中国人隐私安全重要吗?网络战爆发咋办?女子黑客天团、白色产业链是什么……浅黑科技图解这届补天大会(2018)
2018/3/29 13:06:52 浅黑科技

     盼望着,盼望着,东风来了,春天的脚步近了,我从北京的办公室到上海了。

     不过,既没去园子里打两个滚,也没去田野里踢几脚球,赛几趟跑。作为一个网络安全科技媒体作者,我参加了一个很有意思的黑客大会

     鲁迅先生曾说要做个心灵美,善于观察生活的人。于是我在会场门口发挥了一下观察能力:

    

     换个展位,继续观察生活:

    

     ……

     ……

     ……

    

     这天,我花了一整天时间在黑客大会观察生活,搜罗到不少有意思的点,在此分享给大家。

     或许你以前已经看过各种游记,但你多半没看过一次黑客大会游记,下面请跟随我的视角,走进补天白帽大会

     Let’s Rock !

     中国,世界第一人口大国,我在补天白帽大会的现场深深感受到这一点:

    

     据说补天白帽是亚太地区目前规模最大、参与白帽子(善意黑客)数量最多,影响力最广的白帽大会。

     影响力和规模我没法评估,反正人是真的多

     这让我想起去年在深圳参加补天白帽大会2017时,同样是陷入人群无法自拔。

    

     (那时的幺哥还是青涩模样,那一幕恰好被会议官方的摄像师拍了下来,照片挂在补天平台官网的“往期回顾”里)

     事实上,前一天晚上我就去会场考察过,当时会场里是这样的,我寻思怎么也能有个座位:

    

     可是当我第二天来到会场,已经变成另一幅模样。

     9点之后大会已经开场,参会者依然犹如滔滔江水连绵不绝。没有身高优势的我被埋没在人群中,恨不得飞上天和太阳肩并肩。

    

     (此刻座无虚席人山人海这种形容词都是多余)

    

     我悄悄猫到会场前面,发现补天平台的现任掌门人白健坐在最前面,只见他身着黑衣,上书15个大字:

     HACK FOR SECURITY

     (为了安全!)

    

     Hack for Security , 这句话既代表着白帽子黑客的核心精神,也是这届大会的主题。

     黑客,本是个中性词,代表拥有高超技艺,追求突破的人。

     但是后来,有人利用黑客技术作恶,让“黑客”这个词逐渐被污化,从此让寻常老百姓联想到一些黑暗、邪恶和破坏。

     有黑就有白,同样拥有高超安全技术的黑客并不想同流合污,他们希望做些真正有价值的事,帮助人们消除网络安全威胁,于是他们有了一些新的称呼:白帽子、道德黑客(ethical hackers)、正派黑客……

     这些年,补天平台一直想做黑客版的滴滴打车,试图连接白帽子和企业,形成一个“白色产业链”,继而和“黑色产业链”做对抗。

     它的逻辑是这样的:

     - 民间白帽子帮企业发现安全漏洞,获得报酬和尊重;

     - 企业花不多的钱就能获得较高水准的网络安全服务;

     - 我们这群吃瓜群众的隐私、数据、财产因此变得更安全;

     三赢,人人献出一点爱,世界变成美好的人间。

     当然,这一切有个大前提:企业需要承认漏洞的价值,情愿为白帽子的劳动成果付费。

     “漏洞是有价值的,并且价值越来越凸显。如果每个企业都愿意为自己的漏洞付费,就能鼓励那些站在十字路口的技术高超的年轻人走上正道,进入「白色产业链」而非「黑色产业链」。”

     这话不是我说的,是台上这个人说的:

    

    360企业安全集团董事长齐向东

     齐向东说,今年是补天的第五年,5年来,平台已经有4万多个白帽子,入驻两千多家企业,修复了超过 25 万个安全漏洞。

     这个数字听起来很夸张吗?

     事实上,补天平台的这种“白色产业链”模式在国外已经相当成熟

     “美国有个叫 HackerOne 的类似平台曾发动民间白帽子帮美国国防部找安全漏洞,结果找出59种黑掉五角大楼的方法。他们还帮助美国的征兵网站、现役军人的数据库做安全评估,效果很好。”

     除了美国本土公司之外,加拿大最大的电商平台、欧洲最大的保险公司也是 HackerOne 的客户。

     齐向东说。

     讲到这我必须说个小秘密:全球知名的成人网站 Pornhub、YouPorn 也是 HackerOne 的客户,并且漏洞悬赏金不低!(别问我是怎么知道的)

     为了说明漏洞的重要性,会上请了个很厉害的网警大哥,讲了几段惊悚情节:

