NSC2014頂級白帽子對話
責編:rhliu |2014-10-23 17:29:47我們知道,在安全領域有這么一群極客,他們武功高強,技術精湛,對于網絡和系統的安全漏洞明察秋毫,他們會公布這些漏洞,但是他們不會惡意去利用這些漏洞,他們被業界稱為“白帽子”。接下來我們有一個對話環節,我們邀請到了幾位國內頂級的白帽子。下面有請對話主持人,烏云平臺合伙人、市場總監烏迪,有請對話嘉賓:騰訊“玄武”安全實驗室負責人余弦;天融信阿爾法實驗室安全研究院郭勇生;知道創宇技術副總裁余弦。
烏迪:感謝主辦方給我們這樣一個機會,有這樣一個白帽子圓桌對話。今天大家講了很多很專業的技術,這個環節我們希望稍微輕松一點,給大家講一些其他的故事,是這樣一個內容。首先自我介紹一下,我叫烏迪,是烏云網的市場合伙人。不知道大家是否了解,大家可以把烏云網理解為一個中國網絡安全的天氣預報,可能每天你看一看烏云就知道今天上網是不是應該多加件衣服,或者是不是應該打個傘,我們主要是做這個工作的。
今天我們的對話是白帽子的圓桌對話,其實在座的幾位在安全圈里面,特別在白帽子圈都是一些如雷貫耳的人物,我想每個人還是簡單介紹一下自己。
余弦:大家好,我來自知道創宇,一直創業到現在,年紀也比較年輕,希望能夠跟大家討論一些話題,接下來大家可以共同交流,謝謝!
于旸:大家好,我叫于旸,大家可能看會議材料上面寫了每個人的名字叫什么,我和郭勇生的名字后面都注了一下ID是什么,余弦就沒有,讓大家誤以為他的真名就是余弦。實際上他很隱蔽,他說他很年輕,實際上還是比較老奸巨滑的,我們就很老實,當然這是開個玩笑。我叫于旸,來自騰訊的玄武安全實驗室,在這個行業有十幾年時間,一直在從事基礎的技術研究工作,謝謝大家!
郭勇生:大家好,我是冷風,大名是郭勇生,但是平時大家稱網名喜歡了,叫我冷風的比較多。我來自天融信阿爾法實驗室,我們主要做的工作就是偏向于滲透測試,還有一些特種木馬病毒的安全研究和分析,謝謝大家!
烏迪:其實剛才于旸說余弦沒有用他的ID,其實大家想想余弦是什么,不知道大家還是否記得什么是余弦,這是我們中學里面就學的,可能有些人已經丟給老師了。今天很有意思,一群白帽子坐在這里,我平時的工作就是接觸這些白帽子,我覺得有些事很好玩。馬上就光棍節了,馬上雙十一了,烏云上有很多白帽子,大家整天做技術,沒有時間搞對象,我們想是不是安排一次相親?后來我們找了國內比較大的相親網站,跟他們合作,搞一個白帽子的相親派對。如果要搞相親派對的話,要先到相親網上去注冊。注冊完了以后我們問一個白帽子說怎么樣?在上面有沒有找到妹子?他說沒有找到,找到幾個漏洞。
剛才在座的幾位,于旸很謙虛,他一直在調侃別人,他沒有說自己,他登上過美國全球的黑客大會,就是在今年。他應該也是在白帽子黑客圈是身價最高的一位,大家可以百度一下他的收入,好像是8位數。
于旸:那都是假的。
烏迪:我想先請于旸說一下,我們今天是白帽子黑客,很多人對白帽子黑客定義不是特別了解,請您講一下您心中到底什么是白帽子?
于旸:首先“白帽子”這個詞是相對于“黑帽子”來講的。國外在70年代的時候就開始把黑客這個詞用于那些去研究和計算機安全相關的人,但是最后發現,這個詞只能定義你的技術屬性,而無法定義善惡屬性。就像我們說武林高手一樣,岳不群是武林高手,令狐沖也是武林高手,不能簡單的用這個詞,我們就要創造出“大俠”和“江湖敗類”這樣的詞,所以就有了“黑帽子”。相對應的,大家又創造出像“白帽子”這樣的詞。微軟把他們陣營里面的安全專家稱之為“藍帽子”,微軟每年都會開一個“藍帽子”大會。對于咱們來說,中國人的文字里面,黑帽子還是可以戴的,白帽子戴了其實不太吉利。我聽說有的老外他們還試圖搞什么“綠帽子”大會,我跟他們說,你這個搞了中國人是不會去參加的。所以具體什么帽子,其實只是一種稱呼,往根源上說,最根本的還是技術,具體是什么帽子,可能是別人往你身上扣的,不管是扣什么帽子,不管是黑還是白,扣上來可能你就被壓住了,就被套上了。
烏迪:反正大家都不希望被扣上綠帽子。于旸能不能接著分享一下,我們主要是根據技術來評判,不管是什么帽子。現在中國白帽子或者技術在全球領域大概是什么樣的位置呢?
