《大西洋月刊》報道稱，網(wǎng)絡(luò)安全專家基斯·洛克（Chris Rock）是個非比尋常的“殺手”。在今年的世界黑客大會DEFCON上，洛克展示了黑客如何通過醫(yī)生的信息系統(tǒng)生成一個真正的“死亡”證書，這樣，想讓誰死，誰就能死。而黑客背后的動機，也許就是為了復(fù)仇，或者是想竊取人壽保險利益等等。

洛克從去年開始調(diào)查這些黑客，當(dāng)時墨爾本醫(yī)院錯誤地發(fā)行了200張死亡證明。而入侵醫(yī)療系統(tǒng)信息系統(tǒng)不僅能讓人死，也能讓人生——洛克也揭露了黑客能夠偽造出生證明，造出一個虛假嬰兒的漏洞。犯罪黑客為他們申請社會保障號、工作，申請結(jié)婚等等。洛克的演示意味著，黑客有了下一代的身份盜竊技術(shù)，能夠產(chǎn)生新類型的洗錢和保險欺詐行為。

在黑客世界中，基斯·洛克（Chris Rock）是著名的“白帽子”——有道德正義感的正面黑客，主要負責(zé)識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。幫助單位組織在被其他人（例如黑帽子）利用之前來修補漏洞。近年來，隨著各類公司都要聘請像洛克這樣的白帽子來對網(wǎng)絡(luò)犯罪進行防御，白帽子的身價也越來越高。

但是，要與老練、狡詐的黑帽子作斗爭，白帽子黑客產(chǎn)業(yè)還有很長的路要走。

黑客暗戰(zhàn)如此艱難，其實不是技術(shù)的原因

美國國家情報局今年早些時候公布的一份報告顯示，網(wǎng)絡(luò)犯罪是全球安全的頭號威脅，嚴重于恐怖襲擊和大規(guī)模殺傷性武器。報告指出：“2014年，惡意的網(wǎng)絡(luò)活動規(guī)模和次數(shù)都在增長，比如企業(yè)數(shù)據(jù)被盜、個人身份信息被盜（PII）等等?！睋?jù)統(tǒng)計，去年大約有10億個身份數(shù)據(jù)被盜用。

普華永道全球及美國網(wǎng)絡(luò)安全主管大衛(wèi)·伯格（David Burg）表示，公共數(shù)據(jù)泄露——像Ashley Madison被拖庫、索尼黑客事件等等——而這只是黑客犯罪活動的前奏。這些數(shù)據(jù)的盜用涉及身份信息盜用、偽造信息套現(xiàn)信用卡等等，或者許多未曾公開過的經(jīng)濟間諜輸出本應(yīng)被保密的健康信息等等?！熬W(wǎng)絡(luò)攻擊行為背后都蘊藏著巨大的商業(yè)鏈。分分鐘涉及全球中數(shù)億萬美元的財富轉(zhuǎn)移?！?/p>

在回應(yīng)網(wǎng)絡(luò)攻擊的需要之下，一些大公司已經(jīng)增加了安全防御的資金投入。根據(jù)PwC的報告，在過去的兩年中，美國公司在網(wǎng)絡(luò)安全方面的預(yù)算已經(jīng)平均提高至信息技術(shù)投入預(yù)算的兩倍之多。一些公司聘請像洛克一樣的外部信息安全專家來承擔(dān)對其軟件系統(tǒng)進行滲透性測試的工作——像黑客攻擊那樣，攻擊自己的系統(tǒng)來發(fā)現(xiàn)漏洞。另外部分公司是推出Bug Bounty項目來懸賞漏洞。

這些項目也有可能是內(nèi)部運行——比如谷歌，該公司自2010年起就建立起自家的Bug Bounty系統(tǒng)，對每個漏洞懸賞2萬美元——又或者外包給HackerOne和BugCrowd一類的獨立公司。

HackerOne首席技術(shù)官（CTO）、Facebook產(chǎn)品安全團隊組建人亞歷克斯·萊斯（Alex Rice）表示，HackerOne的全球網(wǎng)絡(luò)中，大約包括2000名付黑客，他們大多數(shù)都有一份正經(jīng)的全職工作，黑客只是兼職項目。Synack主要為客戶提供訂閱系統(tǒng)防御方案，該公司CEO卡普蘭（Jay Kaplan）稱，旗下的黑客基礎(chǔ)遍布35個國家，部分將白帽子作為副業(yè)，而另一部分則完全依靠白帽子事業(yè)來養(yǎng)活自己，尤其是在中國、印度、東歐等欠發(fā)達的地方?？ㄆ仗m透露，支付給白帽子的報酬很大程度上有項目性質(zhì)確定?！笆袃r由該項目的覆蓋范圍和對組織的影響力大小來決定?！?/p>

然而在許多情況下，許多白帽子其實難以維持生計。克利夫特·里戈（Clifford Trigo）一名來自菲律賓保和市的22歲全職白帽子，2014年加入HackerOne。他的收入主要依靠Bug Bounty項目懸賞和測試演示，不過，Bug Bounty的機會并不多。一般來說，里戈幾個月才會找到一個價值幾千美元的bug?！叭绻行碌腷ug-bounty下來，我通?？梢詫⑺?dāng)作一筆大收獲了，”里戈說道。但更多的是，“你也可以做上幾個小時的研究，然后拿到50至100美元的報酬?！崩锔瓯硎?，他認識好一些白帽子黑客，為了增補收入不惜去參加一些骯臟的活動，比如利用自己的技術(shù)來獲取人們的信用卡信息。

既然能防御，也就能攻擊

這些“灰帽子”黑客暴露了科技行業(yè)的窘境：防御所需要的技術(shù)，與攻擊所用的相同。洛克指出，白帽子也會從事黑帽子性質(zhì)的行動，而且這樣的情況還有可能繼續(xù)擴展。“許多公司聲稱不會雇用黑帽子，但大多數(shù)情況他們還是會這么做?！?/p>

前美國國安局反恐分析師卡普蘭對此并不同意。“Synack對所有的候選研究人員都采取周密的面試和背景調(diào)查?！?/p>

大衛(wèi)·伯格則認為，聘用白帽子的的好處要大于風(fēng)險?！霸敢饨邮苈┒磁挪榈慕M織和第三方獨立機構(gòu)的研究員都有能力把控網(wǎng)絡(luò)威脅?！倍?，未來政府組織仍會有相關(guān)政策和行動支持白帽子黑客產(chǎn)業(yè)的發(fā)展，比如10月剛通過參議院審議的法案，呼吁了聯(lián)邦政府降低網(wǎng)絡(luò)安全威脅情報機密度，讓私營企業(yè)能夠獲得更多的信息。

via Atlantic

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。