免地進入地下黑產(chǎn)鏈條。 年輕氣盛。年輕化是黑客團體的一大特點。根據(jù)“HackerOne”漏洞報告平臺調(diào)查,35歲以下的黑客占比超過九成。手握最新技術(shù)、雄心勃勃但閱歷不足的年輕人面臨抉擇時即便不受金錢吸引,但難免不受聲名所累,迫切希望通過發(fā)起“破壞性”事件一舉成名。因此,作為一名“白帽黑客”,心志必須堅定到年輕且耐得住寂寞。 行為邊緣。檢測漏洞行為處于法律和觀念的模糊邊緣。法律中對“白帽黑客”自發(fā)性檢測系統(tǒng)漏洞(如黑進目標網(wǎng)站但不進行破壞)的行為是否構(gòu)成犯罪尚未有明確界限,諸多空白區(qū)亟待填補。就像在沒有得到授權(quán)的情況下,某人在“錢莊”外不停巡視,進行“模擬攻擊”,利用各類工具試探圍欄結(jié)實與否,防盜門鎖安全強度如何,甚至使用偽造憑證辦理業(yè)務(wù)。這會讓大部分“錢莊”和執(zhí)法者警惕和懷疑。在一些公司眼中,“白帽黑客”就是“借機勒索的壞小子”。 不受重視。“白帽黑客”缺乏有效的報告渠道,往往只能向公司發(fā)送電子郵件。不僅耗時漫長,面對“白帽黑客”報告的漏洞信息,政府和企業(yè)常常由于安全意識不到位而無動于衷。美國“白帽黑客”David Helkowski曾在馬里蘭大學服務(wù)器發(fā)現(xiàn)能夠訪問大量學生和教員的個人數(shù)據(jù)的安全漏洞,遺憾的是學校并未重視這份報告。沒過多久,超過30萬名該校在校生和畢業(yè)生的社會安全號碼等個人信息遭黑客竊取并曝光。報告渠道受阻、回應(yīng)遲緩嚴重打擊“白帽黑客”的積極性。 江湖圍堵。由于將漏洞信息透明化公開化,由于其行為事實上會阻斷黑色產(chǎn)業(yè)的利益鏈條,使得原本希望利用漏洞恐嚇公司和個人獲取暴利的安全公司或黑帽黑客惱羞成怒,“白帽黑客”不僅可能遭遇“單挑”,還極有可能面臨龐大黑色產(chǎn)業(yè)的圍堵。 4 “白帽黑客”的出路 道高一尺,魔高一丈。隨著萬物互聯(lián)序幕的拉開,安全漏洞風險如影相隨,安全能力建設(shè)形勢更趨嚴峻。“白帽黑客”作為維護網(wǎng)絡(luò)安全的重要組成力量,其特殊性正在得到越來越多的重視。社會需要給“白帽黑客”信任和展示能力的機會,為其設(shè)定行為邊界,并給出相應(yīng)激勵,否則“白帽黑客”只不過是一個帶有浪漫主義色彩的稱呼而已。當前,美國政府、企業(yè)和相關(guān)機構(gòu)正在積極探索,以期為他們提供“光明大道”,通過一套較為完善的體系,正確引導和激勵“白帽黑客”釋放正能量。 實施“賞金計劃”。一直以來,美政府對獎勵漏洞發(fā)現(xiàn)者不感興趣,對曝光的系統(tǒng)漏洞反應(yīng)較為遲緩。然而,安全風險日趨復雜,獨自應(yīng)對難以為繼,政府對黑客看法在不斷改變。努力探索保障網(wǎng)絡(luò)安全的新方法,積極為漏洞的提交廣開言路是大勢所趨。2016年3月到5月,美國防部發(fā)起名為“黑掉五角大樓”競賽項目,設(shè)置超過15萬美元獎勵吸引本國黑客向其信息系統(tǒng)發(fā)起攻擊。該項目取得巨大成功,兩個月的競賽項目共吸引1400名黑客參與,發(fā)現(xiàn)的漏洞多達138個。若通過外部商業(yè)安全公司發(fā)掘同等數(shù)量和質(zhì)量的漏洞,政府將花費超過100萬美元。防長卡特對結(jié)果非常滿意,國防部認為演練有利于“發(fā)現(xiàn)漏洞并制定保護五角大樓網(wǎng)絡(luò)系統(tǒng)的應(yīng)對措施”。此次政府部門效仿商業(yè)公司獎勵“白帽黑客”的行為具有里程碑意義,為未來與“白帽黑客”建立長期信任和合作奠定了基礎(chǔ)。國防部嘗到甜頭后,宣布發(fā)展該項目為永久性項目,擴大更多國防部系統(tǒng)和網(wǎng)絡(luò)加入測試。 除政府外,IT公司也積極行動,轉(zhuǎn)變思路。過去很長一段時間,美國大公司并不希望自身產(chǎn)品被曝光存在漏洞,有的公司甚至要求“白帽黑客”刪除相關(guān)漏洞信息。其一,公司往往懷疑“白帽黑客”的好意,認為是在索要報酬。其二,若不及時“打補丁”,會遭遇針對該漏洞的頻繁攻擊。其三,擔心影響企業(yè)聲譽,曾有公司在產(chǎn)品漏洞曝光后股價暴跌。