于旸:我們知道中國從我們加入信息世界這個大家庭,加入互聯網這個大家庭,和美國人相比相對來說是偏晚了幾年。但是好在中國人多,人口基數在這里,另外確實中國人還是挺聰明的。這些年追趕到現在,從個人的能力上,或者在某些技術領域,中國在整個世界范圍內我覺得應該是可以排到第一梯隊的,當然不可能說全面領先。
烏迪:其實成為“白帽子”是有很多的路徑的,特別是這些年有一些科班出身的,國內有四五十所高校都開了信息安全專業。但是我們知道,其實更多的“白帽子”他可能并非是科班里面,是通過一些偶然的事件成為“白帽子”的。我身邊有一些“白帽子”,比如他以前去網吧上網,上著上著發現自己的錢不夠了,他就想能不能通過一些方式繞過網吧的計費系統,包括在宿舍里面,我想在座的肯定有人做過這個事情。我有一個朋友,當時他的鄰居搬來了一個女孩子,很漂亮,他想認識,但是他又非常內向,很羞澀。他不好意思去要電話,他就看隔壁女孩家的無線,把她家的無線破解了,拿到那個女孩子的微信和QQ,通過這種方式搭訕,他是這種思路。我想問在座的很年輕的余弦包括冷風,講一講你們是怎么成為“白帽子”的,我想大家應該很感興趣這個話題。
余弦:我是非科班出身,大學的時候學的是生物功能材料,高中的時候拿過生物二等獎,所以對生物很感興趣。當時我的想法就是,動用一切的力量,一定要把勉強的問題解決掉。對我來說,如果生物這條路走下去就成了黑人了,把人給黑了,造一個人造骨骼、人造心臟等等,以前的專業就是跟這個有關系的。計算機時代的到來,對我來說,到大學的時候發現我不懂計算機,這個讓我覺得很恐慌,我們有很多實驗,還要通過計算機解決。有的時候解決問題的一些方式,如果玩黑客玩得比較多的會發現,有時候通過黑客的一些技巧,有一種捷徑,能夠讓你不用通過正常的渠道就能夠達到一個目的,這個感覺還是比較舒服的。但是最終你會發現,轉到黑客這條路上,我們說“白帽子”,其實本質上都是為了我能夠解決這個問題的一種思維方式,能夠補充我的思維方式,不是那么板板正正的按照那條路去走,而且應該有其他的方式讓我去實現這個目的。對我來說興趣是第一位,這個一直驅動著我。
烏迪:冷風能不能介紹一下你的情況?
郭勇生:我接觸的時間可能稍微要早一點,但是相對于兩位前輩還是比較晚的。那是上初中的時候,那個時候還沒有接觸電腦,主要是打游戲,那個時候的游戲就是大街上的街機游戲,不知道大家有沒有玩過,就是一塊錢買幾個游戲幣進去打。那個時候打這個游戲打得非常好,花一塊錢買幾個游戲幣可以打一天,現在的這種游戲你只要是投上幣可以打兩關,我們每個人買一個幣就打一天,后來老板的生意沒法做了,后來我們一去老板就不賣給我們不讓我們玩。這個時候我們想找其他的路子,發現有網吧,然后就開始去。
到了網吧以后發現一個是貴,再一個就是那個時候的QQ號是需要花錢注冊的。那個時候注冊還需要有手機驗證,大概是2002年、2003年的時候,那個時候手機是一個很奢侈的東西,我們也沒有。這個時候就開始想辦法干第一票,盜了人家的QQ號,當然后果不太理想。因為網吧特別小,上網的人也很少,因為在一個鎮上,到了第二天就被人家抓住了,被人收拾了一頓。雖然這個結局比較慘,但是這個興趣從此就有了,到了高中和大學,那個時候分不清什么太多的好與壞,只要想搞就搞。有時候老師說需要考試了,那個時候上網比較多,也沒有學習,就想辦法進老師的電腦,把試題搞出來,這個也是有的。再到后來對學校的網站做了一個測試,但是有點太過了,被學校通報批評了。這樣中間停了兩年,比較消停。后來畢業以后發現,還有這么一個工作可以去做,還是合法的,就走上了咱們這條路。
其實我覺得做這個事情是很有意思的,你想想看,別人去蓋一棟樓很難,需要設計,需要施工,蓋起來以后讓你去搞破壞,而且是合法的,這就很有意思了。當然你懂更好,如果你不懂也可以,你不懂這個樓是怎么建的,但是你能找到它的弱點在哪里,這也是一個很有意思的事情,而且你如果能找到以后別人還很高興。所以這個行業本身,如果是興趣使然的話你就可以做得很好,如果是強制的讓你去做某件事,如果你不喜歡那就另當別論了。現在基本上我認為,我是出于一個興趣的驅動,我想大家可能很大一部分人也是這樣,只是他的某個點不同而已。
烏迪:你們幾位從事這種工作,“白帽子”這種經歷對于你們來講,除了它給你們一份工作,包括收入不菲以外,除了滿足興趣以外,你覺得“白帽子”的經歷對你的人生,包括對你的思考方式等各個方面有哪些幫助呢?能不能分享一下?
