·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

“白帽子”止介:当你凝视深渊的时候,深渊也在凝视你

2024-11-1 11:18| 发布者: 左右不逢缘| 查看: 87093| 评论: 0

摘要: 办理一张停车卡的工夫,止介就可以发现三个安全风险——可以通过近距离读卡器将贴在落满灰尘车玻璃上的停车卡信息读出,复制到新卡上。也可以破解出卡信息来自己签发新卡。早期车牌识别系统采用OCR且未做校验,也可 ...
“白帽子”止介:当你凝视深渊的时候,深渊也在凝视你9605 作者: 来源: 发布时间:2024-11-1 11:18

办理一张停车卡的工夫,止介就可以发现三个安全风险——可以通过近距离读卡器将贴在落满灰尘车玻璃上的停车卡信息读出,复制到新卡上。也可以破解出卡信息来自己签发新卡。早期车牌识别系统采用OCR且未做校验,也可能存在漏洞,尝试将车牌上的一个字符替换为引号,在查询数据库时将会出现异常,程序异常后横杆就会自动抬起。
在止介眼中,世界充满了漏洞。
黑客帝国描述的未来,某种意义上正在逐步成为现实:蔓延至无所不在的网络,试图把现代生活织成严丝阖密的整体,而异常背后的漏洞,就像一个个洞开的门,让止介和同类自由穿行。规则无从禁锢,法律难奈他何。
起初,他们有个共同的名字,黑客。随后,基于最基本的善恶选择,他们中的一些人,主动站到了破坏的对立面,与昔日同伴用技术交锋,争抢先机。
一样都还是发现漏洞,但一旦有所收获,双方就走上了截然不同甚至针锋相对的两条路——黑客用漏洞作恶,以此牟利或仅仅是满足个人的恶趣味;而他们则解决安全问题,选择第一时间提醒厂家,修补漏洞保护大众信息安全。

止介,美丽联合安全工程师,就是这群被称作白帽子的人中的一个。

“白帽子”止介:当你凝视深渊的时候,深渊也在凝视你7833 作者: 来源: 发布时间:2024-11-1 11:18

文 | 人物LIVE(ID:renwulive)
网络保安的日常
5月13日,警钟在全球范围内此起彼伏响起——一种名WannaCry (直译为“想哭”)的“蠕虫式”勒索病毒软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险0day(在系统商知晓并发布相关补丁前就被掌握或者公开的漏洞信息)漏洞“EternalBlue”(永恒之蓝)进行传播,100多个国家和地区超过10万台电脑遭到了攻击,造成损失逾80亿元。仅在中国,就有三万家机构被攻陷,其中包括了国有银行和政府机构。
就在危机大规模暴发的5月12日,止介就通过安全风险情报系统得知,风暴正在酝酿。他和同事们第一时间做出了反应,通过黑盒扫描系统排查出公司里受影响的Windows服务器并迅速做好了防护。
这就是美丽联合集团安全部门的日常工作的一部分,用止介的话说,“网络上的保安”。
黑T恤、黑裤子、黑球鞋,再戴一只黑色Apple Watch,看上去比25岁老成得多的他,已是这支成员多为九零后的「网络保安」队的小队长。
这帮年轻人都是技术的爱好者,他们中有安全专业的科班出身,也有通过自学钻研信息安全,无论哪种,都是对安全有着极大的兴趣。
现在,他们最主要的工作,就是发现和修复集团各层面的漏洞并进行系统化的防御。
为此,他们一步一步在各个方向布局了对应的安全产品,代码安全上开发了自己的白盒代码安全审计系统(Cobra),主机和应用安全上开发了黑盒漏洞扫描系统(Eagle),服务器层面也有对应的监控与防御系统(Wolverine),利用安全风险情报系统(Dylan)来提前获知一些新型风险和漏洞,应用攻击防御系统(Gaea)来抵抗一些0day,也建立了自己的漏洞平台(MLSRC)来接收外部白帽子提交的漏洞,为开发工程师提供集成修复组件(Begis)来快速修复漏洞以及提供更加安全的堡垒机(Turtle),经常进行攻防演练,模拟白帽子和黑客来渗透、攻击自己,在渗透测试中发现新的漏洞和风险。
渗透测试就是白帽子的模拟攻击、如果说系统是一栋房子,白帽子和黑客挖漏洞的方式都是尝试攻击,找到墙壁最薄的地方并尝试突破进来,穿过通风管道或者翻越围墙。黑客进来后就会进行破坏,锁定重要文件来勒索或盗取敏感数据。白帽子则点到为止,记下自己进入的路径,上报给屋主人。
这样的渗透测试,止介已经独立做了三年。从2014年入职蘑菇街开始,公司还没有专门的安全岗位,止介是无线端后端工程师。自学掌握的黑客技术让他自发为公司挖漏洞。在休息时间,止介在自家的系统中做测试,找到了很多漏洞,并且顺带手,把他们都一一修复了。
直到蘑菇街越做越大,对安全的需求越加强烈,止介参与组建了安全团队。新来的团队成员继续着止介的工作,「有个新人问我,怎么找到的漏洞,都是你发现和修补过的?」
白与黑,以及灰

