搜狐m88明升协作-搜狐网站> 新m88明升资讯
报刊 | 明升88 | 新m88明升 | 明升m88备用网址查询 | 微博

网络江湖中的黑与白 "白帽黑客"逐步走入人们视界

来历:光明网-《光明》
  • 手机看明升m88.com

  原标题:网络江湖中的黑与白

  【举世科技】

  快捷的信息产品、服务和运用已成为人类社会生活赖以工作的必需品,信息安全的重要性显而易见。近年来发作的海量用户数据走漏、智能设备遭不合法长途操控、网络勒索横行等事情已成为全球性问题。据预算,2016年网络相关违法形成的丢失逾越4500亿美元。如果说网络有江湖,那亦是摇摇欲坠,自古江湖正邪不两立,既有伪君子横行,自有侠客出山。“白帽黑客”作为网络江湖侠客,正逐步走入人们的视界。

  在这一布景下,2016年11月至本年1月,美国陆军展开了名为“黑进戎行(Hack The Army)”的赏金方案,包含征兵网站和陆军数据库等重要信息体系在军方授意下揭露饱尝黑客的轮流测验。美国军方共收到400多份缝隙陈述,派发奖金超10万美元。此外还将部分高危缝隙概况向社会发表,并方案筛选出优异“白帽”为国效能。

  1 黑客和他们的“帽子”

  黑客(Hacker)指通晓计算机技能,专心于程序规划的电脑高手,经过开掘安全缝隙从而可以破解暗码、操控计算机、盗取数据的奥秘集体。“黑客”的称号开端是中性乃至是褒义的,具有“自在”“同享”“创造性”的共同文明。黑客往往会经过缝隙东西自动化扫描,获得一幅体系“缝隙地图”后测验对信息产品和服务进行攻破。网络上无所不能的奥秘黑客,在现实生活中或许是一般学生、程序员、工程师、研讨人员或自在职业者。

  技能作为东西并无是曲,但运用者的意图却截然不同。黑客大体可分为“白帽黑客”“黑帽黑客”和“灰帽黑客”三类。“白帽黑客”会运用自己的才能维护信息安全,发现缝隙后及时向厂商或有关部分进行反响,确保缝隙在被歹意行为者运用前及时修正,提高产品体系的安全性;“黑帽黑客”则是运用技能危害产品和用户安全歹意获利的一群人。m88明升上有关黑客进犯的报道指的便是“黑帽黑客”,例如臭名远扬的全球最大黑客安排“匿名者”,其核心成员逾越千人,针对政府和企业体系建议进犯以表达不满,五角大楼、美中情局、索尼公司、万事达公司和希腊央行等网络体系均是其进犯方针。而“灰帽黑客”则是游走于二者之间,既不以维护网络安全为己任,亦不齿于为害一方,其注重重心只在于朴实的炫技,寻求的是技能逾越带来的成就感。

  换言之,“白帽”为安全而技能,是网络安全的建造者;“黑帽”为利益而技能,是网络安全的损坏者。黑与白的鸿沟往往十分含糊,似乎苍莽大海中的白涛与黑浪,游戏国际中的白魔法与黑魔法。白帽子一念之差或许逼上梁山,黑帽子浪子回头会变为网络安全的刚强保卫者。

  2 网络缝隙:黑客的猎物

  不管戴着什么样的帽子,关于黑客而言,仅有的“猎物”便是网络缝隙。网络缝隙是指在信息产品软硬件、协议完成或安全策略上存在的缺点,可以让进犯者在未授权的情况下拜访或损坏体系。当企业发现或被告诉产品存在缝隙时,会活跃进行针对性地修正。缝隙具有全球化、通用性等特征,现在数量敏捷增长,影响规模和程度不断增大,是对国家安全、经济开展的巨大要挟。

  打个比如,信息技能公司比如“钱庄”,担任保管用户的各类工业——咱们的言行、材料、工业均以数字化方式被“钱庄”搜集、保存、剖析和运用。缝隙便是“钱庄”整个工作流程中的危险点,当然,大多数“钱庄”的金库围墙不会有缺口,窗子也装有护栏,会雇佣护卫关照,用户存取工业也需求供给凭据。但安全危险并未完全消除:歹意行为者可以雇佣很多清闲人员在货台排队导致“钱庄”无法为真实的用户供给服务;护卫贼喊捉贼;年久失修的围墙呈现裂缝;市场上呈现可以悄然无声剪开护栏钢筋的便携液压剪;或许直接经过地道挖进金库。黑客便是不断找出这些缝隙的一群人。