余弦:我前面的回答已經說了,就是它讓我看到了這個世界的思維是不一樣的,包括處理問題的思維角度是不一樣的。有時候看到一些人處理一些問題很死板,我覺得其實是很不應該的。對我來說,我是非常喜歡跨界交流,比如你是建筑行業,專門做繪畫的,音樂家等等,我都很喜歡去交流,因為我想知道每一個行業的牛人思考角度是怎么樣的。對于我來說,我本身是一個程序員,寫了很多程序。但是我覺得光有程序員的思維還不夠,如果黑客的思維再融入進來會比較有意思。所以對于我來說,最大的改變就是看待這個世界的方式會更加不同。
于旸:我倒不是說因為從事這個工作對我思考問題的方式有什么影響,就我個人而言,我覺得是相反的。我覺得可能你必須有某種特定的思考方式你才能干這一行,實際上包括余弦應該也是這樣,你能干這一行,恰恰因為你從小就是這種思維方式,最終決定了你能干這一行,能夠走到今天。
余弦:你是說強調先天的重要性是嗎?
于旸:對。在干這一行的過程當中有一個正反饋,然后對你的思維方式又有了進一步的增強。但是一開始,我覺得可能會有一些先決的東西在里面。
余弦:被于旸這么一說,我覺得好像挺有道理的,讓我想起我從小的思考跟別人就不太一樣。
于旸:我們應該都是屬于那種在學校里會被老師和同學覺得比較怪異一些的小孩。至少我是的,我不知道余弦是不是。
余弦:你這樣一說,好像是這樣的。
烏迪:冷風應該也是吧?
郭勇生:也是這樣的。我覺得不管哪個行業,它最終的道理都是一樣的,就是專注。如果你是針對一個小事的話,比如做滲透,其實你對于一個網站做安全滲透,你會發現做下來的不一定都是高手,不完全在于他的技術有多高,而是在于他是否專注。有的人會把工具放在一邊,一個點一個點的測,他可能就會拿到一些權限,但是有些人可能就比較泛,簡單看一眼就過了,針對一個小事不夠專注。同樣的如果這個專注你能把它放大,如果放到10年,你在10年堅持一個行業,你肯定能夠在這個行業內有所建樹。所以說我覺得專注這方面還是比較通用的,不管是針對這個行業還是針對其他的。
烏迪:講到“白帽子”。其實現在大家獲取信息的成本越來越低,越來越方便。我們以前看到一些“白帽子”可能是十幾歲、二十幾歲成名,現在我們發現,這個時間在向前移。前不久很多人應該關注過,有一個13歲的“白帽子”,媒體也有很多的報道。那個“白帽子”我們也認識,他在一個中學社社區,是北京的一個高中生創辦的,他現在是高中生,里面有很多人。在烏云上注冊的里面的“白帽子”就有10幾個,都非常年輕,有些還不到13歲,就是一些初中生,包括人大附中、清華附中的。我們現在發現,“白帽子”的成名越來越早。在座的幾位成名也是比較早的,現在很多人對“白帽子”很感興趣,有些人很想成為“白帽子”,有些人現在已經是“白帽子”了,就像在座的各位。我想問一下幾位,你們對于這些想成為“白帽子”的人,還有已經成為“白帽子”的人,你們對他們有沒有一些建議呢?包括在技術各個方面,包括一些這些年輕的小“白帽子”。我剛才看到有一個中學生在下面,我不知道他是不是也是這一行的。大家能不能講一下?