“白帽子”止介:当你凝视深渊的时候,深渊也在凝视你4222 作者: 来源: 发布时间:2024-11-1 11:18

电影《黑客帝国》流行,上初中的止介就像所有男生一样,心中升腾一个黑客梦。网络游戏打烦了,止介就开始研究网上的黑客技术,倒也掌握了一些皮毛,比如用免杀灰鸽子来控制其他人电脑。
因为「不务正业」,成绩一落千丈,这让他将更多时间投入在黑客技术上面了。待到毕业,止介已经掌握了不少黑客和开发技能,无奈整个互联网圈子尚还没有安全行业。于是,止介找了一份开发的工作。
白帽子黑客这个隐藏副本,止介却一直在打。
2013年,在当时汇聚白帽子最多的某著名漏洞提交平台,止介提交了自己的第一个0day,利用这个漏洞,黑客可以随意进入并控制这个系统,而这个系统被大量知名上市公司所使用。
在这个漏洞提交平台上,一个0day或漏洞被提交后,厂家会收到提示,就可以有的放矢地对漏洞进行修补,并主动向提交漏洞的白帽子提供奖励。
白帽子的圈子不大,粗略估计全国范围内活跃的也不过几千人,原本都聚集在某家漏洞提交平台上。平台会根据漏洞提交的数量和质量对白帽子进行排行。这个排行就是白帽子中的英雄榜。排名第一的白帽子ID是猪猪侠,就是安全圈内的大神。
止介也会经常去该平台提交漏洞,但由于工作原因未投入过多精力,曾经有段时间专门去刷榜为了验证自己开发的扫描工具,10天排名前进了10页。在止介看来,大部分的漏洞都不值得专门去人肉找,都是可以自动化发现。止介已经能够「坐着收漏洞」,他根据不同种类的漏洞,写了各种自动化漏洞发现的程序。只花了几个晚上的时间,就节省了接下来绝大部分体力劳动。每天,这些漏洞挖掘程序都会把挖掘到的漏洞发送到止介邮箱,这几十封邮件中,也总有几封邮件打上了红标,那就是高危漏洞。比如一家互联网公司的代码泄露,黑客可以根据这个漏洞打入公司系统内部。遇到这样的高危漏洞,止介就会提交给对方公司。
顶尖的白帽子黑客,多是将自己想法转换为程序来完成基础工作,并进一步挖掘高危漏洞,获得漏洞出现方的主动奖励。
纯洁的白帽子最主要的收入来源,就是这块奖励。但中国互联网的安全意识,远远落后于美国,奖励大小全看公司对安全技术的重视和认识水平。止介曾经发布过一家注册用户超过5亿人的平台的一个漏洞,如果那个漏洞不及时修复的话,黑客可以自由进入后台,随意更改用户的粉丝数量。这在漏洞提交平台上被认为是一个高危漏洞,当事公司也的确把它评定为高危漏洞,并且迅速做了修补。奖品也很快寄到止介手上— —两个大眼睛公仔——这在圈子里会被认为:白帽子的贡献只有这么一点价值。
不少大公司,对安全技术的重视水平也远远不够。在中国,最优秀的职业白帽子,年收入也不过百万。这与黑客技术水平不成正比。
事实上,白帽子想要来钱是很容易的。白帽子除了可以找到各类互联网产品漏洞,对于传统企业或组织,比如通讯、电力、银行、政府也面临同样风险。「以前打败一个国家可能需要一支军队,现在可能只需要派出一支网络安全工程师队伍。」在网络上,止介们就是拥有超能力的超级英雄。
超级英雄黑化的故事并非没有,圈子里偶尔会有某个「网络公司」的一帮安全工程师,都开着超跑的传说。代价或许只是,白帽变黑。
而更多的冷酷现实,则比非黑即白要复杂无数。
2016 年,业界曾发生过一起充满争议的事件:一名白帽子为证明漏洞高危,而读取了一部分用户信息,最终厂商报警,白帽子被捕,震动行业。在同情的同时,止介却认同是白帽子过界了,随之而来的是深深的自省,「这是一个理想化的群体,没有限制,但是,也缺乏保障。」
凝视深渊的守护者
「我的目标是,没有漏洞。」身为白帽子,止介有安全工程师都有的质朴期望。
但他也明白,只要有程序员在写代码,就会有漏洞,就会有黑产灰产,行侠仗义的白帽子就不会消失。击鼓传花,他们不是敲鼓的人。
而黑客们拥有的能力太强了,即便是BAT这样的大公司,任何一个高危漏洞都有可能成为阿喀琉斯之踵,让它轰然倒地。
行业至今仍在很初级的起步阶段。国内高校从2015开始,才将计算信息安全作为一级学科。如今,优秀的白帽子会被企业邀请加入安全部门,但在止介看来,这依然只是从0到1的过程。
攻防的不对等,几乎是道天堑。安全部门负责防守,安全工程师要做的,是补齐系统的所有短板。要补的短板成千上万,而黑客,只需找到水桶一块短板。
抗争的唯一法门,就是抢在前面。
这样的赛跑,一直发生在法律的模糊地带。在中国的法律和标准中,至今也没有出现白帽子的确切定义。而他们用模拟攻击的方式挖掘漏洞,技术上与黑客攻击无异,一不留神,就会陷入法律漩涡。
止介们甚至还要潜入敌人内部,与灰产「合作」。他们混进黑产的微信群了解对手,甚至购买灰产服务来进行攻防演练。
即便如此,白帽子们也不可能针对黑客进行正面打击,对手们可以轻易躲在法外之地。「黑客有无数的办法抹掉自己在网络上的踪迹,」止介说:「所以网络安全法对真正的黑客来说是无效的。」
就像蝙蝠侠总在思考,自己与邪恶的斗争,到底存不存在合法性。这也正是「止介」这个名字的由来:介,通界。止界,对一名白帽子来说,就是知止,守住界限。
“当你凝视深渊的时候,深渊也在凝视你。”







上一篇:2020Web前端高薪攻略.pdf
下一篇:csdn付费资源玩法,第三期来了!

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.227.0.21,GMT+8, 2025-1-1 07:36 , Processed in 0.225721 second(s), 43 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部