“毒蘋果”背后：你中招了嗎？

周鳳婷

2015年9月下旬，XCodeGhost病毒事件成為國內(nèi)互聯(lián)網(wǎng)安全圈的熱議話題。而這場由各大知名網(wǎng)絡(luò)公司的程序員在不知情的情況下向蘋果用戶“投毒”的重大事故，幾乎囊括了中國互聯(lián)網(wǎng)在安全方面存在各個環(huán)節(jié)的疏漏。

國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）在官網(wǎng)發(fā)布了預(yù)警公告，被植入惡意程序的蘋果APP可以在App Store正常下載并安裝使用，惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能。這意味著感染病毒的手機(jī)隨時隨地具有被“惡意遙控”的風(fēng)險。而騰訊安全應(yīng)急響應(yīng)中心發(fā)布的報告稱，在App Store上的Top500應(yīng)用有76款被感染。保守估計，受此事影響的用戶數(shù)超過一億。

蘋果iOS系統(tǒng)一向以“封閉而安全”著稱，XCodeGhost病毒事件和2014年因為iCloud密碼泄露而引發(fā)好萊塢的明星艷照門事件似乎在表明，互聯(lián)網(wǎng)已經(jīng)沒有秘密可言;一個完全不會被攻克的系統(tǒng)，只能是神話。

一億個“毒蘋果”

9月12日，騰訊安全團(tuán)隊在一次常規(guī)的測試中發(fā)現(xiàn)異常，經(jīng)過分析和追查，團(tuán)隊基本還原了感染方式、病毒行為和影響面。

9月13日，產(chǎn)品團(tuán)隊發(fā)布了相關(guān)軟件的新版本。同時考慮到事件影響面比較廣，立即通知了國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心，該中心馬上采取了相關(guān)措施，比如在官網(wǎng)發(fā)布預(yù)警公告。

9月16日，騰訊團(tuán)隊進(jìn)一步檢測發(fā)現(xiàn)，App Store上的Top 5000應(yīng)用有76款被感染，于是向蘋果官方及大部分受影響的廠商同步了這一情況。

9月18日，嗅覺敏銳的國外安全公司Palo Alto發(fā)現(xiàn)了這個問題，并發(fā)布第一版分析報告，指出在App Store上架的網(wǎng)易云音樂v2.3.8版本已經(jīng)感染病毒。

至此，該病毒雖然入侵了超過一億臺蘋果手機(jī)，但大量普通用戶依然被蒙在鼓里。病毒曝光后，知道創(chuàng)宇安全研究團(tuán)隊發(fā)現(xiàn)，微信早前的版本同樣受感染，只是，在發(fā)現(xiàn)病毒后騰訊第一時間悄悄進(jìn)行了修復(fù)。而其他受感染的廠商在得到CNCERT的預(yù)警和騰訊的通報后，都沒有通知用戶，沒有下架產(chǎn)品，沒有更新產(chǎn)品，大家一起悄無聲息地維持著表面的平靜。

9月17日下午，烏云知識庫作者蒸米對網(wǎng)友曝出的“通過非官方渠道下載的IOS開發(fā)工具Xcode被植入惡意代碼”的內(nèi)容進(jìn)行了確認(rèn)。該病毒被命名為XCodeGhost。18日中午，烏云安全中心向業(yè)界發(fā)布了預(yù)警。

這一天，事件開始在社交網(wǎng)絡(luò)發(fā)酵。像被推倒的多米諾骨牌一樣，包括滴滴出行、12306、中國聯(lián)通手機(jī)營業(yè)廳、高德地圖、中信銀行行動卡空間等知名應(yīng)用商被先后證實感染病毒。

烏云漏洞平臺是介于廠商和安全研究人員的第三方獨立平臺，在業(yè)界以“堅持公開漏洞”著稱，曾曝光過“攜程網(wǎng)支付漏洞”“12306用戶數(shù)據(jù)泄露”等網(wǎng)絡(luò)安全漏洞，在社會上引起巨大反響。這一次，又是烏云率先捅出了這個漏洞。