余弦:這個建議我思考了很多年了,基本上就是兩點:第一個點就是一定要專注,剛才冷風也提到了。如果一個人老是覺得外界的環境給自己帶來太多的壓力和影響而無法專注,我覺得這都是扯淡。還有一些人覺得公司這么忙,我沒有時間做研究,這是不可能的事情,我那么忙,我還寫了一本書出來了,當然這不是打廣告,我覺得這個專注是非常關鍵的。第二如果太過于把自己限制到一個頂上,可能被別人說成是裝,這個時候有一點可以幫助大家,就是視野。如果一個人缺乏視野的話,你很難去觸類旁通,很難做一些發散的思考,這個會決定你未來的路會有多寬敞。這個視野一般情況下跟你所在的環境、接觸的一些人,做的一些事都是有很大的關系的。不是說一個人說,我看了一本愛因斯坦的《相對論》我就有視野了,這是不可能的事情。不是說看了什么《神探夏洛克》就有偵探的視野,那是不可能的事情。視野完全跟一個人的經歷有關系,這個需要沉淀。所以最終來看,專注和視野這兩方面,一定是在這個過程當中互相互補,互相促進的,這個是能夠決定我們未來能夠走多遠,多深的。
烏迪:其實我們很多技術人員會遇到這個問題,先是做技術,技術這邊比較好,在企業里面被提拔為管理層,后來可能就慢慢的離技術越來越遠,我們看到身邊有很多人進了一些大公司,以前非常活躍,后來慢慢就沒有聲音了。我們看到于旸在安全圈還是非常活躍的,對技術一直在研究。除了余弦剛才提到的那些,你又是怎么做到的呢?
于旸:我現在仍然還是會分出一部分精力做技術。主要是因為還有這個精力,有這個時間。可能有些人他確實沒那個精力和時間了,真的是位高權重,事情很多,那是沒有辦法。當然我覺得最主要的還是一個選擇,因為我知道一些國外的做技術的,有些人的領導覺得他很適合搞管理,然后勸他去從事管理崗位。給他許諾加薪,說你去做這個怎么樣?他不行,他一個人都不愿意管。就是給你一個三個人的團隊,說你帶一下這個團隊,他不干,有這種人,特別在老外的技術人員里面這種情況還是相當多的,這就是一種選擇。我去微軟咱們Blue Hat大會的時候,第一個演講的是微軟的戰略程序員,他的職務是戰略程序員,我覺得這應該是程序員當中最高的,可以用“戰略”這個詞,但是還是程序員。真的就是一個程序員,自己還在媒體寫程序的人,已經50歲了。
烏迪:這種情況為什么國外這么多?在國內好像就很少有。
于旸:國內還是我剛才說的,中國本來起步的時間要比別人稍微晚一點,因為你晚,可能現在還沒有到達那個時間點,就是你可以產生一個50歲的程序員的時間。如果你是一個50歲的程序員,你可能已經干了30年了,咱們中國的IT起來才多少年?可能還沒有滿足這個條件。再過一段時間,我覺得可能中國也會有。
余弦:其實他想說的是,再過20年,他肯定是這樣的。給大家講一個小段子,TK的抬頭是工程師,是他自己選的。他有很多的選擇,他可以選擇總監等各種高大上的,但是他選擇的是工程師。
烏迪:我們剛才講到“白帽子”,其實我們看在座的很多是信息安全的從業者,包括有甲方乙方的,這幾個人的職位也很有意思,郭勇生是天融信,于旸是新興的,很有代表性的互聯網安全公司的代表,余弦是來自知道創宇,我想請幾位分享一下,你們現在怎么看待網絡安全的市場,從你們的角度來講,你認為這個市場怎么樣?
郭勇生:我感覺目前咱們中國這個階段起步相對來說晚一些,相對美國、俄羅斯差了一截,但是咱們的后勁很足。互聯網本身就是美國和俄羅斯冷戰期間的一個產物,他們做得非常深。美國就不用說了,整個互聯網很多核心的東西都是他們國家的。俄羅斯相對來說比較低調,你不知道他們在做些什么,互聯網上也很低調。但是你分析這兩年的惡意程序,從俄羅斯那邊流傳出來的都非常厲害。這說明他們雖然很低調,但是他們的技術實力是非常強悍的,他們完全有能力和美國相抗衡。比如咱們上月球這個技術,月球離地球這么遠,他們是怎么通信和控制的?美國可以,俄羅斯也可以,俄羅斯他們很是先進的,他們可能用的系統不是Windows,他們可能有自己的一套系統,是什么我們也不知道。
我們應該算是后起之秀,因為我們的互聯網經過這10年的發展,速度是非常快的,大家可以回想一下咱們的網絡10年前是什么情況,3年前是什么情況,同樣再往后的幾年速度咱們還會非常快的,而且人口紅利基數也非常大,有些國家的人口數量就是那樣,他也不可能做到全民都去搞網絡安全,做這一方面的工作。但是咱們不一樣,咱們就算是每個省,每個市有一些愛好者,組合起來都是非常強大的。包括現在為止,中間幾年好像有些咱們國內的一些安全組織都比較低調,但是你看現在,又有抬頭的趨勢。就是說這些活躍者又越來越多了,包括咱們現在新興的各種安全測試等等都是很好的。我們國家針對網絡信息安全方面也給予了足夠的重視。現在包括政府的網站各方面都是做得非常好,起碼態度非常好,讓一些一線的人員去測。只要態度好,而且有一顆上進的心,我相信未來會更好。
