◎ 文 《法人》实习记者 辛颖

　　正是因为没有很好的了解黑客的群体状态，很多企业没有找到与黑客相处的最佳方式，却造成难以预料的损失

　　他们有着精通各种编程语言和各类操作系统的神来之手，他们是互联网时代的创造者与革新者，他们也是今天企业信息安全攻防战场上的中坚力量——黑客(hacker)。在今天，黑客的界定不再那么明晰，其内涵正在不断丰富？?

　　无秘可言

　　“在网络世界有两种人，一种是被黑过的人，另一种是被黑过却还不自知的人”。7月18日，法制日报社《法人》杂志和奇虎360公司联合举办的“走近安全，走进360”公司法务沙龙上，林伟以最简单的方式介绍自己，“我是360网络攻防实验室的林伟，也是一个真正的黑客”。

　　在像林伟这样的技术人员眼中，制度和流程都是不可靠的，当然人是最不可靠的。所以，他们用程序、用技术来规避漏洞，来面对互联网的新时代。

　　提到互联网革命，360总裁齐向东认为，计算机技术早期的发展对人类的社会形态并没有产生实质性的影响，只是在效率层面上解决了一些问题，比如将缩短复杂计算的时间，包括智能化的汽车的出现等等，生活效率的提高并没有改变我们的社会管理形态和生活方式。“从二次大战到现在，我们的思维方式不用变，价值观不用变，但是今天，我们说进入了一个互联网时代，很多东西就变了。”

　　2011年，当国内知名软件论坛CSDN[微博]用户信息被拖库的消息公开时，引起了很大轰动。然而，这只是显露在水平面上的冰山一角。此事之所以会在第一时间被公开，主要是缘于该论坛账号所附带的经济利益有限，只能沦为黑客用来炫耀技术水平的工具。而对于那些真正“有利可图”的企业相关信息，谈判的砝码自然不会直接摆上桌面，可利用的渠道也超乎所想。海面的冰山往往只是公众情绪的刺激点，真正的致命伤总是在不知处。

　　根据360情报部门获得的信息，在所有的数据库里，短信是最安全的。一方面是由于通信企业本身有非常严格的信息管理制度，另一方面也是因为手机短信系统与互联网是断开的，难以通过互联网远程攻击获取短信信息。“然而，即使是这样安全的内容，美国人手里也握有我们的短信数据库”，齐向东嘲讽的语气中透露着无奈。

　　事实上，大部分的个人信息在被盗取之后会进入“流通”环节，黑客在将一个个“子集”互相交换之后，便得到一个“全集”，戏称为“社会工程数据库”。正是这个功能强大的数据库推翻了暴力破解密码的时代，它在将所有个人信息数字化之后，可以自动推荐3个密码，破解率达到80%。

　　国家的信息安全也同样面临威胁。2014年4月，微软[微博]公布停止对其XP操作系统的补丁更新。这对中国来说是重大的信息安全事件。在中国，70%的用户使用XP系统。我们很多政府和企业的系统建设都是基于XP系统，如工商、税务、银行等等，如果将系统换成WIN8，业务系统就会停转。对于中国来说，业务系统的重做绝不是几天就能完成的小工程。中国政府与微软展开了长达一年的谈判，却颗粒无收。当意识到被别人扼住喉咙之后，我们最终停止采购WIN8。有人说，操作系统国产化和信息系统国产化不是技术问题，而是决心问题。“将信息安全的主导权交出来，无异于交出国家主权”。

　　当人们逐渐依恋上互联网的强大与舒适，他们可能慢慢会发现再也难以摆脱它的掌控，无论人们是否愿意。然而保护秘密是人类与生俱来的天性，无论这种隐匿是为了独处还是群居。齐向东半开玩笑似的说，“互联网的发展会推动人类道德水平的提高，人类会变得越来越高尚”，因为，你生活在一个后台数据随时会被黑客拖走，所有的通信工具又不用不行，这就是透明人时代的现实。