多數(shù)受感染的廠商依然對此噤聲。只有網(wǎng)易云音樂等少數(shù)平臺輕描淡寫地發(fā)布官方聲明，稱“此次感染及信息皆為產(chǎn)品的系統(tǒng)信息，無法調(diào)取和泄露用戶的個人信息。目前感染制作者的服務(wù)器已經(jīng)關(guān)閉，不會再產(chǎn)生任何威脅”，試圖以此平息用戶的恐慌。

但威脅遠(yuǎn)非如此簡單。安全專家林正?。╟oolfire）分析，因為黑客通過受病毒感染的軟件能獲得的資料權(quán)限與 App的權(quán)限一樣，比如定位、照片、通訊錄，安裝越多受感染的App，用戶的個人資料泄漏得就越全面。

雖然App Store緊急下架了所有受感染應(yīng)用，但已經(jīng)被下載到手機(jī)的應(yīng)用風(fēng)險并未消除。而那些錯過了相關(guān)新聞而沒有及時刪除軟件的用戶，也許至今都用著“毒蘋果”而不自知。

蘋果有毒，源頭在于國內(nèi)互聯(lián)網(wǎng)公司開發(fā)產(chǎn)品的不規(guī)范操作。因為國內(nèi)從蘋果官方下載Xcode速度慢，部分軟件工程師直接從非官方渠道，比如各大論壇和網(wǎng)盤，尋找第三方資源而導(dǎo)致中招。

蘋果有毒，源頭在于國內(nèi)互聯(lián)網(wǎng)公司開發(fā)產(chǎn)品的不規(guī)范操作。這就相當(dāng)于黑客在河流的上游投毒，所有用此開發(fā)工具的軟件都成了小型木馬。圖/GETTY

這就相當(dāng)于黑客在河流的上游投毒，所有用此開發(fā)工具的軟件都成了小型木馬，處于下游的用戶毫無預(yù)警地集體躺槍。知名白帽黑客蔡晶晶稱，這次事件足以載入移動安全的史冊，他將黑客對蘋果開發(fā)工具感染的技巧與著名的伊朗鈾濃縮設(shè)備被蠕蟲損壞的震網(wǎng)事件相提并論。后者由于西門子工業(yè)開發(fā)集成工具WinCC中被入侵者感染了惡意代碼，使與WinCC連接的工業(yè)控制系統(tǒng)被間接感染，最后導(dǎo)致了大量伊朗核工業(yè)設(shè)備物理損壞。

一直到9月19日，騰訊安全應(yīng)急響應(yīng)中心才發(fā)布長文《你以為這就是全部了？我們來告訴你完整的XCodeGhost事件》，披露上述過程。而這么做的原因，是因為藏不住了。

可以想見，如果沒有白帽子在烏云安全平臺率先公布細(xì)節(jié)，這個影響巨大的病毒將依然被捂在企業(yè)內(nèi)部，毒蘋果將于暗處滋長，被地下黑色產(chǎn)業(yè)鏈慢慢吮吸，直至某個不可估量的損失到來。

無處不在的隱私泄露隱患

不僅僅是下載到手機(jī)的軟件，只要與互聯(lián)網(wǎng)連接，現(xiàn)實生活的隱私也可能在瞬息之間被黑客侵入而曝光于眾。網(wǎng)絡(luò)攝像頭便是其中的重災(zāi)區(qū)。根據(jù)攝像頭漏洞原理，黑客可以通過固件缺陷和漏洞獲取那些能夠由網(wǎng)絡(luò)訪問的攝像頭控制權(quán)限，達(dá)到窺探目的。而目前可以通過網(wǎng)絡(luò)訪問的攝像頭已隨處可見，它們不僅涉及到家用監(jiān)控，而且蔓延至商業(yè)場所、賭博、酒店、銀行等所有公共場所。此外，黑客還可以讓用戶在遠(yuǎn)程查看自己監(jiān)控器畫面時，永遠(yuǎn)看到的是一個靜止的畫面，而非真實現(xiàn)場環(huán)境。

9月初，一家名為“俺瞧瞧”的攝像頭視頻直播分享網(wǎng)站被媒體曝光，任何人都可以免費在線收看這些視頻。根據(jù)相關(guān)報道，僅江蘇一個省，13個市無一幸免，600多個直播點涵蓋普通人上班、吃飯、游玩、住宿等各個生活環(huán)節(jié)，而被偷窺者大都對此一無所知。

