刘权指出,中国还要发展独立自主的基础产业。“假如核心的操作系统、芯片是中国人开发的,美国要开发病毒工具会有一定难度,甚至无法预设的后门或漏洞操纵它,触发大面积灾难性网络危害。”WannaCry事件,可能会加快世界各国去美国产品的步伐。 从国家安全的角度来讲,我们使用了太多外来的技术、软件,“我们无法获得他们最深层的信息,如何保证自身的安全?”张凯表示,这两年,国家很多重要的基础设施日趋本地化,并把国内自主研发的系统,放到关系国计民生重要的部门。“我们应该两条腿走路,一条腿是利用现在的Internet,另一条是建设自己更好的网络。” 网络安全防护秘籍
WannaCry另一个名字叫“永恒之蓝”,是一种蠕虫恶意代码。北京邮电大学信息安全中心主任杨义先教授在接受《经济》记者采访时表示,如今代码已被植入到几乎所有通信、控制类设备之中,绝不再是电脑的专利。 如果说普通代码(或善意代码)是佛,那么,恶意代码就是魔。杨义先将代码的危害编成一段朗朗上口的顺口溜:“若佛能使无人驾驶汽车,在满大街自如穿梭,那魔就能让车中的你魂飞魄散,或下河,或砸锅;佛能使卫星上天,魔就能让火箭转弯;佛能让飞机自动续航,魔能让机长撞墙;佛让数控车床精准加工,魔让机器失控发疯;佛让你轻松转账,魔让你无法上网;……若佛能送你上天堂,魔就送你下地
狱,让你这辈子白忙活。”
对于如何防范恶意代码或软件,杨义先建议,不要执行任何来历不明的软件或程序。用电邮给朋友发软件时,记得叮嘱对方先查毒。在自己电脑上没有发作的病毒,也许会在朋友电脑上复活。杨义先强调,不要因为对方是你的好友,就轻易执行发过来的软件或程序,因为你无法确信对方是否安装过病毒防火墙。(感谢北京知识安全工程中心李长
红对本文的帮助)
文/本刊记者 黄芳芳 李雪娇 实习生 叶梦莹
木酢液网络安全的世界非黑即白,复杂的代码程序是他们的武器,在普通人看不到的网络空间,每天都在上演着没有硝烟的攻防大战。这个体日趋年轻化,一批90后正在成为主力,他们游走于网络边缘,甚至传言能够年入百万;他们极少在公众面前亮相,却在网络中有极强的存在感。有人为了炫技,有人为了金钱,还有一些人为了信仰。此次WannaCry事件再一次将黑客拉入人们的视野。
神龙见首不见尾的黑客
什么样的人能成为黑客?《经济》记者带着疑问加入了几个黑客技术交流,想了解黑客体,静待时机提出问题。主每天会发送公告,要求本
C over
封面 黑客必须到管理员处报到,根据每个人的擅长
领域做相关业务推荐。如果有业务需求可以管理
员咨询,未经主或者管理员认可的交易,如若被
骗与该无关。
经过一段时间的摸索,记者联系到了nerd。
他不是黑客,但懂一些黑客技术。当了解到记者想
要学习黑客技术的想法时,nerd 直言不讳地向记
木本植物的样本
者表示,“你干不了这一行,外面的工具都是骗人
的,只有程序员才做得了黑客。”nerd 还非常好
心地提醒记者,跟别人学习只是皮毛,还是要学习
专业知识。如果没有通过国家计算机等级考试,做
黑客就只是奢望,“最多就是一些黑客设计一个漏
洞网站教你攻击,玩一下而已,其实做的是忽悠骗
钱的勾当”。
nerd 加是为了黑客渠道。据他描述,里
的人只是黑客的边缘体,高级黑客自有渠道,是
不屑加入黑客聊天的。nerd 表示,高级黑客不会
轻易攻击网站,因为即使有付费也赚钱不多,还需
要承担法律风险。目前存在一种黑产业链运作是
有些黑客专门负责做免费软件并留有后门,专业术
语叫做“肉鸡”,其他黑客到“肉鸡”可以转手交易到第二级做木马病毒的人,“木马人”会利用漏洞将用户的账号信息卖给下家,层层相套。“肉鸡”还能够刷各种网络排名、攻击网站游戏服务器等。黑客:眼中只有漏洞?一个黑客组织,想攻入某机关单位的电脑系统。当他发起攻击,管理员都会娴熟地处理木马病毒。几轮下来,双方僵持不下。后来黑客发现一个有趣的漏洞——管理员是单位中唯一一个技术高超的人。于是,黑客发起了车轮大战,轮番攻击电脑系统,令管理员身心俱疲。后来,黑客组织终于攻入了该系统,因为管理员辞职了。“这次博弈已超出了技术范畴。”张凯在大学时期便痴迷于研究恶意软件,如今是北京永信至诚科技股份有限公司副总裁,他用这个故事告诉《经济》记者究竟什么是黑客。多年前,调制解调器(俗称“猫”)在拨号时就会发出“嘀嘀嘀”的声音,紧接着发出一小串尖“网络产品、服务的提供者应当为其产品、
