中国黑客崛起之路:蓝莲花战队、BET和黑产那些事
中国在很多领域都与发达国家存在巨大差距,但黑客水平却达到了世界顶尖。
近日,一支名叫蓝莲花的黑客团队刚从美国拉赌城斯维加斯凯旋而归,与他们一同回国的还有一座DEFCON CTF的亚军奖杯。
这一赛事是网络安全的世界杯,诞生于1992年,又称电脑黑客秘密大派对,每年都会在美国举行,今年是中国第5次参赛,以极其微弱的差距惜败美国PPP战队,取得世界第二的历史最佳成绩。
参赛队员年纪很小,以学生为主,基本都是90后,但每个人都称得上黑客中的顶尖高手。他们的成长历程可算是中国黑客崛起的缩影之一。
而在这一赛事的背后,中国网络安全攻防战及黑色产业链的神秘面纱也被逐渐揭开。
黑客崛起之路
杨坤,蓝莲花战队队长,1989年出生,典型的中国技术男形象,他不仅是清华大学网络与信息安全实验室的在读博士,还创办了一家网络安全技术公司。
比赛中,杨坤负责二进制漏洞的挖掘和利用,对网络安全了解的人都知道,发现漏洞是最高难的技术,举个越狱的例子就能明晰:发现从监狱逃脱途径的人最聪明,而那些为逃脱制造工具的人(类比制造病毒如木马的人)士是比不上前者的。因此,漏洞发现者也称为黑客中的黑客。
百度安全事业部负责人马杰对杨坤的印象是个人能力强,组织力强。在他的带领下,蓝莲花战队以极为微小的差距屈居美国PPP战队之后,位列世界第二名。
不过,这已是中国历史上的最好成绩,并且含金量极高。中国的黑客队员大都是在校学生,如清华大学、上海交大、复旦大学、浙江大学,他们利用课余时间研究网络安全技术,工作实践并不多。
而其他国家的队员,既有学生(卡梅隆大学)也有来自一线的在职人员,如苹果、谷歌、微软等公司,一些参加过多次比赛的核心队员不会因为工作而放弃。
获得第三名的韩国队就更有“背景”了,由政府出资在全球招募网络安全专家,给韩国学生讲课,并采用“重奖+淘汰”机制,称为“白帽黑客培养计划”。
但中国就不同了,走上工作岗位的学生往往会因为工作繁忙而放弃比赛,“中国的公司和员工都在忙着生存,现在的核心队员只有最初的一半。”杨坤解释。
但中国也有自己的办法,首先,从基本素质来说,中国学生秉承了聪明、刻苦的传统,在外部资源上,先后拉来了安全宝和百度安全中心的资金支持。此外,为了获得好成绩,上海交大的0ops战队与杨坤带领的蓝莲花战队合并到一起,增强了实力,最终夺得世界第二。
实际上,这已是中国第5次参加DEFCON CTF了,每次排名均比上一次有所提升,杨坤总结,正是国际赛事成就了他们这批中国黑客。
2012年,杨坤看到DEFCON报名的消息,抱着试试玩儿的初衷,与清华大学老师诸葛建伟商量,得到老师的赞许后,他在清华大学组建了一支队伍,并联系到成都信息工程学院的网络安全小组,双方组成战队,此时的杨坤正处于保研阶段。
“没想到当年取得10多名的成绩,差点进入决赛,这给了我极大信心。”杨坤回忆。从2013年开始,蓝莲花战队每年参赛,每次都进入了决赛,成绩一次比一次好。
除DEFCON之外,杨坤和队员还广泛参与国际国内赛事,如ICTF(国际高校黑客竞赛)、XCTF(国内知名黑客竞赛),杨坤评价,“从最初什么都不懂到现在,竞赛起了很大作用,这些比赛最大的特点是,把日常中碰到的问题积累浓缩在比赛题目中,紧跟现实,启发性很大,并且比赛环境是竞争性的,可激发潜力,进步飞速。”
反观国内高校的网络安全课程,杨坤认为,要想成为黑客是远远不够的,“传统的课堂教育大多局限于基本理论,难以跟上技术发展,安全技术更新的非常快,新技术的攻防经常变化,实践才是最重要的。”直到去年,网络安全才列为一级学科,此前一直是计算机科学下面二级学科。
在学习和比赛之余,这群黑客并没有利用技术滑向黑产,相反,他们纷纷创办了网络安全服务公司。
2014年7月,杨坤与战队的其他三个成员创立北京长亭科技有限公司,主营企业级的网络安全服务与防护产品。
