黑客是好是坏?兼而有之:他们让Windows更安全,从公司免受攻击中赚钱,甚至被政府雇佣。 提到“黑客”,在绝大多数人的心目中或多或少有着相同的印象――毋庸置疑,他们对电脑兴趣浓厚,一般情况下,他们的房间光线不佳,显示器和键盘杂乱堆放。此外,黑客大多戴着镜片极厚的眼镜,留着油乎乎的长发,手上夹着一支香烟,从事着看似非法的工作。 确实,黑客们的很多生活同电影中的常见画面如出一辙。他们定会出现在烟雾迷漫的黑暗房间里,登录一些敏感网络,或者控制僵尸网络。然而,如果对黑客的描述仅限于此,就难以得出完整和正确的概念。目前,更多的黑客已逐渐归入主流,不再是亚文化的一部分。他们中的很多人都拥有两张名片,一张写明“黑客”,在某些场合使用,在非正式渠道开展工作;另外一张注明“IT安全顾问”,与新的客户联系。 黑客的共同之处在于:他们能够发现软件和网络服务中的薄弱环节。一旦发现漏洞,黑客们便会各行其道――有些黑客会与厂商联络,分享他们的重大“发现”;有些则从漏洞中赚钱谋利;也有少数成员会将漏洞信息卖给类似ZDI(零日计划,Zero Day Initiative)或iDefense等合法机构或组织,这些信息也会再次被反馈给相应的厂商。更有些黑客会在论坛上发表他们的知识和技术,以期获得广泛认可。而那些真正心存邪念的黑客会与犯罪分子联系,并将安全漏洞卖给出价最高的人,多数情况下,这类黑客往往能出现在媒体的头条新闻上。 黑客用户:骇客、帽子 起初,“黑客”是技术爱好者的代名词,是指那些喜欢摆弄编程、链接,进而研究使用系统的人。上世纪六、七十年代,他们的关注目标是电话系统,后来转为大型计算机系统。随着互联网的出现,他们的注意力又转向网络。这些技术专家自认为是技术领域的“罗宾汉”,靠自己的知识和技能赚钱。 但也有些道德低下,谙熟技术的人开始把他们的专业知识用在攻击他人上,一个新名词应运而生:骇客。 上世纪八十年代,那些删除个人电脑游戏复制保护的人也被称作是“骇客”。后来,这些原本无害的黑客们在概念上与其他那些地下同行们渐行渐远。 然而在互联网时代,“骇客”一词又有了新的解释和表述:白帽、灰帽和黑帽。帽子说法源自早前的牛仔电影,影片中的恶人通常头戴黑色帽子,贵族骑手多戴白色帽子,而西部英雄常戴灰色帽子。直至今日,“白帽黑客”一词仍有人使用。网络应用加速专业公司Akamai的IT安全负责人Joshua Corman等专家认为,应当更加精准地区别黑客。Corman打算将幕后操盘手重新分类:如“守法且良性”和“守法但可恶”,“好意但造成损害”和“恶意且造成损害”。像LulzSec和Anonymous等黑客组织就属于后者,他们经常入侵索尼PlayStation网络。目前黑客的性质已经很难用界限明显的“白-灰-黑帽”来为其行为分类。 黑客有益:IT业的信息员 众多的IT公司因黑客获益,当然他们只做与白帽黑客有关的事情。黑客们会向制造商通报其产品的缺陷。例如,微软已从倍受黑客垂青的目标变成安全领域令人尊敬的信息发布者。微软也不再回避遍布全球的技术怪才。微软安全策略部经理Sarah Blankinship表示:“起初我们的座佑铭是:与他们水火不容。黑客是常被我们忽视的独特对手。”但现在情况则大不相同,她带领少量员工同全球黑客社区中最聪明的人保持联系,并在“黑帽黑客”安全会议期间为专家举行聚会。目前,几乎微软产品中的每一个漏洞,公司都能从安全方面的研讨活动中得到信息反馈。然而,微软并不向信息提供者支付费用,因为担心会被高额敲诈。 一位始终与微软同甘共苦的白帽黑客,名叫Dan Kaminsky 。这位总是身穿自己喜欢的主题T恤的32岁美国黑客,作为安全顾问也是明星黑客圈的成员,他会与黑客精英们开展合作。早在产品正式销售之前,Kaminsky就对新版Windows源代码进行了安全测试。Kaminsky因揭露DNS(域名解析系统)的设计概念中存有致命弱点而声名鹊起,他认为安全合作十分必要:“当我们让公司自行承担风险,掩盖已发现的漏洞,那么其他人不可能从中获得任何东西。” 基于上述,Kaminsky将自己的工作视作互联网自由斗争的一种形式,他表示:“如果 IT产品不断给财务带来损失,立法者迟早会介入其中”。政府出手完全管控互联网世界,这对黑客而言简直无法想象。 黑客知识:财富或是荣誉? 