服务持续提供安全维护;在规定或者当事人
约定的期限内,不得终止提供安全维护。”
此外,增强用户的网络安全意识,注重关键
mppt算法
信息基础设施安全保护也是《网络安全法》
锐的音频信号。一个黑客做了一个小哨子,尝试着模拟这个音频。“有一天,他终于模仿成功了,可以免费打电话了。”
张凯表示,所谓最简单的黑客思维是“我不按照你原本的设计流程去做,你的系统会怎么样”。比如,系统原本的设计是要求输入1-9的数字,但黑客会尝试输入-1或符号。如果系统发生异常,那么黑客就发现了一个有可能被利用的漏洞,或者发现某系统漏洞的一个线索。
知名黑客黑镰刀也给《经济》记者举了一个生活中的小例子。不久前,他在图书馆查询书籍时发现可以利用Ctrl+Shift键切换中英输入法,于是判断程序员没有关闭关于Ctrl和Shift键的其他快捷功能。他很快利用这个逻辑漏洞跳出了查询程序,并完全控制了图书馆的管理系统,进而发现了图书馆系统的更多缺点。身为黑客,获取信息的速度会与常人不同,他们对信息的分析速度也会比常人更快。
“我经常会收到不可理喻的求助信息。”比如,有的学生因为考试不合格而请求他帮助其修改教务系统的成绩,也有怀疑女友出轨的网友请其追查女友的通话记录等。黑镰刀表示,对于不适合打交道的人只能选择屏蔽。
守卫幸福的白帽子
“我们都属于白帽子”,香港科技大学计算安全实验室主任张川教授告诉《经济》记者,所谓白帽子是“正面黑客”,属于主动侦测系统软件的漏洞,报告给相关软件生产商,以帮助软件在被其他人利用之前进行修补。“在实验室里,我们用工具监测软件里的各种漏洞,平均每天能发现好几十个漏洞。”企业开发的软件不断更新、演化,变得更复杂,漏洞也越来越多,“但并不是每个都像WannaCry 有巨大的破坏性。”
谷歌、苹果、Facebook等大公司都会请白帽子帮忙查软件漏洞,每个漏洞会有几千美元的奖励。黑镰刀告诉记者,国内普通的渗透测试员月薪为1.2万元至1.5万元,技术稍微逊的测试员月薪也在5000元至6000元。张川向记者透露,“漏洞的价值越高,赏金越高。当然也有不满足于赏金的黑客,铤而走险到黑市贩卖高危漏洞。甚至很多政府也会高价购买漏洞,作为自己的网络武器。”
“不懂网络信息安全的人是幸福的,我们的责任就是保卫他们的幸福。”阿华是一位隐藏在黑客的影子下,却在保卫网络安全的正义之士。
阿华已过而立之年,有自己的工作,平时也会在国内最大的漏洞应急响应平台补天。在高中刚接触电脑时他就有了当白帽子的念头,但当时条件不允许,没有经过系统性的学习,直到上大学时才开始啃专业书籍,在报选研究生专业后,阿华如愿学习到了网络安全方面的知识。
让阿华记忆深刻的是2008年汶川大地震时,一个黑客篡改了红十字会捐款网站的账号,操作别人捐钱
到自己的账号。得知此事后,他非常愤怒,主动协助公安机关从福建抓回了黑客。“当时很兴奋,用自己的技能做了一件正义的事,蛮有意思。”
2014年,某市社保局的系统遭到黑客攻击,黑客利用社保系统的漏洞窃取了大量的社保数据。阿华再次协助公安部门排查这起事件。在追查的过程中,阿华发现来自一台某企业网站服务器的攻击,与该企业取得联系和授权后进行排查,发现该网站服务器已沦为黑客的“肉鸡”。在这台服务器上发现了黑客窃取的社保局数据,同时也发现了该黑客还攻击了其他社保局。阿华经过进一步分析后发现了黑客留下的后门,通过对后门的访问行为追查IP 地址,最后定位到福建某高校的一个IP地址。通过这个IP地址,和当地运营商及公安部门联合定位,锁定这个黑客,公安部门将其缉拿归案。
骇客:眼中只有金钱?