于旸:我覺得說市場這個東西健康不健康?任何一個市場,只要是自由的就是健康的。單純從市場的角度來說,最重要的是市場是否自由,但是安全市場有一個很重要的特點,就是它關系的事情太大了,不可能完全自由。比如賣家具的可以是一個完全自由的市場,無所謂。但是賣糧食,賣石油也可以相對自由,但是就不能那么自由了。因為糧食、石油這些是關系到國計民生的,任何國家不會百分之百絕對的自由,那一定是背后有一個監管,至少我要看著,一旦有問題,我是需要出手的。那么安全市場更是這樣,從自由市場經濟的角度講,美國的市場其實是比較自由的,但是在安全市場上,政府至少對它能管到的那一部分是會伸手的,是會有相關的規定的。不光是這種建議性的,甚至是約束性的,至少對他能管得著的那些,他不會是特別自由的。
所以我覺得,安全市場這種先天性的問題就導致了任何國家的安全市場和真正我們說的健康自由的市場之間不會完全符合。但是在這個過程當中,作為這個行業里的人,無論是甲方還是乙方,我覺得首先要清醒的認識到這一點,另外就是要去適應這一點。
烏迪:我們看到一點,其實在美國,它的信息安全的市場,其實企業占的比例是比較大的。在中國信息安全的采購方,可能政府的比例相對多一些,這個你們怎么看?
于旸:這個問題最主要的我覺得還是大家對于安全的重視程度和對威脅的認識程度,以及企業在遭遇安全事件之后,這個安全事件對于企業造成的傷害,以及企業對安全事件所能給予自身這種傷害的認知。因為我以前看過若干份數字,就是美國的網絡安全投入占整個IT投入的占比,那個比例一般來說是國內的兩到三倍。比如說他每100塊錢在IT上的投入可能中間有10塊錢是在安全上,咱們大概是3塊錢在安全上,為什么是這種情況呢?我只能從一個非常小的角度去談。我們會看到,在美國的這個企業里面,一旦發生了安全相關的事件,那么緊接著會是CSO辭職,我們說CSO是一個背黑鍋的職位,設CSO是為了避免讓CTO辭職,CSO那就得CTO辭職了,如果事特別大,CEO都得辭職。但是在中國,可能這種事情不會像美國那么常見,就是出了事情會有很重的影響。既然出了事情沒有那么大的影響,可能大家這種投入的欲望就不那么強烈。我覺得這可能才是一個根本的原因。
烏迪:其實就是說,還是意識的問題,可能需要一些時間,還有就是有一些社會輿論的壓力,可以這么理解。
余弦有沒有什么想法?怎么看待這個市場?
余弦:其實我對這個市場稍微有些失望。剛才前面兩位說得都特別好,TK的觀點我也特別贊同,就是自由度不夠。其實我覺得,自由度不夠會導致一個很嚴重的現象,就是很多解決方案不夠透明。如果不夠透明會導致什么?一定會導致很多恐嚇和忽悠,我忽悠你,我最牛。所以大家如果看到誰家的產品說我是第一,那一定是假的。誰家的產品說我是智能的,一定是有問題的。別說你們,包括我們自己的一些東西,可能也是這樣。我發現整個市場的風氣都被這些合規需求給帶壞了,什么合規呢?滿足這個條例規定就OK了,他有沒有用我無所謂,帶來的這個效果怎么樣我無所謂,領導來視察的時候,機器開著,燈亮著就OK了。這個我估計每個人心里都會有底,但是這些底很多人都不宜去公開說,原因是因為這塊蛋糕可能非常大你在吃,我也在吃。
但是我覺得以后這個市場一定是一個良性的發展,未來肯定是拼硬實力,絕對是拿實力說話。我現在覺得有個市場非常好,就是互聯網上現在這些爆發出來的市場,比如像烏云的存在,還有很多平臺的存在我覺得很不錯。把一些藏著掖著的一些東西曝光出來了,讓它透明出來了。現在大家可以看到,很多互聯網下做創業的廠家,他們找解決方案,不太可能去找那些傳統的大公司的,他們可能會到平臺上去按效果付費,把很多東西透明開,你這個東西是多少錢,我的解決方案是什么,效果是怎么樣的,一對比都知道,口碑、輿論在互聯網上一下子就傳播開了。剛才主持人也說到,我們是代表一個新興的公司,實際上我們現在有很多做法,也是按照這條路走的。合規我們也在搞,不搞怎么辦?不搞我們公司就要掛了,我們也在這個問題當中。我們另外一只腳站在互聯網上,未來我們這只腳一定要拔出來,未來一定是拼硬實力的時代。這個也不是好忽悠的,第一年用你的解決方案,搞得我這個企業這么多泄密,國家這么多問題,你看看,兩年之后、三年之后還會用嗎?這是不可能的事情。所以說現在這個市場還是比較失望的,包括很多標準都是很扯的。隨便一個事情都會告訴領導是高危,這是不可能的事情。每次PK的時候,傳回來的反饋說,競爭對手報了10個高危,我一看才1個,我一看人家報的標準不一樣,那有什么辦法,忽悠的話誰都會。我覺得現在比較混亂,以后會比較好的,未來還是會比較光明的。
烏迪:我非常贊同余弦的觀點,其實也說出來了很多人的心里話。剛才聽余弦講到最后,你認為什么漏洞對于企業來講是比較重要的?是大家應該關注的?