在2014年一場的安全極客嘉年華暨GeekPwn活動上，國內(nèi)著名的安全團(tuán)隊Keen Team現(xiàn)場演示了如何攻破聲稱是全美最安全汽車特斯拉的系統(tǒng)。在演示中，只要通過手機(jī)打開網(wǎng)頁，就可以遠(yuǎn)程讓一輛特斯拉打開車門、后備箱，讓正向行使的汽車突然倒車，甚至熄火失控。

2015年7月舉辦的烏云白帽子大會上，很多泄露隱私的漏洞隱患在會上被曝光。會議吸引了超過700名黑客和企業(yè)安全圈的技術(shù)人員參加，

白帽子，是近幾年新興的一個稱謂。為了和那些非法入侵謀取暴利的黑客區(qū)分開來，一部分有正義感、希望用掌握的技術(shù)維護(hù)網(wǎng)絡(luò)安全的黑客稱自己為“白帽黑客”，簡稱“白帽子”。他們的入侵行為點到為止，并主動將漏洞提交給企業(yè)，其中有信息安全愛好者，也不乏互聯(lián)網(wǎng)安全從業(yè)者。

黑客的聚會自然也是黑客顯身手的地方。黑客們要現(xiàn)場證明互聯(lián)網(wǎng)漏洞無處不在防不勝防。

入場之前，組織了就一再告誡參會者，不要隨意連接場內(nèi)不明WIFI，那有可能是黑客們設(shè)置的誘餌。會場還專門設(shè)置了一道綿羊墻來公示那些因連接WIFI而被竊取的客戶終端信息，這源于西方黑客大會的傳統(tǒng)，用來教育粗心的人們——“你很可能隨時都被監(jiān)視”。但會場外依然有不明真相的人中招，綿羊墻上其中一條被入侵手機(jī)的短信寫著，“×××，你要求的小妹已經(jīng)給你安排好了，還是在昨天晚上的套房?！币齺頃鲆黄瑲g樂的笑聲。

白帽子們在會議上現(xiàn)場演示的各類黑客技術(shù)讓人不寒而栗。入侵電腦、“黑”掉一臺手機(jī)、復(fù)制一張手機(jī)卡都是分分鐘的“小把戲”;而利用漏洞劫持一臺無人機(jī)，改變其航程和目的，在黑客的操作下也如探囊取物。

“黑客大會”，聽起來是一小撮網(wǎng)絡(luò)犯罪分子聚集起來共同搞破壞的地下組織，充滿了不安全的因素。但白帽子們公開演示這些地下黑色產(chǎn)業(yè)的前端技術(shù)，恰恰是為了讓警醒網(wǎng)民，提高對防范意識。

白帽子畢月烏在現(xiàn)場演示了如何偽造電話號碼、通過偽基站發(fā)送釣魚短信、以及讓各大企業(yè)飽受傷害的羊毛黨背后的黑手。

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報告》，2014年，我國發(fā)現(xiàn)惡意仿冒釣魚網(wǎng)站頁面數(shù)量增至93136個，較2013年增長2.1倍。

偽基站不需要通過運營商可以直接給手機(jī)發(fā)短信。用戶在接收到偽基站發(fā)送的諸如“中國移動積分兌換”的短信后，如果警惕性不高，很容易點擊短息內(nèi)的鏈接而進(jìn)入仿冒的10086官網(wǎng)，一旦輸入姓名、銀行卡和密碼這些信息后，黑客們就輕松盜取卡上的錢。在畢月烏入侵的一家釣魚網(wǎng)站后臺，赫然看到上面的紅字，“歡迎來到尖刀科技工作室，我們不生產(chǎn)人民幣，我們只是人民幣的搬運工。”

不止個人，在“互聯(lián)網(wǎng)+”金融市場崛起后，眾多企業(yè)也開始深受地下產(chǎn)業(yè)的坑害。為了吸引客戶，企業(yè)經(jīng)常舉辦一些回報非常豐厚的活動，比如注冊用戶送十塊錢代金券。“羊毛黨”便應(yīng)運而生，在一些薅羊毛網(wǎng)站專門收集發(fā)布各種注冊送禮、返現(xiàn)的“薅羊毛”信息?？粗羞@塊蛋糕而迅速團(tuán)隊作案的黑客們，利用一種名叫“貓池”的設(shè)備，他們可以一次性注冊成百上千個賬號，以此獲得返利。