　　信息攻防

　　此前据媒体报道称，美国联邦检察官起诉了一名叫苏斌的中国商人，他被指控通过黑客手段入侵了洛克希德？马丁和波音公司[微博]的网络，窃取了包括F-22、F-35战斗机和C-17运输机图纸在内的65个G的资料。美国司法部对被告苏斌提起的指控进一步揭示了美国官员口中对美企构成严重威胁的黑客生态系统。报道称，苏斌是中国公民，目前生活在加拿大。

　　对于林伟来说这并不是什么新闻了，早在2005年左右，黑客圈中就已经开始出现F-22的图纸，只不过当时没有那么精细，文件大小只有700M，远不如新闻报道中所涵盖的内容丰富。不同于10年前的病毒“熊猫烧香”，这种“薄利多销”式的全球范围内的大规模攻击早已没落，市场价1角到5角的远程操控计算机技术不再受青睐。现代的黑客攻击目标精准，经济利益丰厚，政府、企业巨头，无疑成为众矢之的。

　　“现在我只要搞定一个项目，就可以拿着这笔钱找一个上千人的、非常专业的、顶尖的黑客团队再去入侵世界上任何一个目标，这就是新的供给时代”，林伟向《法人》记者讲述。

　　据林伟介绍，除了我们熟知的通信、金融、能源、化工等行业的企业容易成为黑客的攻击目标，教育行业也是高危行业。这一方面是由于在我国很多的科研项目都是和高校联合开发的，尤其是高校教授在其中起到很重要的作用。而且我国的高校作为漏洞排名最高的两个行业之一，修复难度较高，“基本没人去修，也不想去修”。对于中国很多企业宁愿重新采购系统，也不主动修复漏洞的做法，往往解决不了最根本的问题。

　　原本只能在电影中看到的商业情报刺探情节，现如今“遍地开花”。高端的设备不再昂贵，近距离的监听只是基本功能。今年年初，中央多部门联合打击伪基站的滥用。记者获知，1台伪基站可覆盖方圆1公里，手机上所有的东西从通话到短信都可以复制。然而可以如此轻易获取隐私的设备，在江浙一带如同玩具一样被批量生产，售价仅6000元。对于招投标、谈判等商业机密性极强的活动来说，伪基站的投入成本微不足道，却能让使用者在一场竞争中保证绝对的信息优势。齐向东还介绍说，这项设备甚至被广泛地用于黑道上的敲诈勒索。中央严打也并不能令其彻底消失。

　　当然，还有更加“物美价廉”的800元“魔盒”。它能够实现在一定的空间内，使得智能设备自动连接上所有曾连接过的WiFi，比如机场、单位、酒店、咖啡厅等，最关键的是不需要任何密码。这意味着，黑客通过伪造的虚假热点，与所有人共用一个网络，监听与信息上传不在话下。

　　信息技术的发展使得你的每一个举动都可能为自己或企业设下陷阱。借电脑给别人的手机充电或许是现代助人为乐的新表现，殊不知当他人的USB接口插入电脑的一瞬间，你就将自己出卖了。攻击者可以自动获取你电脑中的所有信息，包括惯用的账号密码。同样的，手机也可以向提供充电的电脑实行攻击。

　　在一次国际安全大会上，林伟就真的遇到了这样的实例。在会议厅外的众多展台中，有一个精致美观的充电桩展台，没有人知道这是哪一家公司提供的服务，然而都自然而然地使用起来，结果可想而知。

　　天上掉馅饼的故事时有发生，却鲜有幸事。某公司的前台在生日那天收到一个全新的三星[微博]GalaxyS4手机，收到生日礼物的她理所当然地使用起来。然而两周之后，他们公司的几千万用户数据都被盗走，和公司很多的机密合作信息在网络上被公开。正是因为这部手机被作为跳板入侵了他们的内网。

　　不得不承认，对于任何一个有效的系统来说，人都是他无法规避的漏洞存在。因此，黑客的众多攻击手段也都考虑到人性的“弱点”。也许只是十年中唯一的一天懈怠，也许只是旅途中与萍水相逢人的一次愉快聊天，也许只是随手一个暴露身份的动作，就会为黑客提供绝佳的机会。心理战，也是黑客攻击必备战术。因此，企业如何加强团队建设与培养全面的安全防护意识也是重中之重。