余弦:我忘記誰跟我說,就是說一個漏洞,你不管是什么,你只要告訴我這個漏洞最終能帶來怎樣的危害,把它給做出來,不要說太多話,你做出來,證明出來,它能達到的效果是什么,就決定了危害的程度。如果說XSS是中等威脅或者是高級威脅,那么一定會出現很多渾水摸魚的,隨便搞一個就告訴我是中危或者高危,這是不可能的事,因為每一個場景是不一樣的。如果我手上有一個郵箱的XSS,我是有辦法寫一個很漂亮的郵件,我保證你神不知鬼不覺的情況下,權限就是我的。但是如果你的官方網站有一個XSS,我就有點頭疼了,我要用各種方法欺騙你,所以名字的叫法不一樣,但是帶來的危害和場景是不一樣的。所以以后關于這個事情,就應該以能達到怎樣的一個危害來定級,但是可能這是一個非常復雜的過程,也需要功力比較深厚的“白帽子”或者是“黑帽子”,把你的褲給脫了,別人說一個XSS,這是不可能的,一個XSS,光一個框怎么能把褲給脫了?我就能做到這一點,把它給證明出來。
烏迪:一個漏洞不管是什么形式,什么技術,但是能夠造成什么樣的危害,這應該是大家關注的,包括我們烏云也在看這個事情,我們認為一個漏洞對企業來講,就是如果能接觸到企業的一些用戶的數據,比如說通過漏洞可以拿到一個企業的帳號信息,能夠登記別人的帳戶,我們認為這個就是一個非常嚴重的漏洞。
最近也發生了一些技術上的事情,比如訪問iCloud、雅虎和微軟,國內在訪問的時候證書被替換了,什么原因我們就不深究了。我們開玩笑的說,前一段時間美國有很多明星出了艷照,現在中國iCloud出了問題,中國的明星會不會也出現這種問題,中國人這么喜歡自拍。我們問一個技術的問題,在座的幾位你們關注了哪些安全的事件?你們覺得比較有意思能夠跟大家分享一下的是什么?
郭勇生:安全事件其實無時無刻都在發生,但是有興趣,很好玩就不太好說了,因為每一個安全事件背后都是一個血淋淋的教訓,都是一個很憂傷的故事。據我了解,上個月有一家公司,他是做外貿生意的。他是和境外的一些人去做生意,他們在付款的時候就出了問題,他付款的時候帳號是被一個黑客篡改過的,所以說他們100萬美元的一筆款就直接打到了一個陌生的帳上,這樣就是人財兩失,貨沒有收到,錢就打到了別的帳上。其實他們這就是一個非常明顯的安全問題,黑客無論是控制了他還是控制了對方,然后通過一個簡單的劫持就讓他造成這么大的損失。這只是一個事件,這樣的事件并不是很好玩,危害是很大的。
與此同時,相關的技術還是很多的,比如說有些劫單,就是他們做黑產的一種。比如說你電腦上被種了一個惡意的軟件,這個軟件,當你在淘寶上買東西的時候,你要買一瓶礦泉水,你點的時候,這個礦泉水并不是你真正點的那個鏈接,而是指向了黑客讓你去買的那個鏈接。你每買這一瓶礦泉水,有一個叫淘寶客的東西,他都會從中去抽取你20%的費用,這個錢雖然你沒有出,但是那些商家在出。剛才我說的外貿的那個劫單跟這個是類似的,只不過他做得更大,更明顯。這種事件,不管是從公司還是從個人,都應該注意,注意,再注意,常改密碼,少拍照片,少拍那些與工作無關的照片。
于旸:最近漏洞方面還是出了不少很有意思的漏洞,尤其是今年,應該說很少有一年時間在不同的類型上,不同的平臺上一下子出這么多有意思的漏洞,漏洞屬于年年都有。我說一個別的事情,最近半年開始出現的一種欺詐模式,因為以前釣魚和欺詐主要是廣撒網,給你發這種釣魚短信,說“你好,我是房東某某某,這是我愛人的銀行卡號,這個月房租請打到這個上面”,每個人都收到過這種短信。以前也就是這么干,廣撒網,釣個房租錢。最近半年左右的時間,有一個團伙在釣大魚,有目標的,黑產領域的APT,他會先盯這個人很長時間,把他摸清楚,然后把你的關系,就是你的社交帳號的上下關系摸清楚,你是什么人,當然肯定要摸得很清楚,他們專門挑老板下手。