技术男并非只懂技术,他们对诗歌也十分热衷,长亭二字,即取字“长亭外,古道边,芳草碧连天”。更为巧妙的是,黑客们大都具有国际眼光:长亭与美国数学家和计算机学家Chaitin的名字谐音,体现了其面向国际的理念。
据杨坤介绍,自创立以来,长亭科技的客户已达近百家企业,并且网络安全市场每年增幅很大。
网络安全“BET”浮现
蓝莲花的成功离不开背后一家公司的技术、财力支撑,2015年之前,蓝莲花的全称为安全宝蓝莲花,之后改为百度蓝莲花,而前文提到的马杰在其中扮演了核心角色。
从瑞星辞职后,马杰于2011年创立了安全宝公司,主营企业云安全,这也是李开复在创新工场中孵化的一家科技公司。
马杰回忆,2013年诸葛建伟老师找到我,说蓝莲花进入DEFCON决赛的希望很大,希望获得企业赞助,到美国打比赛,赞助刚刚谈妥的当天晚上,就传来了蓝莲花进入决赛的消息。
之所以赞助蓝莲花,马杰解释,由于缺少资金,中国人在国际赛事中常年缺席,更重要的是,做网络安全的人那边滑一点就是黑产,虽能挣很多钱,但给社会带来危害,所以,我鼓励年轻人到世界舞台表达愿望,而不是黑个网站。自此,安全宝独家把蓝莲花打国际比赛的费用全包了下来,直到2015年。
2015年4月,百度收购安全宝,将其纳入安全事业部,马杰转身该事业部负责人,继续支持蓝莲花战队,只是名称改为了百度蓝莲花。
提起百度安全事业部,因其低调的行事风格,知晓的人并不多,实际上其在国际上的知名度远高于国内。
在DEFCON竞赛期间,同时召开了“全球黑帽大会”,微软每年都会在这时用背景墙列出为微软安全做出巨大贡献的MSRC Top100黑客贡献榜,以鼓励和致谢为全球安全事业做出巨大贡献的TOP100黑客。
榜单中,百度安全事业部的X-lab(百度安全实验室)的黄正和李克萌入选TOP100黑客贡献榜,百度维持了微软漏洞挖掘能力的领先水平,获得16次致谢排名全球第三,而黄正和李克萌个人分别位列全球第8和第82位,百度安全黄正位列中国第一。
而百度安全事业部的张熠辉龙和韦韬共同入选了黑帽大会的PEBBLE HALL OF FAME荣誉殿堂,原因是他们发现了一个能够让攻击者完全控制所有(几百万)包括Pebble智能手表在内的基于ARM Cortex-M的智能设备及物联网设备,进而窃取和控制受害者生活工作隐私数据的漏洞,同时提交了应对该漏洞的防护方案。
事实上,百度安全事业部的日常工作之一就是研究微软、苹果、谷歌、安卓、WINDOWS等平台的漏洞,并找到解决办法。
以安卓为例,韦韬将安卓系统的安全性问题,比喻为“生态的安全漏洞”、“Android系统的白血病”。
马杰解释,造成这一重症的原因主要在于谷歌开源平台,这样一来,下游厂家把源代码拿来后,会根据自己产品的需要做改动,即使谷歌知道这些漏洞的存在,如果下游厂商不改进、或没有能力改进,就会导致无法修补已公开和未公开的漏洞,从而像白血病那样,无法治愈。由于WINDOWS不开放源代码,所以问题没有安卓这么严重。
如何解决?韦韬在黑帽大会上推出了“自适应内核热修复技术”,其能够自动匹配目标安卓系统的漏洞进行在线热修复,马杰称,可以修复市场中99.4%安卓产品的内核漏洞。
由于没有盈利压力,1000多人的百度安全事业部,可以静下心来做研究,在此之余,也秉承了安全宝的商业模式,为企业提供网络安全服务。
在马杰看来,中国的网络安全目前已形成了“BET”的领头羊格局,即百度、360(E在西方国家代表3)和腾讯。
暗战黑产
山东女孩徐玉玉被骗身亡事件让网络黑产再度引起关注,类似的事情实际上每天都在上演。
8月24日,泰国大约一千台ATM机被入侵,造成1200万泰铢已经被盗,调查发现,这个黑客组织属于东欧的一个黑手党;此前,美国民主党总统候选人希拉里·克林顿竞选团队的计算机网络遭到黑客攻击,这已是黑客对美国民主党计算机网络的第三次攻击;一个更加著名的案例是黑客控制了智能汽车的操控设备,可以远程造成车毁人亡;甚至心脏起搏器也能由黑客任意操作......