白帽子Only_Guest就展示了大數(shù)據(jù)和云存儲的時代，黑客們無孔不入普通用戶無處藏身的境遇。他能入侵一個車輛查詢系統(tǒng)，隨便點擊一輛出租車，就可以知道載客的狀態(tài);他還能隨意修改租車所有的頂燈信息、并可以發(fā)送拍照的指令拍攝車上乘客，甚至讓車斷油斷電。

黑客進(jìn)攻網(wǎng)絡(luò)演變史

有人曾提出，“在中國，存在三個互聯(lián)網(wǎng)形態(tài)。一種是媒體給人灌輸?shù)幕ヂ?lián)網(wǎng)，以海外IPO為目標(biāo)的;一種是草根互聯(lián)網(wǎng)，低調(diào)掘金，卻體量不容小覷;一種是深藏地下的互聯(lián)網(wǎng)?！?/p>

在知名互聯(lián)網(wǎng)評論人闌夕看來，第三類的“地下互聯(lián)網(wǎng)”無意中直接或者間接的影響著普通網(wǎng)絡(luò)用戶的生活環(huán)境。而“黑客”則是地下互聯(lián)網(wǎng)龐大冰山里的第一座山頭。闌夕在他的文章中寫道，“毫不夸張地說，它們真正意義上左右著中國互聯(lián)網(wǎng)的某些時局?！?/p>

中國1994年才接入互聯(lián)網(wǎng)，早期黑客并非從大學(xué)孕育而生，大都是民間高手通過自學(xué)成才，他們更具有草莽氣息和江湖氣質(zhì)。

上個世紀(jì)90年代，年輕黑客們大多出于個人愛好研究計算機(jī)，他們帶著好奇心和求知欲，并熱衷于分享自己的最新研究成果。

在信息安全資料匱乏時期，臺灣黑客林正?。╟oolfire）寫的關(guān)于“黑客入門”的八篇文章幾乎是中國黑客的啟蒙教材。林正隆純粹出于興趣自學(xué)入門和分享，八篇文章每一次開頭都這樣寫道，“這不是一個教學(xué)文件，如果你能夠?qū)⑦@份文件完全看完，你就能夠知道電腦駭客們是如何入侵你的電腦， 寫這篇文章的目的是要讓大家明白電腦安全的重要性?！?/p>

雖然被尊稱為中國黑客界的一代宗師，但林正隆一直在一家電子公司工作，從未踏足安全圈，甚至他身邊的同事都不知道他早年的輝煌。但并不是所有掌握技術(shù)的人都可以不忘初心，保持純粹。

當(dāng)時計算機(jī)還是少數(shù)人的玩物，撥號上網(wǎng)費用昂貴。黑客入侵電腦的實質(zhì)意義并不大，無非是通過實踐增強(qiáng)技術(shù)，證明能力，在小圈子里博得名聲。而被攻擊的網(wǎng)站網(wǎng)頁癱瘓也不會造成太大的損失。

但幾場國家范圍的黑客大戰(zhàn)給了這群年輕黑客聲名鵲起的機(jī)會。2001年中美黑客大戰(zhàn)，黑客們使中國國旗占據(jù)美國白宮網(wǎng)站長達(dá)兩個多小時。一個名叫“綠色兵團(tuán)”的組織和他的核心成員也開始嶄露頭角，此基礎(chǔ)上建立的綠盟被后來視為黑客界的“黃埔軍?！?。

到了2002年4月，中國互聯(lián)網(wǎng)協(xié)會公告制止有組織的攻擊行為。通過政治事件尋找存在感的機(jī)會被斬斷。而彼時，“傳奇”等網(wǎng)絡(luò)游戲剛剛興起，資深的游戲賬號成為有價值的商品，各類網(wǎng)游私人服務(wù)器為了爭奪資源相互廝殺，黑客通過DDoS攻擊對方的網(wǎng)頁直至癱瘓。

DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達(dá)到使訪問的網(wǎng)絡(luò)癱瘓的目的。通俗來講，就是原本只能容納10個人的屋子，突然來了50個人，不但屋里的人動彈不得，后來者也無法再進(jìn)入。

像電影《無間道》一樣，因為價值觀的對立，黑客們開始站隊分流?！昂诳汀边@個原本略帶酷炫感的中性詞也逐漸被染黑，成為惡的代名詞，黑客被認(rèn)為是指所有入侵計算機(jī)的人，不管他們是否有精湛的技術(shù)。

資深黑客吳翰清在他2012年出版的《白帽子講Web安全》一書中，將中國黑客的發(fā)展分為三個階段：啟蒙時代、黃金時代、黑暗時代。至此，黑客圈進(jìn)入黑暗時代。黑客之間不再交流技術(shù)，漏洞成了謀利的工具，門戶型的漏洞披露站點也不再公布任何漏洞相關(guān)的技術(shù)細(xì)節(jié)。

如今，黑客們基本掌握著各類社會工程學(xué)數(shù)據(jù)庫（Social Engineering Data），簡稱社工庫。而這些數(shù)據(jù)，大都通過公開或地下售賣的方式獲得。而在Only_Guest演示的一個社工庫上，他可以通過一個車牌立刻查到車主信息、聯(lián)系方式、家庭住址等一系列資料。

數(shù)據(jù)竊取產(chǎn)業(yè)雖然隱藏得非常深，但因為發(fā)展歷史較長，地下產(chǎn)業(yè)鏈也較成熟，把數(shù)據(jù)變成貨幣，已經(jīng)有了非常完整的程序和渠道。一般只包括：拖庫、洗庫、撞庫這三個階段。

“拖庫”是指黑客入侵有價值的網(wǎng)絡(luò)站點，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，也經(jīng)常被稱作“脫褲”。在取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術(shù)手段清洗數(shù)據(jù)，并通過黑市交易把用戶數(shù)據(jù)變現(xiàn)，這通常也被稱作“洗庫”。

最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統(tǒng)一的用戶名密碼，“撞庫”可能使黑客收獲頗豐。

這意味著數(shù)據(jù)的泄露不僅危害到某一平臺，因為互聯(lián)網(wǎng)不僅共享信息、資源，也共享危機(jī)。

12306數(shù)據(jù)泄露就是典型的撞庫事件。2014年12月，白帽子在烏云官網(wǎng)爆料，12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳，其中包括用戶帳號、明文密碼、身份證、郵箱等信息。這份涉及131653條用戶數(shù)據(jù)信息在3個小時后被知道創(chuàng)宇安全研究團(tuán)隊證實，并基本確定其為黑客“撞庫攻擊”所得。

TOM sInsight團(tuán)隊通過對黑市的輿情監(jiān)控和專業(yè)網(wǎng)絡(luò)調(diào)查，對互聯(lián)網(wǎng)每年的流量排名前 100 的網(wǎng)站（除去沒有用戶賬號機(jī)制的）進(jìn)行調(diào)查，結(jié)果顯示，2014年數(shù)據(jù)泄露的網(wǎng)站達(dá)79%，是2009年38%的兩倍多。如果把挖掘盜取數(shù)據(jù)比喻成盜墓，如果沒有更好的防御機(jī)制，在云時代，互聯(lián)網(wǎng)公司的數(shù)據(jù)庫很可能“十墓九空”。

如果在一個漆黑的夜晚，沒有攝像頭，突然100萬在你面前，沒有任何監(jiān)視和旁觀者的情況下，這100萬你拿不拿？這是黑客余弦向記者提出的道德困境，這也是黑客入侵后經(jīng)常面臨的情況?！爱?dāng)犯罪成本很低的時候，人性的惡和貪婪很容易被激發(fā)出來?！庇嘞艺f。

“一臺電腦、一個網(wǎng)絡(luò)足以讓我影響世界?！边@是余弦十年前踏進(jìn)這個圈子時的想法，“黑客技術(shù)的掌握確實讓我好幾次有能力去影響世界，不過這種影響往往是破壞性的，但我希望的影響是正面的?！庇嘞以诖髮W(xué)畢業(yè)后進(jìn)入知道創(chuàng)宇，做到技術(shù)VP，這么多年來一直做與地下黑客對抗的事，包括去了解他們的模式。他說，“隨便一個比較有知名度的產(chǎn)業(yè)鏈，比如詐騙電話，背后都極其龐大的利益。我們看到的只是水面上的冰山一角，水下非常大的部分我們沒有辦法看到。水下的世界是灰色的，甚至純黑色的?！?h3>當(dāng)黑客戴上白帽子