我有一個朋友就遇到了這件事情,他就是一個當老板的。對方很精確的知道他的動向,他在出國的時候,因為出國之后可能跟國內的通訊沒有那么方便了。就在他剛出國的時候,就有人冒充他聯系他的會計,說我現在需要用錢,需要幾十萬,你給我這個帳號打幾十萬。包括聊的事情,說話的語氣都是在模仿他。當然他還好,他這個會計因為某些原因,最后這個轉帳沒有轉成功,他沒有上當。但是據我所知,上當的人非常之多。為什么呢?因為他已經把你的關系都摸透了,他說出來的話完全就像是真實的人物在說話,而不像是一個廣撒網的這種。所以這種欺騙性非常大,而且你想你就是一個會計,公司大老板給你的直接命令。我們面臨的形勢每天都在變,像類似這種事情,包括我剛才說的那種惡意欺詐短信,我知道每一家做終端安全的廠商也都在想辦法處理,像這種新的情況,可能大家也在想辦法。我想說的就是,這種對抗的形式隨著人類社會信息化不斷的發展,對抗的形式會越來越復雜。
余弦:我有一個比較有意思的案例,這個案例不需要任何的漏洞,因為這個案例是我親自實施的,給大家分享一下怎么搞定。
接著TK的話題,這個案例實際上本質上是利用了信任,包括他的朋友圈之類的。這個案例當時老外有一個叫法,叫做“邪惡雙胞胎”,最近微信也在傳播,說別人加你好友之后,把你的頭像和昵稱改得跟你一模一樣,利用你這個頭像跟另外的好友聊天,這個很難防御。實際上2008年的時候,我做了一次實踐,當時人人網比較火,我當時還沒有畢業,快畢業了,學校有一個女生長得挺好看的,但是沒有她人人網的權限,用漏洞的話也是有,當時比較傻,把漏洞都提交給人人網了。所以當時緊急情況下沒有怎么辦?有一個好辦法,因為這個女生她的好友關系是公開的,其他資料都隱藏,包括相冊、個人日志,關系是公開的,這個好處就來了。她還有另外一個社交網站,叫做朋友網,就是騰訊的,她那個更加透明。我看了她的一些相關的行為,包括她發的一些日志,說的一些話,大概知道她的一些愛好。知道她其中的一個好友,這個好友既存在于她的人人網,也存在于朋友網。有幾個是她一個班級的,有一個不在人人網上面的。我就把其中有一個,也是一個女的頭像拉下來,重新注冊一個人人網,用了這個頭像,還有她的ID,包括她自己在朋友網上的簽名、日志這些風格,比如她很喜歡發一個文字,喜歡用什么“啦”之類的。我照著她的習慣,在人人網上同樣注冊了一個帳號,于是給這個女生發了一個消息說,我終于開通人人網了,加我。過了兩天之后她真的加了,這個時候是不是所有的東西都可以看了?這個時候她的相冊、日志全部都可以看了。這個過程實際上就是,我通過這個成功的案例讓我知道一點,就是互聯網上那一頭跟你聊天的,他說不定是一只狗,不是一個人,你根本不知道那個人到底是誰。
最近比較有意思的是,這個人終于懷疑上來了,因為我把這個案例寫到我的書里面了,她非常巧的是看到我的書了,她說我的頭像怎么在你書上?后來加我為好友,我把整個過程給她解釋了一下,就沒什么了,因為之前做這個事情沒有公布開。我想給大家說的就是,最近大家包括自己的朋友和同學都應該提醒一下,現在跟你聊天的這個人,有可能他不是一個人,一定要非常謹慎。一旦涉及到任何的關于好友向你要什么通訊錄,向你要什么別人的手機號、QQ號,甚至是跟財產有關系的,一定要再度確認一下。所以說很多人加我微信的時候還挺麻煩的,我要反復問好幾個問題,你是誰,在什么場景下跟我見過面等等,直到確認了之后,我才會加。有的時候不好意思,有的人都請求了好幾次,我可以先通過他,然后禁止他看我的朋友圈,等我確認完了之后才開放。他們應該具備這樣的意識,就是默認不信任,就是這樣。
烏迪:這個分享是非常有價值的。剛才余弦提到的一點我很有感受,我們以前做過一個實驗,我們身邊一個“白帽子”做了這樣一個實驗,他在QQ上隨便找到一個人,當時他有些大數據,能知道這些人的關系鏈,然后去加他。加完好友以后,他說他是他一個失散多年的中學同學,就跟他聊天,他能夠聊出來咱們班有誰誰,因為在QQ上能查得到,包括電話,他都聊這些東西。最后聊了幾個星期,那個陌生的QQ的好友一直把他當做他的一個中學同學,但是其實他們一直是不認識的。后來當我這個朋友告訴對方,說我就是在網上找到你,我就這么加你,那個人還不信,說你是不是在跟我開玩笑?我覺得這種例子其實是挺恐怖的。
剛才冷風和余弦也給大家提了一些建議,因為今天時間有限,我們最后再做一些補充。今天來的有媒體,也有一些普通的用戶,對于大家在日常的上網各個方面,能不能有一些建議?能夠讓大家更安全一些?冷風能不能再做一些補充?
