中国人隐私安全重要吗?网络战爆发咋办?女子黑客天团、白色产业链是什么……浅黑科技图解这届补天大会(2018)
文|谢幺 浅黑科技
盼望着,盼望着,东风来了,春天的脚步近了,我从北京的办公室溜到上海了。
不过,既没去园子里打两个滚,也没去田野里踢几脚球,赛几趟跑。作为一个网络安全科技媒体作者,我参加了一个很有意思的黑客大会。
鲁迅先生曾说要做个心灵美,善于观察生活的人。于是我在会场门口发挥了一下观察能力:
换个展位,继续观察生活:
……
……
……
这天,我花了一整天时间在黑客大会观察生活,搜罗到不少有意思的点,在此分享给大家。
或许你以前已经看过各种游记,但你多半没看过一次黑客大会游记,下面请跟随我的视角,走进补天白帽大会。
Let’s Rock !
中国,世界第一人口大国,我在补天白帽大会的现场深深感受到这一点:
据说补天白帽是亚太地区目前规模最大、参与白帽子(善意黑客)数量最多,影响力最广的白帽大会。
影响力和规模我没法评估,反正人是真的多。
这让我想起去年在深圳参加补天白帽大会2017时,同样是陷入人群无法自拔。
(那时的幺哥还是青涩模样,那一幕恰好被会议官方的摄像师拍了下来,照片挂在补天平台官网的“往期回顾”里)
事实上,前一天晚上我就去会场考察过,当时会场里是这样的,我寻思怎么也能有个座位:
可是当我第二天来到会场,已经变成另一幅模样。
9点之后大会已经开场,参会者依然犹如滔滔江水连绵不绝。没有身高优势的我被埋没在人群中,恨不得飞上天和太阳肩并肩。
(此刻座无虚席人山人海这种形容词都是多余)
我悄悄猫到会场前面,发现补天平台的现任掌门人白健坐在最前面,只见他身着黑衣,上书15个大字:
HACK FOR SECURITY
(为了安全!)
Hack for Security , 这句话既代表着白帽子黑客的核心精神,也是这届大会的主题。
黑客,本是个中性词,代表拥有高超技艺,追求突破的人。
但是后来,有人利用黑客技术作恶,让“黑客”这个词逐渐被污化,从此让寻常老百姓联想到一些黑暗、邪恶和破坏。
有黑就有白,同样拥有高超安全技术的黑客并不想同流合污,他们希望做些真正有价值的事,帮助人们消除网络安全威胁,于是他们有了一些新的称呼:白帽子、道德黑客(ethical hackers)、正派黑客……
这些年,补天平台一直想做黑客版的滴滴打车,试图连接白帽子和企业,形成一个“白色产业链”,继而和“黑色产业链”做对抗。
它的逻辑是这样的:
- 民间白帽子帮企业发现安全漏洞,获得报酬和尊重;
- 企业花不多的钱就能获得较高水准的网络安全服务;
- 我们这群吃瓜群众的隐私、数据、财产因此变得更安全;
三赢,人人献出一点爱,世界变成美好的人间。
当然,这一切有个大前提:企业需要承认漏洞的价值,情愿为白帽子的劳动成果付费。
“漏洞是有价值的,并且价值越来越凸显。如果每个企业都愿意为自己的漏洞付费,就能鼓励那些站在十字路口的技术高超的年轻人走上正道,进入「白色产业链」而非「黑色产业链」。”
这话不是我说的,是台上这个人说的:
360企业安全集团董事长齐向东
齐向东说,今年是补天的第五年,5年来,平台已经有4万多个白帽子,入驻两千多家企业,修复了超过 25 万个安全漏洞。
这个数字听起来很夸张吗?
事实上,补天平台的这种“白色产业链”模式在国外已经相当成熟。
“美国有个叫 HackerOne 的类似平台曾发动民间白帽子帮美国国防部找安全漏洞,结果找出59种黑掉五角大楼的方法。他们还帮助美国的征兵网站、现役军人的数据库做安全评估,效果很好。”
除了美国本土公司之外,加拿大最大的电商平台、欧洲最大的保险公司也是 HackerOne 的客户。
齐向东说。
讲到这我必须说个小秘密:全球知名的成人网站 Pornhub、YouPorn 也是 HackerOne 的客户,并且漏洞悬赏金不低!(别问我是怎么知道的)
为了说明漏洞的重要性,会上请了个很厉害的网警大哥,讲了几段惊悚情节:
(听说头衔很长的人都厉害,他的称呼真的很长:国家网络与信息安全信息通报中心、公安部网络安全保卫局副处长 张秀东)
他说,近几年他们通过各种专项行动打掉不少网络犯罪团伙:
“有个黑客,一人就入侵网站一万多家,窃取公民个人信息10亿条,非法获利20万。”(没错,这多数据就卖了20万,这人的良心比较廉价)
“另一个团伙,入侵多个省的疾控中心相关信息系统,窃取大量婴幼儿信息,获利60万
“还有一个,通过漏洞窃取某航空公司内部网络,窃取航班信息40万条,非法牟利600万。”
网警们查了这么些案件后,发现一个共同点:
几乎目前所有的网络违法犯罪基本上都是从发现漏洞,利用漏洞开始的,
也就是说,如果这些漏洞能先让白帽子发现,就能及时消除安全隐患。
好在,白帽子确实一直在帮助公安部门通报漏洞。
张秀东说:“2016年开始,公安厅从补天平台的数据接口收到白帽子报送的漏洞超过23000个,其中13000多个属于国家的重要信息系统和政府网站的高危漏洞。公安部门接到报送第一时间通知各个部位部委,重要企业和政府单位,开始协同处理,消除了很多重大安全隐患。”
采访间里,一群记者开始刁难老齐:
“既然白帽子这么厉害,如果真的爆发网络战,白帽子会担当什么样的角色?”