事实上,黑客与IT精英之间的合作与生俱来,他们之间堪称“互利伙伴”。德国人Felix Lindner表示:“情况并不那么简单,但有时候相互间早已习惯。”当然IT公司要首先学会看明白黑客的提示,就像微软公司一位经理时常提及的轶事:2005年,黑客社区出现一则提示,但许多大型软件公司的内部工作人员并未完全搞懂它的意思。很快,该提示就被人遗忘了。不久后,恶意软件Zotob袭击了全球的个人电脑,并给某些公司造成了严重的财务损失。Zotob利用了先前曾被黑客明确指出的安全漏洞。自此事件之后,微软公司会更加彻底地检测每一则提示,甚至包含个别带有汉字的安全提示。 并不是所有的黑客都能像思想高尚的专家一样,将信息直接通报给微软公司――并在微软的安全月报中作为漏洞提示者被提及。许多安全专家提供的都是有偿服务。事实上,黑客们如何处理发现的安全漏洞才是问题的关键。德国黑客Halvar Flake认为,漏洞发现者只要遵守现行法律,应该有权自行决定他(她)是否放弃、出售还是特许授权他(她)的知识给其他人。 法国VUPEN公司总经理Chaouki Bekrar对此问题表述得更加直接。他曾公开指责想要获取信息但又不愿付费的厂商:“越来越多的安全专家不愿同相关厂商分享他们的知识。我们对此并不感到奇怪。更令人震惊的是,公司每年花在商务安全检查、代码分析和模拟工具方面的费用高达数百万美元。与此对等,尽管从事安全研究人员花费等量的工作预先发现未知漏洞,他们却不愿向其支付一分钱。”VUPEN公司主要依靠发现硬件和软件安全漏洞,并将其卖给相关制造商维系经营。著名的漏洞发现者Charlie Miller,因对苹果应用商店进行应用程序恶意操控而一举成名,他认为应从另一个角度思考:“漏洞发现者是要抵御黑市上10万美元单价的诱惑,还是以1万美元将信息卖给政府?不知如何使用漏洞信息?互联网安全不能仅靠一位17岁的白俄罗斯青年做出道义上的正确决定。” 黑客劳动定额:每周一个漏洞 来自中国的漏洞挖掘者吴石年仅17岁。他以跟踪查找软件漏洞为生,迄今为止已发现100多个漏洞,主要集中在浏览器方面,例如苹果Safari、Google Chrome和IE等。仅2010年,他发现的苹果Lion操作系统的漏洞超过50个,Safari浏览器的漏洞有35个漏洞。他将自己的发现结果卖给了ZDI,他说:“只要制造商肯付费,我愿意同他们直接合作。如果不肯,我会将这些漏洞卖给像ZDI和iDefense等较为严肃的机构。”他发现一个漏洞,平均需要一周的时间,平均费用约3000美元。吴石说:“其实收入并不高,因为Google只愿为每个漏洞支付500美元。” 他补充道:“对制造商而言,向白帽黑客支付费用要比解决循环攻击网上漏洞的花费便宜。此外,收到漏洞款项后,研究人员不会去敲诈制造商。”这位家住上海的查漏专业人士并不打算将信息卖给从事犯罪活动的Online-Underground等组织:“我对目前已得的回报感到满意,不会卷入那些冒险的事情。” 黑客的工作收入多少取决多重因素。首先要看他是合法赚钱,还是将其知识卖给罪犯。后者获利虽多,但风险更大。IT专家最终都会终止与有组织的犯罪团伙或恐怖组织合作。 据包括ZDI机构的Dan Holden在内的专家们估计,从事地下交易的黑帽黑客每提供一个大众化漏洞收费10万美元。Holden的客户虽向其购买漏洞信息,但都完全合法。ZDI隶属于惠普,该机构致力于将所获信息用于提高自身产品的安全性能。随后,它还将信息免费提供给相关的制造商,并以此缩小技术差距。 黑客价格:无特殊优惠 漏洞的存在非常普遍,特别是像Adobe Reader、IE和 Windows等广为使用的产品更是如此。漏洞在非法市场的交易价一般在5~10万美元之间。Holden 指出:“费用高低主要取决于攻击目标。有时候,被发现的漏洞只适合于蠕虫攻击。但也有时候,则适合用于进行钓鱼式网络攻击。”安全策略师Rob Rachwald在接受FAZ Online采访时曾表示:“据估计,包括漏洞、非法攻击和黑客工具在内的整个安全市场的市值约为2.5亿美元。” 如此庞大经济诱惑,但愿白帽黑客能继续不为脏钱所惑,不向地下组织提供信息,同时希望IT制造商们能够提前向黑客们支付相应费用,以在他们的帮助下营造更加安全的网络。