郭勇生:其實我覺得咱們作為普通用戶,常改密碼還是有必要的。因為現在在座的各位,肯定都是接觸互聯網的,京東、淘寶、人人、QQ,其實很多的數據庫已經被拖過了。根據一個常理,每個人的常用密碼是不可能超過10個的,比如說今天的密碼是12345,明天讓你換,你可能換成45678,但是后天又讓你換,你肯定又換回來12345。所以說,這個密碼基本上都是一致的,如果別人拿到你其他方面的密碼,來猜你這個密碼是很好猜的。而且現在大家也知道,網上的社工庫非常多,拿到你一個帳號,就能得到你所有的密碼。這樣的話,基本上是防不勝防。最后回去以后自己想一個密碼,徹底換一遍,我覺得這個還是有必要的。這是一個比較簡單,也比較容易實施的。其他的就是多注意,不認識的人少聊,就是這樣。
于旸:密碼是個比較重要的東西,而且也是每個人都可以簡單做的事。我再接著冷風的提議給大家一個小建議,你們可以試試用一些集中的密碼管理軟件,就是無論是PC還是手機上,其實都有類似的東西。這樣的話,你可以給每一個網站都設不同的密碼,而且這個密碼可以無比復雜,你自己都記不住,你也不需要記住。為什么呢?因為你只需要記住這個密碼管理軟件的一個密碼就可以了,它幫你管理所有的那些密碼。這一個密碼你可以稍微設得復雜一些,你記住它,但是只需要記住這一個,我覺得這是一個相對比較好的策略。
剛才說到“邪惡雙胞胎”,這種事情我的經驗是這樣,就是說首先你通過任何方式來跟我認識,如果不是面對面的交流,有中間人介紹的話,通過這個網絡聯系過來,那我一定要通過其他的信道來確認這個人的身份。比如說我用了微信之后,以前的那些朋友通過微信上找過來,說我是誰誰誰,那我一定會打個電話問一下,現在微信上有一個ID是什么的人,他是不是你?然后他說是的,那我再加,我是這么做的。
余弦:大家應該達成一個共識了,安全的本質就是信任。所以在我看來,這個解決方案有太多種了,實際上今天我們很難說得完。我在網絡上也發表過一篇文章,大概提了20多點,現在讓我說的話我都背不下來,我寫完就寫完了,然后發出去了。但是萬變不離其宗,就是任何一個物體過來,你不要信任,再三的警惕,哪怕是你的父母,所以這是一個非常殘酷的事。包括以后科技發達了,甚至中間人介紹跟我認識,我都不一定會信任,萬一他易容呢?現在大家都會笑,以后生物技術越來越發達的時候,說不定5年以后我就搞這個事情去了。大家知道未來肯定是越來越想像不到的,所以我覺得,任何時候都要保持一顆非常警惕的心,安全意識為先。其次就是看到很多別人訴訟的經驗,能夠記下來就記下來,告訴你身邊的朋友、親人、愛人,因為有時候黑客搞你不一定是從這里開始搞起的,你信任你的老婆,那從你的老婆開始搞,就是這樣一個關系。所以說最終的情況下,除了你,你都不用信任任何人了,這是非常殘酷的,當然這句話千萬不要跟你老婆說。
烏迪:今天我們這個圓桌對話就到這里,謝謝幾位的分享,也謝謝各位聽眾。