    

    (听说头衔很长的人都厉害,他的称呼真的很长:国家网络与信息安全信息通报中心、公安部网络安全保卫局副处长 张秀东)

     他说,近几年他们通过各种专项行动打掉不少网络犯罪团伙

     “有个黑客,一人就入侵网站一万多家,窃取公民个人信息10亿条,非法获利20万。”(没错,这多数据就卖了20万,这人的良心比较廉价)

     “另一个团伙,入侵多个省的疾控中心相关信息系统,窃取大量婴幼儿信息,获利60万

     “还有一个,通过漏洞窃取某航空公司内部网络,窃取航班信息40万条,非法牟利600万。”

     网警们查了这么些案件后,发现一个共同点

     几乎目前所有的网络违法犯罪基本上都是从发现漏洞,利用漏洞开始的,

     也就是说,如果这些漏洞能先让白帽子发现,就能及时消除安全隐患。

     好在,白帽子确实一直在帮助公安部门通报漏洞。

     张秀东说:“2016年开始,公安厅从补天平台的数据接口收到白帽子报送的漏洞超过23000个,其中13000多个属于国家的重要信息系统和政府网站的高危漏洞。公安部门接到报送第一时间通知各个部位部委,重要企业和政府单位,开始协同处理,消除了很多重大安全隐患。”

     采访间里,一群记者开始刁难老齐:

     “既然白帽子这么厉害,如果真的爆发网络战,白帽子会担当什么样的角色?

     面对这样一个脑洞题,老齐大概是这么回答的:

    

     “在网络安全方面,美国确实走在我们前面。他们很早组建了网军,据说有133 个支队,相当于中国的“连”,其中大概 1/3 是现役军人,1/3是网络安全公司的人,还有1/3,就是民间的白帽子。

     传统的士兵,一两年训练差不多就能扛枪作战;网络战不是,网络战需要真正的高手技术,不可能一两年就能训练出来。但是,你又不可能抓壮丁,让白帽子都去参军,所以,军民融合一定会成为趋势

     战时,士兵也需要走出兵营去保护民用关键基础设施,比如医院、电网、之类的。士兵不可能对所有设备的计算机系统和流程了如指掌,这时需要这些单位的信息安全部门、IT部门来协助,这就更要军民融合。平时就是民,战争时就是军,军民融合也是唯一的出路。

     小时候我总被灌输军民亲,鱼水情的精神,万万没想到这种精神居然在网络时代再次得到发扬,一想想我胸前的红领巾就更加鲜艳了。

    

     现场记者VS老齐第二轮

     “前阵子百度CEO李彦宏谈到中国人对隐私安全的态度,你怎么看这个问题?”

     齐向东:

     虽然中国的网络隐私泄露情况确实比国外更严重,但是,中国人的隐私和外国人同样重要!

     还记得去年被电话诈骗的那个清华大学教授吗?你说是清华教授的智商不够高?据我所知,当时骗子把冒充公检法”,把受害者的信息,什么身份证、购物信息、家庭住址一股脑全说出来,当即唬住了清华教授。

     清华教师刚卖了房子,骗子就布下了针对性陷阱。

     电话诈骗为什么能做得那么逼真,因为他们拿到了你的个人隐私信息

     除此之外,大部分人的账号密码和密保,多多少少跟你的隐私有关联,比如生日、宠物的名字、出生地、喜好等等,而网络犯罪分子通过这些看似不太关键的信息,就能利用社工数据库的方式“猜”出你的密码和密保答案,继而盗取账号。

     回看这些问题的根源,我们会发现都是隐私泄露,我们能不重视吗?

     ---

     回到会场外,人们已经三五成群的聊起了天,像个酒会。

    

     一般来说,技术大会进行到一大半,外面势必会站满人。一来因为大家平常都很忙,开会是个不错的社交场景,可以联络联络老朋友。

     二来,里头演讲者一旦讲起什么漏洞挖掘干货,一大半是真的听不太懂了。技术人的圈子有句古语说的好:Talk is cheap , show me the code. 意思是,屁话少说,放码过来。

     补天白帽大会毕竟是个技术气质的会议,进行到一半就已变成这样:

    

     想了解补天当天议题的可以点文末“阅读原文”查看,这里就不赘述,涵盖了系统破解、脚本利用、人工智能安全、区块链安全等方方面面。如果有想了解的议题可以在文末留言,我可以单写一篇。

     临近中午,补天颁发了五周年最具价值白帽奖(MVP),据说还颁发了个冠军戒指。

    

     这几个白帽子据我所知,每年靠挖漏洞就能挣几十万,(同时还有很多大公司想挖他们去上班)