面对这样一个脑洞题,老齐大概是这么回答的:
“在网络安全方面,美国确实走在我们前面。他们很早组建了网军,据说有133 个支队,相当于中国的“连”,其中大概 1/3 是现役军人,1/3是网络安全公司的人,还有1/3,就是民间的白帽子。
传统的士兵,一两年训练差不多就能扛枪作战;网络战不是,网络战需要真正的高手技术,不可能一两年就能训练出来。但是,你又不可能抓壮丁,让白帽子都去参军,所以,军民融合一定会成为趋势。
战时,士兵也需要走出兵营去保护民用关键基础设施,比如医院、电网、之类的。士兵不可能对所有设备的计算机系统和流程了如指掌,这时需要这些单位的信息安全部门、IT部门来协助,这就更要军民融合。平时就是民,战争时就是军,军民融合也是唯一的出路。
小时候我总被灌输军民亲,鱼水情的精神,万万没想到这种精神居然在网络时代再次得到发扬,一想想我胸前的红领巾就更加鲜艳了。
现场记者VS老齐第二轮
“前阵子百度CEO李彦宏谈到中国人对隐私安全的态度,你怎么看这个问题?”
齐向东:
虽然中国的网络隐私泄露情况确实比国外更严重,但是,中国人的隐私和外国人同样重要!
还记得去年被电话诈骗的那个清华大学教授吗?你说是清华教授的智商不够高?据我所知,当时骗子把冒充公检法”,把受害者的信息,什么身份证、购物信息、家庭住址一股脑全说出来,当即唬住了清华教授。
清华教师刚卖了房子,骗子就布下了针对性陷阱。
电话诈骗为什么能做得那么逼真,因为他们拿到了你的个人隐私信息。
除此之外,大部分人的账号密码和密保,多多少少跟你的隐私有关联,比如生日、宠物的名字、出生地、喜好等等,而网络犯罪分子通过这些看似不太关键的信息,就能利用社工数据库的方式“猜”出你的密码和密保答案,继而盗取账号。
回看这些问题的根源,我们会发现都是隐私泄露,我们能不重视吗?
---
回到会场外,人们已经三五成群的聊起了天,像个酒会。
一般来说,技术大会进行到一大半,外面势必会站满人。一来因为大家平常都很忙,开会是个不错的社交场景,可以联络联络老朋友。
二来,里头演讲者一旦讲起什么漏洞挖掘干货,一大半是真的听不太懂了。技术人的圈子有句古语说的好:Talk is cheap , show me the code. 意思是,屁话少说,放码过来。
补天白帽大会毕竟是个技术气质的会议,进行到一半就已变成这样:
想了解补天当天议题的可以点击补天官网”查看,这里就不赘述,涵盖了系统破解、脚本利用、人工智能安全、区块链安全等方方面面。如果有想了解的议题可以在文末留言,我可以单写一篇。
临近中午,补天颁发了五周年最具价值白帽奖(MVP),据说还颁发了个冠军戒指。
这几个白帽子据我所知,每年靠挖漏洞就能挣几十万,(同时还有很多大公司想挖他们去上班)
但是我也知道,白帽子们为企业和网民挽回的价值远远超出这个数,或许是数十倍,或许数百倍。所以我觉得有必要介绍一下他们的名字:
a0
Adrian
hckmaple
Carry_your
System_gov
--
--
--
--
--
(按ID字符数排名)
目前我国在网络安全这块有巨大的人才缺口,为了培养更多网安人才,补天平台跟一些学校、机构合作推出了一个人才培养计划。大意就是提供技术、法律两方面的培训和引导。
同时,对于那些有创业意向的,还联合政府启动一些创业计划。
一个有趣的分会场
补天白帽大会有好几个分会场,我去了其中一个 DEF CON GROUP 010 黑客沙龙分会场:
这个分会场是个技术氛围很浓,是全球顶尖黑客盛会 DEF CON 旗下的沙龙活动,我曾经采访过它的发起人李均(参考:《再介绍一下我自己吧,我是谢幺,一个好奇的科技宅作者,目前主要关注网络安全和好玩的黑科技。想听到更多有意思的事可以加我微信:dexter0 或者关注我的知乎 @谢幺
不想走丢的话,请关注公众号浅黑科技:qinaheikeji
浅黑科技,让技术被读懂
还木有评论哦,快来抢沙发吧~