在很長一段時間里，網(wǎng)絡(luò)安全的發(fā)展是一潭死水，一個封閉的死循環(huán)。“行業(yè)的發(fā)展很快，但企業(yè)不重視安全，好多懂安全的技術(shù)人員沒有機(jī)會進(jìn)入企業(yè)，他可能會去做有害的事情?！睘踉苿?chuàng)始人方小頓說。

2010年起，中國互聯(lián)網(wǎng)開始進(jìn)入web2.0時代。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的報告，2011年中國互聯(lián)網(wǎng)網(wǎng)民達(dá)到5.13億，擁有2.5億微博用戶，較2010年增長296.0%，社交網(wǎng)站使用率達(dá)到47.6%，網(wǎng)上支付使用率達(dá)到32.5%?；ヂ?lián)網(wǎng)開始全面介入普通人的生活，大數(shù)據(jù)因此變得有意義和價值，從而值錢。

醉心地下黑產(chǎn)的黑客們迅速發(fā)家致富，甚至招兵買馬建立團(tuán)隊，成為隱形的富豪;而真正想為互聯(lián)網(wǎng)安全守門的黑客，苦于沒有業(yè)主賞識，要么在職場中變得苦悶，要么轉(zhuǎn)型做開發(fā)或者其他技術(shù)工種。

孟卓曾在新浪的安全部門工作。他感覺，做安全是一件特別沉悶的事情。就好像守城門的士兵，沒有入侵者，日復(fù)一日的補(bǔ)漏洞，付出了很多，但看不到效果。而作為技術(shù)人員，他經(jīng)常發(fā)現(xiàn)一些網(wǎng)站存在安全漏洞，“我們把資料提供給網(wǎng)站，但網(wǎng)站并不重視自己的安全?！?/p>

曾在百度負(fù)責(zé)安全團(tuán)隊的方小頓也感覺到了行業(yè)對安全的限制?！鞍俣瓤梢园寻踩笤?0分，但是它的安全為什么不能是80、90分？這就是我在公司的天花板?！?/p>

在與一個名叫80 Sec的安全組織相識后，因為有相同的理念，2010年，方小頓和孟卓成立成立烏云漏洞報告平臺，以公開、透明的原則披露網(wǎng)絡(luò)漏洞。在蒸蒸日上一派祥和的互聯(lián)網(wǎng)環(huán)境里，烏云以作為一個“攪局者”而飽受攻擊，網(wǎng)站幾次被迫關(guān)閉，甚至因為堅持不刪除某運營商的漏洞報告而被拔掉網(wǎng)線。

據(jù)孟卓回憶，2011年12月21日，由白帽子提交的“CSDN社區(qū)網(wǎng)站被入侵，近600萬用戶賬號密碼被泄露”的報告是烏云發(fā)展史上的里程碑事件。

CSDN擁有中國最大的IT技術(shù)社區(qū)，泄露的賬戶多為分布在各個互聯(lián)網(wǎng)企業(yè)的核心技術(shù)人員，因為黑客可以用“撞庫”的方式測試企業(yè)網(wǎng)絡(luò)入口的相關(guān)口令?！斑@相當(dāng)于企業(yè)的命根子丟了?！泵献空f。

在漏洞被披露的第二天，CSDN公司才向北京警方報案。經(jīng)歷40余天，輾轉(zhuǎn)10余個城市后，警方抓獲黑客曾某。曾某供認(rèn)，早在2010年4月，他就已經(jīng)利用網(wǎng)站漏洞竊取數(shù)據(jù)并公開售賣。

雖然案件破獲，但CSND漏洞事件產(chǎn)生的影響是不可逆的。就好像一片被污染的海域，雜質(zhì)雖會被稀釋但永遠(yuǎn)存在，只是不知道飄向何方。CSDN事件使烏云第一次爆發(fā)能量，但因其極強(qiáng)的余震而被關(guān)停整改。