在马杰看来,如果不惜代价,任何一个系统都可以被黑客攻入,包括五角大楼。而事先做出一套完美的系统是不可能的。
他举例,就像一间房屋,如果只有40平米,做防护是相对容易的,只要控制住了门窗及通风口,就差不多了,但即使这样,只要下功夫,小偷也是可以进入的;如果是一栋楼,漏洞就会比房间多很多。而安卓、微软、谷歌的系统就像是一个望京小区,攻入这个小区并不是难事。
在这样一个漏洞百出的虚拟世界和高昂回报下,黑产始终在地下蓬勃发展,杨坤告诉21世纪经济报道:“一个黑客的年收入达到1000万不是问题。”
马杰介绍,黑产是一个分工明确的产业链,上游有人负责发现漏洞,将这个漏洞卖给下家,下家会根据这一漏洞的特点编写病毒如木马,下一个环节,则有人将这些木马植入网站(挂马),尤其是那些信任度高、漏洞多的网站如政府、教育网站,接着,黑客会根据已控制的系统情况出去接生意,如有不知情者打开或下载了病毒软件,其信息、数据、各种形式的货币都可能不翼而飞。
美国曾在上世纪80年代盛行信用卡盗窃,FBI也抓获了大量黑客,中国的信用卡起步较晚,并且覆盖率低,加之中国银行很快意识到这一问题,及时建立了防护,才没有大面积爆发。
不过,中国的黑产也有自身特点,曾经盛行的包括垃圾邮件、网站瘫痪、电商数据泄露、骗取电商补贴(如滴滴补贴)、P2P网贷等。
以电商数据泄露为例,几乎每个中国人都曾遇到,马杰介绍,有些黑产公司售卖所谓“客户营销系统”,就是在某电商网站里嵌入一段代码,如果用户访问过这个网站,他的手机号、QQ邮箱等信息就泄露出去了,这是客户就可能接到推销电话。
又如DDOS攻击会导致网站瘫痪,这可能是竞争对手的有意为之,DDOS攻击通过超大流量堵住某网站的入口,造成瘫痪,真正的客户却无法登录该网站。就像雇一群人堵住店家的门面一样。
“现在只用500块钱就能让网站瘫痪,因为一般网站租用带宽只有10几兆到100兆,而500块就能发出1、2个G的攻击。”马杰说。8月9日,英国《每日邮报》报道称,只用25美元就可掌握一个安卓用户的行踪,代价之低难以想象。
马杰总结,目前中国主流的黑产形式包括DDOS攻击、窃取数据、套取补贴、P2P在线交易等。而在世界范围内,据2016年网络安全威胁TOP6分析报告,上半年全球网络安全威胁排名风别为,勒索软件、大型数据泄露、身份认证盗窃、移动安全、物联网和增强现实游戏(AR)。
不过马杰认为也不必过于担忧,魔高一尺道高一丈,世界各地的网络安全工程每天都在与黑产从业者们做斗争,未来世界并非变得更加不可控。
这时,百度安全事业部的一个员工推门而入,手里抱着一箱子冰淇淋,人人有份,“百度安全事业部有条不成文的规定,如果有人离开座位不锁屏,就会有其他同事冲过去,用他的邮件给每个人发信息说我请大家吃冰淇淋。”马杰说:“安全不光是技术问题,管理和习惯也很重要。”