黑客是好是坏?兼而有之:他们让Windows更安全,从公司免受攻击中赚钱,甚至被政府雇佣。 提到“黑客”,在绝大多数人的心目中或多或少有着相同的印象――毋庸置疑,他们对电脑兴趣浓厚,一般情况下,他们的房间光线不佳,显示器和键盘杂乱堆放。此外,黑客大多戴着镜片极厚的眼镜,留着油乎乎的长发,手上夹着一支香烟,从事着看似非法的工作。 确实,黑客们的很多生活同电影中的常见画面如出一辙。他们定会出现在烟雾迷漫的黑暗房间里,登录一些敏感网络,或者控制僵尸网络。然而,如果对黑客的描述仅限于此,就难以得出完整和正确的概念。目前,更多的黑客已逐渐归入主流,不再是亚文化的一部分。他们中的很多人都拥有两张名片,一张写明“黑客”,在某些场合使用,在非正式渠道开展工作;另外一张注明“IT安全顾问”,与新的客户联系。 黑客的共同之处在于:他们能够发现软件和网络服务中的薄弱环节。一旦发现漏洞,黑客们便会各行其道――有些黑客会与厂商联络,分享他们的重大“发现”;有些则从漏洞中赚钱谋利;也有少数成员会将漏洞信息卖给类似ZDI(零日计划,Zero Day Initiative)或iDefense等合法机构或组织,这些信息也会再次被反馈给相应的厂商。更有些黑客会在论坛上发表他们的知识和技术,以期获得广泛认可。而那些真正心存邪念的黑客会与犯罪分子联系,并将安全漏洞卖给出价最高的人,多数情况下,这类黑客往往能出现在媒体的头条新闻上。 黑客用户:骇客、帽子 起初,“黑客”是技术爱好者的代名词,是指那些喜欢摆弄编程、链接,进而研究使用系统的人。上世纪六、七十年代,他们的关注目标是电话系统,后来转为大型计算机系统。随着互联网的出现,他们的注意力又转向网络。这些技术专家自认为是技术领域的“罗宾汉”,靠自己的知识和技能赚钱。 但也有些道德低下,谙熟技术的人开始把他们的专业知识用在攻击他人上,一个新名词应运而生:骇客。 上世纪八十年代,那些删除个人电脑游戏复制保护的人也被称作是“骇客”。后来,这些原本无害的黑客们在概念上与其他那些地下同行们渐行渐远。 然而在互联网时代,“骇客”一词又有了新的解释和表述:白帽、灰帽和黑帽。帽子说法源自早前的牛仔电影,影片中的恶人通常头戴黑色帽子,贵族骑手多戴白色帽子,而西部英雄常戴灰色帽子。直至今日,“白帽黑客”一词仍有人使用。网络应用加速专业公司Akamai的IT安全负责人Joshua Corman等专家认为,应当更加精准地区别黑客。Corman打算将幕后操盘手重新分类:如“守法且良性”和“守法但可恶”,“好意但造成损害”和“恶意且造成损害”。像LulzSec和Anonymous等黑客组织就属于后者,他们经常入侵索尼PlayStation网络。目前黑客的性质已经很难用界限明显的“白-灰-黑帽”来为其行为分类。 黑客有益:IT业的信息员 众多的IT公司因黑客获益,当然他们只做与白帽黑客有关的事情。黑客们会向制造商通报其产品的缺陷。例如,微软已从倍受黑客垂青的目标变成安全领域令人尊敬的信息发布者。微软也不再回避遍布全球的技术怪才。微软安全策略部经理Sarah Blankinship表示:“起初我们的座佑铭是:与他们水火不容。黑客是常被我们忽视的独特对手。”但现在情况则大不相同,她带领少量员工同全球黑客社区中最聪明的人保持联系,并在“黑帽黑客”安全会议期间为专家举行聚会。目前,几乎微软产品中的每一个漏洞,公司都能从安全方面的研讨活动中得到信息反馈。然而,微软并不向信息提供者支付费用,因为担心会被高额敲诈。 一位始终与微软同甘共苦的白帽黑客,名叫Dan Kaminsky 。这位总是身穿自己喜欢的主题T恤的32岁美国黑客,作为安全顾问也是明星黑客圈的成员,他会与黑客精英们开展合作。早在产品正式销售之前,Kaminsky就对新版Windows源代码进行了安全测试。Kaminsky因揭露DNS(域名解析系统)的设计概念中存有致命弱点而声名鹊起,他认为安全合作十分必要:“当我们让公司自行承担风险,掩盖已发现的漏洞,那么其他人不可能从中获得任何东西。” 基于上述,Kaminsky将自己的工作视作互联网自由斗争的一种形式,他表示:“如果 IT产品不断给财务带来损失,立法者迟早会介入其中”。政府出手完全管控互联网世界,这对黑客而言简直无法想象。 黑客知识:财富或是荣誉? 