2013年11月，烏云網(wǎng)再次曝料，一份涉及7000多萬個QQ群、12億個部分重復(fù)的QQ號的QQ群關(guān)系數(shù)據(jù)被泄露。根據(jù)QQ號，可以查詢到用戶備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個人隱私。隨后雖然騰訊稱，這一漏洞發(fā)生于2011并已及時修復(fù)。但直至漏洞曝光前，騰訊從未告知用戶泄露事件。

對于從事地下黑色產(chǎn)業(yè)鏈的黑客們來說，如果沒有“好事者”曝光，他們可以長期利用同一個漏洞入侵牟利。

而因為烏云公布的漏洞報告也是通過大量的入侵獲得的，一段時間內(nèi)，烏云也被戲稱為國內(nèi)最大的“黑客培訓(xùn)基地”。

讓白帽子欣喜的是，經(jīng)過相當(dāng)長一段時間的沉默，國家終于開始關(guān)注互聯(lián)網(wǎng)信息安全。2012年底，人大頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。2013年，斯諾登事件更是喚醒了政府的信息安全意識。2014年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。2015年6月，《中華人民共和國網(wǎng)絡(luò)安全法（草案）》審議通過，向社會征集意見。

而成立于2002年的國家互聯(lián)網(wǎng)應(yīng)急服務(wù)中心也積極發(fā)起國家信息安全漏洞共享平臺（CNVD）和中國反網(wǎng)絡(luò)病毒聯(lián)盟（ANVA），并以每周簡報的方式發(fā)布全國范圍內(nèi)的安全監(jiān)測報告。

8月，白帽子們通過烏云提交國內(nèi)知名票務(wù)網(wǎng)站大麥網(wǎng)存在安全漏洞的報告，稱600余萬用戶賬戶密碼遭到泄露。另外，根據(jù)雷鋒網(wǎng)的統(tǒng)計，在過去一年半的時間里，大麥網(wǎng)因為“不同嚴(yán)重程度”的漏洞問題已經(jīng)陸續(xù)被烏云平臺提醒41次，其中包括3次嚴(yán)重性安全漏洞問題。

歷經(jīng)五年，烏云和白帽子的堅持逐漸改變了一部分企業(yè)對“漏洞”的看法。

一開始，漏洞提交給廠商后，很有可能被“無情忽略”。如果漏洞涉及的知名度較高的公司，影響過大，公司往往會第一時間聯(lián)系烏云進(jìn)行公關(guān)，而不是讓技術(shù)部門積極予以解決。有些企業(yè)很直白：“技術(shù)無所謂，名譽(yù)上（的影響）要處理掉。”

但現(xiàn)在不同了，多數(shù)企業(yè)會主動與他們溝通。比如大麥網(wǎng)主動調(diào)查受影響的數(shù)據(jù)，發(fā)布聲明，并通知受損的用戶修改密碼，開始表達(dá)“我們很重視這個事情”的姿態(tài)。孟卓覺得，他們最初建立烏云的一部分心愿已經(jīng)達(dá)成。

但烏云和白帽子門依然面臨爭議。一個形象的比喻是，在沒有得到邀請的情況下，白帽子門擅自闖入別人的家，并告訴主人你家的門窗不安全。這種行為本身是否越界？

對此，方小頓的回應(yīng)是，如果企業(yè)通過用戶賺了錢，但卻沒有保護(hù)用戶的數(shù)據(jù)和資產(chǎn)，為何反倒去指責(zé)那些發(fā)現(xiàn)問題的人。

70萬人才缺口

截至2014年底，全國信息安全人只有6萬余。全國2500多所高校中，開設(shè)信息安全專業(yè)的僅有103所，其中博士點、碩士點不到40個，每年我國信息安全專業(yè)畢業(yè)生不足1萬人，信息安全專業(yè)人才缺口70萬。

而根據(jù)《2015年中國大學(xué)生就業(yè)報告》對2014屆畢業(yè)生畢業(yè)半年后月收入統(tǒng)計，信息安全專業(yè)已位于榜首。