隨著企業(yè)對產(chǎn)品安全意識的增強,對“白帽黑客”提供的漏洞信息需求迅速上升,企業(yè)會直接對“白帽黑客”送出獎勵。谷歌、雅虎、微軟等眾多IT巨頭設(shè)置本公司的漏洞獎勵計劃和安全響應(yīng)中心,鼓勵“白帽黑客”測試其系統(tǒng)。例如“臉譜”網(wǎng)建立了針對自己產(chǎn)品平臺的漏洞提交和獎勵頁面,充分尊重黑客的隱私權(quán)和知情權(quán)并提供不少于500美元的獎勵。谷歌設(shè)立獎勵計劃,為找到安卓(Android)系統(tǒng)安全漏洞的黑客提供最高20萬美元的獎金。 提供專業(yè)場所。普通企業(yè)一般不會專門設(shè)置安全部門或漏洞獎勵項目,為有效對接企業(yè)需求和社會資源,“眾測”模式應(yīng)運而生。“眾測”是一種由廠商提供產(chǎn)品和獎金,漏洞平臺組織黑客為其尋找安全漏洞并分配報酬的生產(chǎn)模式。廠商在降低運營成本的同時,也充分調(diào)動了“白帽黑客”勞動的積極性。如美國舊金山的“HackerOne”漏洞平臺吸引了來自150個國家的3000多名黑客注冊,為包括雅虎、優(yōu)步、推特在內(nèi)的超過500家公司提供漏洞測試服務(wù)。擁有強大號召力的“HackerOne”宣稱77%的公司能夠在24小時之內(nèi)利用該平臺找到安全漏洞,目前已經(jīng)修復近四萬個漏洞。“白帽黑客”注冊后提交漏洞信息,“HackerOne”通知公司進行修復廠商對漏洞有效性、嚴重性和影響范圍做出評價,在漏洞未被解決之前,漏洞信息是加密的,甚至平臺也無權(quán)查看這些信息,充分保護企業(yè)和“白帽黑客”的權(quán)益。為吸引和鼓勵“白帽黑客”,“HackerOne”將漏洞獎勵金額下限設(shè)置為100美元,并為高危漏洞提供獎勵金額參考,最高漏洞獎勵可達3萬美元。 舉辦“武林大會”。黑客大會是黑客文化交流的嘉年華,來自全球各地的技術(shù)大咖齊聚一堂,公開展示最新研究發(fā)現(xiàn)。如久負盛名的黑帽大會(BlackHat)作為全球頂尖的安全技術(shù)會議,是信息安全界每一位研究者的夢想舞臺,會議內(nèi)容包括前沿技術(shù)培訓,黑客安全團隊講演、公司宣講等。RSA安全會議每年吸引數(shù)萬人參會,幾乎所有安全研究人員都會參與其中,展示研究項目,研究行業(yè)熱點問題。此外,CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB(hack in the box)、POC (Power of community)、HITCON 、CodeBlue 等側(cè)重點各不相同的會議更是多點開花,“白帽黑客”參與度空前高漲。 幫助驗明正身。去年11月,美國防部制定了《漏洞披露政策》,為“白帽黑客”們提供政策安全保障。該政策允許自由安全研究人員通過合法途徑披露國防部面向公眾使用的信息系統(tǒng)存在的任何漏洞。該政策指出只要符合政策的限制和規(guī)定,將不會對黑客發(fā)起執(zhí)法和訴訟活動,并可以為“白帽黑客”提供保護和證明。此外,美國防部高級研究計劃局(DARPA)的“Improv”項目和網(wǎng)絡(luò)挑戰(zhàn)賽,也正在積極發(fā)掘網(wǎng)絡(luò)漏洞和網(wǎng)羅全球優(yōu)秀的“白帽黑客”。近年來,美國執(zhí)法部門已經(jīng)開始嘗試直接從黑客大會現(xiàn)場物色黑客提供技術(shù)或為之效力。 當前我國正處網(wǎng)絡(luò)強國戰(zhàn)略推進的關(guān)鍵階段,信息技術(shù)能力和產(chǎn)業(yè)蓬勃發(fā)展的背后面臨日益增大的安全壓力。政府、企業(yè)、組織和民眾對網(wǎng)絡(luò)安全認識和需求不斷提高,除建立健全政企網(wǎng)絡(luò)安全信息共享機制、完善政策法律保障、明確企業(yè)責任外,做好“白帽”人才儲備與有效使用亦應(yīng)成為重要一環(huán)。從當前國際經(jīng)驗來看,如能妥善引導和規(guī)范“白帽黑客”,保障“白帽黑客”合法權(quán)利,無疑能夠極大激發(fā)民間力量,為信息安全保駕護航。 |
|