“黑客越来越不道德了”,过去不少黑客只是
为了炫技。黑客可以对被攻破的电脑做任何事情,只是其中一种。黑客变得有组织、有目的,更多的是为了经济利益。这种做坏事的黑客又被称为
“很多零日漏洞都藏在黑市里,目前看到的
途。”黑镰刀向记者透露,目前黑客体普遍年龄偏小,和很多黑客一样,黑镰刀最初也是因为兴
趣入行,想成为黑客,需要学习代码编程等内容,这种枯燥且需要长时间积累的技能很难让人有坚持学下去的毅力。在这种情况下,伪黑客很容易见缝插针,将初学者引入歧途。
伪黑客之所以吸引人,是因为他们直接利用黑客已经编好的软件进行交易,不需要自己编写代码程序,使得伪黑客的工作更容易让人产生成就感,再加上伪黑客组织会给被诱导者加上一些无用的头
很多网络安全公司的创始团队都是“黑客”。他们精通各种编程语言、操作系统、网络通信技术和网络攻防技术的高手。北京卫达科技有限公司总裁张长河告诉《经济》记者,目前黑客行业要一分
物联网(IoT)产品生态系统图
移动
设备
云硬件环保防尘网
网络
数据
创办人史蒂夫·乔布斯、斯蒂夫·盖瑞·沃兹尼亚克等人都是早期黑客界鼎鼎有名的大咖,他们拥有高超的黑客技术,并没有把技术用在做坏事上,创造了Windows系统和苹果手机等产品。在一些国家黑客身份是受到保护和推崇的,一些网络安全的颠覆性技术往往是黑客发明的,这类黑客正在崛起和迅速发展壮大。
而负能量的黑客体通过破坏他人的正常网络工作等不正常手段牟取利益,给正常的生活和社会发展造成了极坏的影响,国家对于这部分体的打击力度正在加强,并且严格维护网络世界的和平秩序,这部分黑客体数量多,人员杂,受利益驱动,目前国家对于这部分人员的控制力度还不够完善,需要进一步加强。
信息泄露,警惕内鬼蜡烛杯
2017年3月7日,公安部破获一起窃取公民个人信息50亿条的案件。经公安部调查,郑某鹏利用京东网络安全部员工身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息、交易信息、个人身份等数据信息。事后京东发出了一份声明,声称郑某鹏是试用期员工。
丁杰告诉记者,在国外泄露个人隐私信息的后果很严重,一旦某企业被爆出丑闻,企业或相关负责人要为此付出沉重代价。譬如,2013年11月27日至12月15日,因遭遇黑客攻击,塔吉特全美1797家超市门店约4000万名消费的顾客信用卡和借记卡信息被盗,同时约有7000万顾客的个人用户信息被泄露。事后该公司首席董事长格雷格·斯坦哈费尔宣布辞职。
磁疗手链“过去对信息安全只是行政层面的约束,如今是法律监督。对于内鬼泄露信息的约束较强。”丁杰向记者透露,很多信息泄露是各个企业内部人员兜卖信息。如运营商、互联网金内鬼的追查较难。“国内相关法律刚刚起步,即便发生内鬼泄漏事件,往往是风轻云淡。”
网络安全有法可依
“我曾经见过一个黑客攻入某蛋糕店点餐网络平台的后台,然后拿走了很多订餐用户的信息。”丁杰告诉《经济》记者,国内很多餐饮企业的外卖平台存在漏洞,包括知名的餐饮企业,黑客能够轻而易举地将信息盗走。
今年6月1日正式实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)将对上述盗取个人信息的行为进行法律约束。《网络安全法》标志着我国网络安全工作有了基础性的法律框架,有了网络安全的“基本法”。
《网络安全法》规定任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。白帽子阿华告诉记者,他在2008年以来协助公安机关逮捕的黑客,因对社会造成较大危害均被判刑。未来随着相关法律越来越健全,将有效打击危害网络安全的违法活动。
中国电子信息产业发展研究院网络空间研究所所长刘权告诉《经济》记者,在此次蠕虫病毒袭击前,各部委下发了防范病毒的通知,让很多单位通过打补丁、杀毒、拔网线等方式预防病毒感染。“各部委下发通知,也体现了《网络安全法》提及的国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁。”
刘权认为,《网络安全法》核心是网络产品和服务的安全审查。“网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。”此外,增强用户的网络安全意识,注重关键信息基础设施安全保护也是《网络安全法》的重点。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议