烏云“白帽子黑客”
責編:admin |2015-01-06 14:53:59起底
日前,烏云漏洞報告平臺(以下簡稱“烏云”)曝12306信息泄漏,發布漏洞報告稱,大量12306用戶數據在互聯網被瘋傳,包括用戶賬號、明文密碼、身份證郵箱等。在網民大喊“裸奔”互聯網的同時,也有不少人將矛頭對準烏云。烏云的“白帽子(黑客中的一類,即正面黑客)”究竟和黑客有何區別,他們神秘身份的背后,真實意圖是什么?
◎解讀◎
“黑產暴利”如何生存
2014年12月25日,烏云發布“高危害”等級報告,稱12306官方網站的用戶資料大量泄漏。隨后,12306官方網站在發布的聲明中稱:網上泄漏的用戶信息系經其他網站或渠道流出。
曝光第二日,中國鐵路官方微博表示此次用戶泄露案件已經告破,系犯罪分子通過收集互聯網某游戲網站以及其他多個網站泄漏的用戶名加密碼信息,嘗試登錄其他網站進行“撞庫”,非法獲取用戶的其他信息。“撞庫說”完全推翻了12306對“搶票軟件泄露數據”的猜測。
烏云網聯合創始人孟德在分析各種漏洞信息泄漏的案例時對記者直言,基礎傳統行業轉型為互聯網服務行業,發生漏洞的概率會更大。
記者了解到,“黑產暴利”產業鏈價值比較大的是“洗庫”,即“黑客”在目標數據庫導出后,將數據庫信息提取分類,分類包括金融相關賬戶、游戲相關賬戶和用戶真實信息。
“可以說,每個信息都是可以直接轉化成錢。”“白帽子”“蒙面俠(化名)”告訴記者。
第一步,進行虛擬幣等信息的剝離,例如支付寶和QQ等,拿到用戶的賬號后就會進入賬戶嘗試,如果有虛擬金錢就會轉走;第二次“洗”是對于個人信息的收集,有些賬戶可能包括個人信息內容,這些會賣給那些需要的人,比如銷售、賣考試答案;第三次“洗”是關聯手機號的信息。賣給發垃圾短信的,這樣一層層“洗”下去,直到沒有價值為止。
◎質疑◎
戴著“白帽子”的黑客
“蘋果的聯合創始人Stephen Wozniak,就是白帽子,他的黑客之旅源于盜打免費電話。”“蒙面俠”介紹,黑客并非都是黑的,那些用自己的黑客技術來做好事的叫“白帽黑客”,這點和網絡安全工程師的性質有點相同,他們大多掛靠安全公司,通過檢測計算機系統安全性來謀生。
不少網民在接受“白帽子”庇護的同時,也會對這個神秘群體產生質疑,“白帽子”和“黑客”的技能無差別,但是在網絡安全中,兩者的身份轉化只是一瞬間。“蒙面俠”認為這種說法有些狹義,在網絡安全中,“麻瓜”,也就是日常生活中的普通網民,也可以成為“白帽子”,只要他能發現網絡安全隱患。
孟德介紹說,在烏云歷史上,就有“麻瓜”在信用卡還款的過程中遇到問題——不用扣費,原有的儲蓄卡就能還款成功。“他向烏云提交漏洞報告,我們在初審過程中確認漏洞,再提交給企業。這個過程中,‘麻瓜’也是‘白帽子’。”孟德說。因此,“白帽子”的技能在于發現漏洞,而非使用技術去入侵。
◎合作◎
“黑客”測試企業產品
如今,烏云已經同627家廠商達成合作,網站注冊“白帽子”的有1195人,累計提交漏洞信息4萬多條。未來,烏云將主營烏云眾測和烏云招聘。
據了解,烏云眾測最初由烏云社區的一群頂尖白帽子發起,2012年正式上線,即經驗豐富的白帽子在企業的授權下,通過眾包方式來提供安全測試服務。孟德告訴記者,希望網民對“白帽子”的認識不再停留在“洗白了的黑客”上,而是一群維護安全網絡安全的工程師。
下一篇:網康專家解讀下一代防火墻