起底
日前,乌云漏洞报告平台(以下简称“乌云”)曝12306信息泄漏,发布漏洞报告称,大量12306用户数据在互联网被疯传,包括用户账号、明文密码、身份证邮箱等。在网民大喊“裸奔”互联网的同时,也有不少人将矛头对准乌云。乌云的“白帽子(黑客中的一类,即正面黑客)”究竟和黑客有何区别,他们神秘身份的背后,真实意图是什么?
◎解读◎
“黑产暴利”如何生存
2014年12月25日,乌云发布“高危害”等级报告,称12306官方网站的用户资料大量泄漏。随后,12306官方网站在发布的声明中称:网上泄漏的用户信息系经其他网站或渠道流出。
曝光第二日,中国铁路官方微博表示此次用户泄露案件已经告破,系犯罪分子通过收集互联网某游戏网站以及其他多个网站泄漏的用户名加密码信息,尝试登录其他网站进行“撞库”,非法获取用户的其他信息。“撞库说”完全推翻了12306对“抢票软件泄露数据”的猜测。
乌云网联合创始人孟德在分析各种漏洞信息泄漏的案例时对记者直言,基础传统行业转型为互联网服务行业,发生漏洞的概率会更大。
记者了解到,“黑产暴利”产业链价值比较大的是“洗库”,即“黑客”在目标数据库导出后,将数据库信息提取分类,分类包括金融相关账户、游戏相关账户和用户真实信息。
“可以说,每个信息都是可以直接转化成钱。”“白帽子”“蒙面侠(化名)”告诉记者。
第一步,进行虚拟币等信息的剥离,例如支付宝和QQ等,拿到用户的账号后就会进入账户尝试,如果有虚拟金钱就会转走;第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人,比如销售、卖考试答案;第三次“洗”是关联手机号的信息。卖给发垃圾短信的,这样一层层“洗”下去,直到没有价值为止。
◎质疑◎
戴着“白帽子”的黑客
“苹果的联合创始人Stephen Wozniak,就是白帽子,他的黑客之旅源于盗打免费电话。”“蒙面侠”介绍,黑客并非都是黑的,那些用自己的黑客技术来做好事的叫“白帽黑客”,这点和网络安全工程师的性质有点相同,他们大多挂靠安全公司,通过检测计算机系统安全性来谋生。
不少网民在接受“白帽子”庇护的同时,也会对这个神秘群体产生质疑,“白帽子”和“黑客”的技能无差别,但是在网络安全中,两者的身份转化只是一瞬间。“蒙面侠”认为这种说法有些狭义,在网络安全中,“麻瓜”,也就是日常生活中的普通网民,也可以成为“白帽子”,只要他能发现网络安全隐患。
孟德介绍说,在乌云历史上,就有“麻瓜”在信用卡还款的过程中遇到问题——不用扣费,原有的储蓄卡就能还款成功。“他向乌云提交漏洞报告,我们在初审过程中确认漏洞,再提交给企业。这个过程中,‘麻瓜’也是‘白帽子’。”孟德说。因此,“白帽子”的技能在于发现漏洞,而非使用技术去入侵。
◎合作◎
“黑客”测试企业产品
如今,乌云已经同627家厂商达成合作,网站注册“白帽子”的有1195人,累计提交漏洞信息4万多条。未来,乌云将主营乌云众测和乌云招聘。
据了解,乌云众测最初由乌云社区的一群顶尖白帽子发起,2012年正式上线,即经验丰富的白帽子在企业的授权下,通过众包方式来提供安全测试服务。孟德告诉记者,希望网民对“白帽子”的认识不再停留在“洗白了的黑客”上,而是一群维护安全网络安全的工程师。
下一篇:网康专家解读下一代防火墙