誰來挑戰無良黑客

陳慶春

白帽黑客、知道創宇總裁趙偉，13歲開始熱愛計算機，1997年還在上大學的時候便開始在外面兼職做安全工作，2006年左右開始做反流氓軟件，他的一個“戰友”董海平還獲得過2008年“3·15”晚會授予反流氓軟件英雄的稱號，而最近一次讓他出名事件則是在一次創業大賽上挑戰周鴻祎，讓周恨不得對他動粗。

趙偉很喜歡愛因斯坦的一句話，“這個世界危險的不是那些邪惡的人，而是那些無動于衷的人。”奇虎360的安全報告稱，目前國內約83%的網站存在各種安全漏洞，其中34%為高危漏洞。趨勢科技的監測結果是，90%以上的網站存在安全漏洞。

2011年12月28日，一個名為“冰封刺客”的用戶向烏云發布平臺提交了“網易部分郵箱密碼泄露”報告，其中涉及被泄露的密碼賬號達千萬量級。但網易方面并沒有給予重視。烏云平臺創建人劍心說，他已經看過很多類似的事件了，“中國很多互聯網企業在面對白帽黑客發布的信息漏洞時，常常選擇否認，仿佛這是公關人員的工作，而不是安全人員的工作。”

企業：在信息安全上多投入一些

當CSDN信息泄露事件發生之后，大家都在忙什么？CSDN創始人蔣濤在微博中這樣說：“1)某上市公司忙著造假庫往外扔，栽贓其他公司，想擺脫被曝明文庫的證據；2）有網站通知所有用戶改密碼，乘機激活用戶 ；3）還有網站把這些公開庫的數據直接導入自己用戶庫，也發通知給用戶改密碼 4）釣魚的，垃圾郵件的都活躍起來了。”

人們在事件中看到的仍然是“商機”而不是“危機”。京東商城是此次事件中的另一個主角兒，據其內部人士說，“去年有過幾次賬號泄露的事情，也提醒了我們要有專門的安全人員去維護，現在我們已經有十幾個人在做安全。”

“那是不是以前沒有安全人員？”我問，對方只是支吾著回答：“以前不太重視。”但即便現在重視，安全人員也只是掛在運維部門之下。按照楊勇對中國信息安全發展歷程的介紹，2003年左右大型互聯網公司都將安全人員掛在運維部門之下，但現在基本都成立了單獨的安全部門。京東商城目前已是第一大中國自營B2C，擁有員工2萬名，在網絡安全上似乎應該投入更多一些。

CSDN又是如何處理這起安全事件的呢？蔣濤說，事發后“第一時間做了1)聯系下載源禁止下載；2)公開道歉；3）重置密碼通知相關用戶； 4）聯系郵件服務商發送郵件通知（量太大請求他們支持）； 5）向公安機關報警，協助調查； 6）聯系安全公司對CSDN全站系統進行審計，查補漏洞。” 杭州安恒技術有限公司總裁范淵也證實了，CSDN確實在第一時間聯系了他們，當天夜里安恒工作人員便與CSDN運維人員一起協同工作，包括圣誕夜都還在機房。但是，除了這些之外，CSDN似乎應該盡快地建立起自己的安全團隊。

“先有商業再建安全，在安全的危機中先照顧商機。”這是大多數互聯網企業尤其是電子商務企業的運營法則。范淵稱，電子商務企業為了盡快上業務，大多都是讓第三方寫代碼，所有漏洞都大同小異，很不安全。而且，企業要控制成本的地方太多了，更何況中國電子商務企業尚且還沒有大面積盈利的趨勢，又如何讓它們先去花大筆的錢投資到深不見底的安全上面呢？在企業界流行著這樣一句話：“說起來重要，做起來次要，沒錢的時候砍掉。”

專門為物流公司提供云服務的匯通天下總裁翟學魂，春節后便向客戶提出了漲價30%～50%的要求，原因是為了提高安全性能，“以前是2個服務器現在要變成10個服務器。”翟學魂感觸良多，“安全要做好，成本不是成倍的增加，而是幾倍的增加。”

現階段是互聯網安全的建設初期，需要大投入，也是安全最脆弱的時期。楊勇說，經歷過一系列的信息泄露和其他安全事件的洗禮，國內互聯網公司逐漸開始重視起安全來。“一個最明顯的例子便是，從獵頭嘴里得知安全人才的工資漲了，以前是一二十萬元的年薪，現在普遍升為30~60萬元。”但是，安全并非一朝一夕、一蹴而就的事情。“那些有著豐富經驗的安全人才，大多數在大公司里已經找到了自己的位置，不愿再跳槽了。”