　　见招拆招

　　齐向东不断地强调，互联网革命，如同阿Q剪辫子一般，摧枯拉朽的力量不可逆转，我们不能用传统的思维解决新的问题，只有接受新思维的革新，问题才能迎刃而解。

　　这个显而易见的道理，操作起来并不那么容易，在企业处理与黑客的关系之时，尤其如此。据林伟介绍，某智能产品公司曾被曝光泄露了800万的注册用户的信息，该公司对此事的回应态度较为强势，只是强调危害较小，请用户修改密码，全无道歉之意。然而，此事早在两年前就已发生，企业却选择在不能继续回避的情况下生硬地回应。在林伟看来，这种举措无疑是很不明智的。

　　黑客，作为一个庞大的群体，其实也有自己的黑白界限与等级划分。最底层的黑客，就是指偶尔盗个QQ，看看教程，攻击网页之类的，被称为脚本小子。向上一级，逐渐掌握一些工具、语言，具有开发能力，并能够很好地应用这些工具，做一些商业和经济上的入侵的，被称为黑帽子黑客，这也是通常理解上的“坏人”黑客。

　　再向上就是灰帽子，“很难会有一个黑客是完全白帽子，他一定是灰白之间的，如果你不知道攻击怎么样入侵别人，你根本不知道怎么防护它”。灰帽子黑客多在安全公司、安全研究部门工作，他们其实需要进行入侵的工作，但这仅仅是为了保持自己的熟练程度而已。但是他不会去破坏，而是将发现的问题报给官方，包括提供修补办法。

　　最高级的就是白帽子黑客，他们能力突出，能够完全重新设计系统，满足企业用户的需求，他们是真正能够打破常规钻研技术的黑客，是创新力极强的群体。当然，也有一些黑帽子黑客在入侵企业系统并盗取内容后，在论坛上公告企业并试图修复，林伟介绍这就是所谓的“洗白”，但这改变不了黑帽子的实质。

　　也许正是因为没有很好的了解黑客的群体状态，很多企业没有找到与黑客相处的最佳方式，却造成难以预料的损失。2012年，有人在大家比较熟知的漏洞公示网站上发布某电商网站的一个漏洞，据说会涉及几亿的损失。该企业出于对投资情况的考虑，否认了损失情况。随后，该企业派出一名高官和发布漏洞的黑客进一步接触，咨询了漏洞的具体情况与解决方式。在黑客展现出了自己的高水平之后，企业开出年薪百万元的条件聘用黑客担任安全主管。

　　然而，百万元的支票没有收到，黑客却收到了法院的传票。企业以谈话中的录音作为证据，起诉黑客涉嫌敲诈勒索。在企业看来，这也许只是与黑客之间一次并不善意的短兵相接。然而，在黑客的世界里，就成了严重的“破坏行规”。在脱离了所有黑客的漏洞通知之后，该企业不久便遭遇了几亿用户信息被窃的情况。然而，由于没有任何可寻的证据，企业只能打碎了牙往肚里咽。

　　虽然许多企业在一次的失误之后花费重金来“讨好”业界的黑客，举办活动，赠送礼品，但是取得效果有限。据林伟介绍，黑客对于不守信的公司始终保持戒备，“我不知道你哪一天会反咬我一口，所以黑客往往会留一手。如果他留了后门不告诉你，这是非常危险的”。

　　长期从事网络攻防工作的林伟，对于处理企业与黑客的关系提出了自己的建议：强身健体、邻里友好、遇强则强、执法有据。

　　首先一家企业不能只依赖于外面的黑客，要保证自己的强大团队，这样才能隔绝绝大部分的黑客，这就是强身健体。邻里友好，就是要确保与黑客圈子里面有实力能够入侵企业系统的人保持好关系，这样即使他发现你有漏洞，也会愿意主动发给你，而不是发到网络上面去。当然，如果真的有黑客有能力黑你，并且他敢于黑你把东西发出去，那么一定要遇强则强，出现一个抓一个，这是规矩。对于“洗白”的行为更是不能手软。执法有据则是需要政府和企业共同努力，一方面要加强与完善立法，另一方面要注意收集保留证据。