信息安全前所未有地得到重視，而另一方面也意味著，信息安全形勢從未如此嚴(yán)峻過。

安全咨詢師岑義濤認(rèn)為，“互聯(lián)網(wǎng)公司其實是非常不注重安全的，尤其是在A輪或者B輪融資的時候，不管如何先讓業(yè)務(wù)上線，聚攏一批用戶，去拉風(fēng)投，然后改進(jìn)第二版再去拉一輪。他們會把所有的錢都放在擴(kuò)大辦公場所、招人、改界面、修改交互設(shè)計、完成業(yè)務(wù)上?！?/p>

互聯(lián)網(wǎng)思維強(qiáng)調(diào)快速迭代，以用戶需求為導(dǎo)向，即用戶為王、體驗為王。但體驗和安全有時候是相悖的?！氨热缯{(diào)用一個功能需要有0.5秒和0.1秒兩種設(shè)計，前者肯定比后者安全但速度慢、體驗差?！贬x濤說。

方小頓一直覺得互聯(lián)網(wǎng)行業(yè)發(fā)展太快，導(dǎo)致大家對安全的忽視。原本是要經(jīng)過深思熟慮、投入足夠的時間保證產(chǎn)品安全性的問題，一旦走得太快會容易出現(xiàn)隱患。安全始終是一件重要但不緊急的事情，但一旦兵臨城下，為時已晚。

目前，闖入“互聯(lián)網(wǎng)+”的傳統(tǒng)企業(yè)們確實面臨著兵臨城下的窘境，尤其是金融業(yè)。

根據(jù)烏云漏洞平臺的統(tǒng)計，2015年僅上半年的P2P金融行業(yè)漏洞數(shù)量累計235個，比2014年全年增長了40.7%。其中高危漏洞占了很大比例，達(dá)56.2%。P2P的迅速興起使得行業(yè)并沒有在安全上投入太多資源和精力，這些漏洞危及資金、危及客戶，一個小漏洞有可能成為公司覆滅的導(dǎo)火索。

安全架構(gòu)的建設(shè)，對中小企業(yè)來說，不僅缺錢，還缺人。暮然回首，第一代黑客中的那些曾拒絕黑產(chǎn)但又在行業(yè)內(nèi)找不到位置的技術(shù)高手，已經(jīng)黯然離開這個行業(yè);而堅持下來的第一代黑客，大都已經(jīng)被BAT等互聯(lián)網(wǎng)巨頭們歸攏。

沒有百分之一百完美的防御體系。白帽子的存在只是不斷增加了黑客的攻擊成本，攻守雙方的技術(shù)是膠著上升。僵尸、蠕蟲、木馬，DDoS攻擊，偽基站，APT攻擊，孟卓坦言，“地下黑產(chǎn)目的明確，他們對攻擊技術(shù)的探索和掌握是超過我們的?，F(xiàn)在我們在撿他們的剩?！?/p>

與云端和智能手機(jī)關(guān)聯(lián)的智能設(shè)備已成了新的安全重災(zāi)區(qū)，其中只要任何一方出問題都可能入侵到整個系統(tǒng)。而手機(jī)端和云端本就防不勝防，目前正在研究這一領(lǐng)域的技術(shù)人員王書魁告訴《中國新聞周刊》，大部分智能硬件廠商，在設(shè)計制造的時候，沒有真正周詳考慮安全性。

“我們現(xiàn)在做的研究是，只要我能知道你的設(shè)備ID，我就可以對你的設(shè)備進(jìn)行控制。有的甚至都不用知道，我只要知道你家里用這個東西，我就可以對你家里的設(shè)備進(jìn)行控制?！彼f。

安言咨詢的總經(jīng)理張耀疆2000年進(jìn)入信息安全行業(yè)，浸淫多年，見證了互聯(lián)網(wǎng)信息安全的演變。他把信息安全比作網(wǎng)絡(luò)世界的環(huán)保，“我們?yōu)榱税l(fā)展經(jīng)濟(jì)一定程度上忽略環(huán)保，積重難返?；ヂ?lián)網(wǎng)剛發(fā)展時，沒人在乎安全，好用就行，但現(xiàn)在暴露的問題已經(jīng)讓我們驚慌，如果沒有一開始未雨綢繆考慮治理，真正想改造是非常難了。”