互聯網上沒有國界，黑客們可以在全球呼風喚雨。那么國外的互聯網企業如何確保自己信息安全呢？

黑色方陣

劍心很欣賞奇虎360干的事情，“他幫我們每個PC終端查殺木馬，等于是終結了病毒黑色產業鏈，所以這群人才不得不去干數據交易的事情。”在病毒黑色產業鏈之后，一條數據交易的黑色產業鏈逐漸形成了。

在這次CSDN密碼泄露事件中，屢次提到“明文密碼”的概念。意思是，用戶的密碼沒有加密保管，黑客入侵數據庫之后，不用實施什么手法便可對密碼一覽無遺。但即使是加密過的密碼，對黑客來說又有多大的難度呢？

目前的密碼數據庫均是通過哈希函數的方式進行加密，存儲的數據是用戶密碼的哈希值。但是哈希函數并非萬無一失，兩個不同的密碼可能哈希值會一樣，這種情況被成為“碰撞”，而這正是黑客用來竊取數據庫獲得信息的途徑。安全專家稱，現在哈希函數都是公開的，除非自己設計一個很好的能夠避免出現“碰撞”的哈希算法，否則現有的大眾哈希函數都可以通過“碰撞”的方式進行破解。

即便設計出了碰撞幾率低的算法，但黑客手中掌握了大量的碰撞庫，這些都是常用密碼所對應的哈希值，一旦有密碼數據庫泄露，黑客就會比對其中的哈希值與手中的碰撞庫，如果匹配成功，就能找到用戶的原始密碼。也就是黑客圈幾乎人手一份的彩虹表，即一龐大的、針對各種可能的字母組合預先計算好的哈希值的集合，有了它可以快速破解各類密碼。越是復雜的密碼，需要的彩虹表就越大，現在主流的彩虹表都是100G以上。

黑客們技藝的增進，也與專業分工有關。自從360斷了病毒黑色產業鏈之后，這幾年數據交易的黑色產業鏈卻日臻成熟。有人負責發掘漏洞，有人負責根據漏洞開發制作入侵工具，有人負責銷售入侵工具，有人負責刷庫，有人負責洗庫，有人負責銷售，還有人利用數據庫釣魚、詐騙、發送垃圾郵件等。術業有專攻，必然就產生了每個環節的專家。

據一位黑客介紹，專門負責挖漏洞的都是技術高手，但可能對漏洞開發利用工具一竅不通。不過，說到底漏洞作為這條產業鏈的上游（核心產業環節），一直都炙手可熱。一個0DAY漏洞（沒公布的漏洞）能換50個普通漏洞，拿去賣市價可能有幾十萬元，傳言說還有一些女黑客為了騙0DAY漏洞情愿跟人上床。

獲得漏洞之后便要去刷庫。刷庫分4個過程：第一是否能進得來；第二個是就算進得來，但能否看得見；第三是就算看得見核心數據，但能否拿得走；最后一步是就算能偷取整個數據庫，但最終能否解得開。隨著技術的進步，刷庫倒變成了沒有多少技術含量的活計。

這個產業鏈直接產生價值的環節是洗庫，其中又分好幾層：第一次“洗”是先對虛擬幣等信息進行剝離，例如支付寶和QQ等，拿到用戶的賬號后就會進入賬戶嘗試，如果有虛擬金錢就會轉走，或將QQ號倒賣；第二次“洗”是對于個人信息的收集，有些賬戶可能包括個人信息內容，這些會賣給那些需要的人；第三次“洗”是關聯手機號的信息，賣給轉發垃圾短信的，這樣一層層“洗”下去直到沒有價值為止。

據中國最早的黑客組織綠色兵團創始人、現COG信息安全組織創建人龔蔚介紹，“刷庫和洗庫的分工很明確，洗庫的人不會去刷卡，而且有專人負責對于各類不同賬號的嘗試，例如有人擅長操作QQ等。”這條黑色產業鏈的分工已經細到令人咂舌的地步。趙偉開玩笑地說，如果沒有這條黑色產業鏈，哪兒有中國游戲產業的飛速發展？“黑客可以把國外游戲網站的源代碼整個的搞到手，再賣給國內做游戲的，一套源代碼要價都在幾百萬美元，一個黑客每天進賬4萬元人民幣，是正常的事情。”

在驚嘆黑客產業鏈強大之余，不禁也感到后怕：從發現漏洞到被“洗”到沒有價值像扔垃圾一樣扔出來，這中間是需要時間的。所以，安全人員一致認為，此次CSDN密碼泄露其實已經是兩年前的事情了，而在這兩年間我們的數據信息可能被“洗”、被利用了多次。