     但是我也知道,白帽子们为企业和网民挽回的价值远远超出这个数,或许是数十倍,或许数百倍。所以我觉得有必要介绍一下他们的名字:

     a0

     Adrian

     hckmaple

     Carry_your

     System_gov

     --

     --

     --

     --

     --

     (按ID字符数排名)

     目前我国在网络安全这块有巨大的人才缺口,为了培养更多网安人才,补天平台跟一些学校、机构合作推出了一个人才培养计划。大意就是提供技术、法律两方面的培训和引导。

     同时,对于那些有创业意向的,还联合政府启动一些创业计划。

    

     一个有趣的分会场

     补天白帽大会有好几个分会场,我去了其中一个 DEF CON GROUP 010 黑客沙龙分会场:

    

     这个分会场是个技术氛围很浓,是全球顶尖黑客盛会 DEF CON 旗下的沙龙活动,我曾经采访过它的发起人李均(参考:《黑客李均歪传》)

     他们有很多前沿、有意思的动手环节,非常建议每个黑客技术感兴趣的同学都去看一看,活动是免费的。

     去年他请了身体里植入多个芯片的生物黑客(去年写过,参见:专访生物黑客 Patrick:作死一定程度就成了技术信仰》),今年区块链和数字货币火热,他又请了酷神钱包和慢雾科技的人来探讨区块链安全技术,可谓诚意满满。

     不过建议大家去的话最好提前去占座,否则可能出现这种情况:

    

     关于里面的活动,我曾经写过一篇调侃这个活动的文章,有兴趣可以看看,再次就不赘述:《一个叫“闹心均”的人搞了个乱来的黑客沙龙,他会被360开除吗?》

     ----

     就在会议接近尾声时,我认识了一个小姐姐。

     传说中的“台湾女子黑客天团 HITCON GIRLS "的联合创始人,Turkey

    

    (左一是Turkey,HITCON GIRLS 共同创办人,台湾骇客协会 HITCON 秘书长;右一是补天平台的小姐姐)

     HITCON GIRLS 是一群热爱信息安全的姑娘们建立的组织,她们会定期举办活动,甚至还有自己的官方网站。

    

     (简直有点羡慕后排的男教练们)

     她们的官网是这么写的:

     “我们是一群以女性为主的探险队,正努力探索资讯安全这个世界。”

    

     我和她发生了以下对话。

     (以下T代表Turkey)

     我:你有男朋友吗?

     T:有哦。

     我:……

     我:他是骇客(黑客)吗?

     T:对呀,是他把我带到资安(信息安全)这个领域的。

     一开始我在一个资安的活动当小门神,负责给参会的人指路,派礼物,后来在男友和前辈的指导下就开始接触资安……

     我:为什么参加补天大会?

     T:以前经常打CTF,认识了360的一些朋友,然后360也是 HitCon的赞助商之一,所以关系蛮好的,就邀请过来做演讲。

     我:台湾那边有类似补天白帽平台的漏洞响应平台吗?

     T:有啊,叫 ZeroDay,是我们做的。

     我:你平时除了技术之外还有喜欢玩什么吗?比如游戏

     T:有啊,譬如绝地求森。

     我:吃鸡?我也爱玩,有空可以一起开黑

     T:开黑?是森麽?

     我:就是……组队

     ……

     ……

     ……

     事实上,我跟 Turkey 聊了挺长时间, 不过限于篇幅,这里就不展开讲她的故事了,如果大家有兴趣,可以留言,之后单独开一篇。我也借机再和Turkey 聊一聊,嘻嘻。

     尾声

     补天白帽大会 2018 虽然落幕了,但是平台上的白帽子依然还在继续活跃………据我所知,补天平台目前已经完全不盈利甚至倒贴钱在做。他们或许出于公益,或许是出于其他商业目的,但这并不重要。客观来讲,补天平台已经对我国整体网络安全形势产生了不可磨灭的影响,也为整个行业锻炼出了不少安全人才,未来我希望他们越办越好。

     配合音乐一起食用风味更佳:

     -为我们的友谊干杯-

     -为安全干杯-

     -2019补天大会再约-

    

     再介绍一下我自己吧,我是谢幺,一个好奇的科技宅作者,目前主要关注网络安全和好玩的黑科技。想听到更多有意思的事可以加我微信:dexter0 或者关注我的知乎 @谢幺

     不想走丢的话,请关注公众号浅黑科技:qinaheikeji

     浅黑科技,让技术被读懂

    

    

    http://weixin.100md.com
返回 浅黑科技 返回首页 返回百拇医药