事实上,黑客与IT精英之间的合作与生俱来,他们之间堪称“互利伙伴”。德国人Felix Lindner表示:“情况并不那么简单,但有时候相互间早已习惯。”当然IT公司要首先学会看明白黑客的提示,就像微软公司一位经理时常提及的轶事:2005年,黑客社区出现一则提示,但许多大型软件公司的内部工作人员并未完全搞懂它的意思。很快,该提示就被人遗忘了。不久后,恶意软件Zotob袭击了全球的个人电脑,并给某些公司造成了严重的财务损失。Zotob利用了先前曾被黑客明确指出的安全漏洞。自此事件之后,微软公司会更加彻底地检测每一则提示,甚至包含个别带有汉字的安全提示。 并不是所有的黑客都能像思想高尚的专家一样,将信息直接通报给微软公司――并在微软的安全月报中作为漏洞提示者被提及。许多安全专家提供的都是有偿服务。事实上,黑客们如何处理发现的安全漏洞才是问题的关键。德国黑客Halvar Flake认为,漏洞发现者只要遵守现行法律,应该有权自行决定他(她)是否放弃、出售还是特许授权他(她)的知识给其他人。 法国VUPEN公司总经理Chaouki Bekrar对此问题表述得更加直接。他曾公开指责想要获取信息但又不愿付费的厂商:“越来越多的安全专家不愿同相关厂商分享他们的知识。我们对此并不感到奇怪。更令人震惊的是,公司每年花在商务安全检查、代码分析和模拟工具方面的费用高达数百万美元。与此对等,尽管从事安全研究人员花费等量的工作预先发现未知漏洞,他们却不愿向其支付一分钱。”VUPEN公司主要依靠发现硬件和软件安全漏洞,并将其卖给相关制造商维系经营。著名的漏洞发现者Charlie Miller,因对苹果应用商店进行应用程序恶意操控而一举成名,他认为应从另一个角度思考:“漏洞发现者是要抵御黑市上10万美元单价的诱惑,还是以1万美元将信息卖给政府?不知如何使用漏洞信息?互联网安全不能仅靠一位17岁的白俄罗斯青年做出道义上的正确决定。” 黑客劳动定额:每周一个漏洞 来自中国的漏洞挖掘者吴石年仅17岁。他以跟踪查找软件漏洞为生,迄今为止已发现100多个漏洞,主要集中在浏览器方面,例如苹果Safari、Google Chrome和IE等。仅2010年,他发现的苹果Lion操作系统的漏洞超过50个,Safari浏览器的漏洞有35个漏洞。他将自己的发现结果卖给了ZDI,他说:“只要制造商肯付费,我愿意同他们直接合作。如果不肯,我会将这些漏洞卖给像ZDI和iDefense等较为严肃的机构。”他发现一个漏洞,平均需要一周的时间,平均费用约3000美元。吴石说:“其实收入并不高,因为Google只愿为每个漏洞支付500美元。” 他补充道:“对制造商而言,向白帽黑客支付费用要比解决循环攻击网上漏洞的花费便宜。此外,收到漏洞款项后,研究人员不会去敲诈制造商。”这位家住上海的查漏专业人士并不打算将信息卖给从事犯罪活动的Online-Underground等组织:“我对目前已得的回报感到满意,不会卷入那些冒险的事情。” 黑客的工作收入多少取决多重因素。首先要看他是合法赚钱,还是将其知识卖给罪犯。后者获利虽多,但风险更大。IT专家最终都会终止与有组织的犯罪团伙或恐怖组织合作。 据包括ZDI机构的Dan Holden在内的专家们估计,从事地下交易的黑帽黑客每提供一个大众化漏洞收费10万美元。Holden的客户虽向其购买漏洞信息,但都完全合法。ZDI隶属于惠普,该机构致力于将所获信息用于提高自身产品的安全性能。随后,它还将信息免费提供给相关的制造商,并以此缩小技术差距。 黑客价格:无特殊优惠 漏洞的存在非常普遍,特别是像Adobe Reader、IE和 Windows等广为使用的产品更是如此。漏洞在非法市场的交易价一般在5~10万美元之间。Holden 指出:“费用高低主要取决于攻击目标。有时候,被发现的漏洞只适合于蠕虫攻击。但也有时候,则适合用于进行钓鱼式网络攻击。”安全策略师Rob Rachwald在接受FAZ Online采访时曾表示:“据估计,包括漏洞、非法攻击和黑客工具在内的整个安全市场的市值约为2.5亿美元。” 如此庞大经济诱惑,但愿白帽黑客能继续不为脏钱所惑,不向地下组织提供信息,同时希望IT制造商们能够提前向黑客们支付相应费用,以在他们的帮助下营造更加安全的网络。