  网络缝隙具有全球化、通用性的特征,可以以点破面,筑再高的墙,换再杂乱的门锁都不免遗漏。那么是不是把金库建形成固若金汤、坚不可摧、处处监控、只进不出乃至深埋海底就可以确保必定安全了呢?答案是否定的。首要信息范畴没有“坚不可摧”,安全体系很快会跟着技能更新变得一触即溃,安全体系需求不断更新维护;其次,互联网的实质是信息数据的自在活动和充沛运用,“钱庄”的巨大金库需求被一再存取拜访,易拜访性有必要得到确保,所以不具备必定安全的条件。

  因而,不管规划多么奇妙,完成才能多么强壮,经过多少轮测验查验,任何信息产品和服务都不可避免地存在缝隙。信息产品安全不或许一蹴即至,需求在产品的整个生命周期中得到注重,可以及时发现并修正缝隙才是担任任企业的正确做法。以安全著称的苹果iOS体系仅在2015年就有387个安全缝隙被曝出,而微软的“视窗XP”体系在十多年的绵长生命周期中也有726个缝隙被曝出。正是因为这些产品的注重度高、用户量大,才会在“聚光灯”和“放大镜”下被研讨得更完全,修补缝隙后的产品也才会更安全和完善。因而,致力于发现并修补缝隙的白帽黑客们无疑是信息安全确保的重要助力之一。

  3 “白帽黑客”与江湖历练

  当然,缝隙不光是黑客们的猎物,亦是传统杀毒软件公司的势力规模。只不过杀毒软件是缝隙被运用后“亡羊补牢”,“白帽黑客”则是自动在羊圈外“巡视缺口”,力求未亡先补。“白帽黑客”作为维护网络安全的民间力气不断得到各方必定与注重,一起他们也面对各类引诱和窘境。

  社会成见。为招引眼球,群众m88明升往往关于黑客相关的明升m88.com过度奥秘化,一切负面安全事情均归结到“无所不能”的黑客身上。技能公司往往对“白帽黑客”未经授权的测验行为不满,并置疑其自动陈述的动机。政府往往冲突“外部黑客”的协助,更不会建造奖赏机制,打造正向反响。

  金钱引诱。在地下黑色工业链中,歹意运用缝隙变现的速度惊人,一个高危缝隙在黑市上可以买到六位数的高价,而“白帽黑客”经过正规途径只能得到象征性的物质奖赏。虽然“白帽黑客”对技能和安全的寻求高于对金钱寻求,但面对数十倍的收入距离和一夜暴富的引诱,心存“网络违法难以追寻”的幸运,不少黑客且将白帽换黑帽,不可避免地进入地下黑产链条。

  年青气盛。年青化是黑客集体的一大特色。依据“HackerOne”缝隙陈述途径查询,35岁以下的黑客占比逾越九成。手握最新技能、雄心壮志但履历缺少的年青人面对选择时即使不受金钱招引,但不免不受声名所累,迫切期望经过建议“损坏性”事情一鸣惊人。因而,作为一名“白帽黑客”,心志有必要坚决到年青且耐得住孤寂。

  行为边际。检测缝隙行为处于法令和观念的含糊边际。法令中对“白帽黑客”自发性检测体系缝隙(如黑进方针网站但不进行损坏)的行为是否构成违法没有有清晰鸿沟,许多空白区亟待添补。就像在没有得到授权的情况下,某人在“钱庄”外不断巡视,进行“模仿进犯”,运用各类东西打听围栏健壮与否,防盗门锁安全强度怎样,乃至运用假造凭据处理事务。这会让大部分“钱庄”和法令者警觉和置疑。在一些公司眼中,“白帽黑客”便是“借机勒索的坏小子”。

  不受注重。“白帽黑客”缺少有用的陈述途径,往往只能向公司发送电子邮件。不只耗时绵长,面对“白帽黑客”陈述的缝隙信息,政府和企业常常因为安全意识不到位而无动于衷。美国“白帽黑客”David Helkowski曾在马里兰大学服务器发现可以拜访很多学生和教员的个人数据的安全缝隙,惋惜的是校园并未注重这份陈述。没过多久,逾越30万名该校在校生和毕业生的社会安全号码等个人信息遭黑客盗取并曝光。陈述途径受阻、回应缓慢严峻冲击“白帽黑客”的活跃性。

  江湖围堵。因为将缝隙信息透明化揭露化,因为其行为现实上会阻断黑色工业的利益链条,使得本来期望运用缝隙恫吓公司和个人获取暴利的安全公司或黑帽黑客恼羞成怒,“白帽黑客”不只或许遭受“单挑”,还极有或许面对巨大黑色工业的围堵。

  4 “白帽黑客”的出路

  道高一尺,魔高一丈。跟着万物互联前奏的摆开,安全缝隙危险如影相随,安全才能建造局势更趋严峻。“白帽黑客”作为维护网络安全的重要组成力气,其特殊性正在得到越来越多的注重。社会需求给“白帽黑客”信赖和展现才能的时机,为其设定行为鸿沟,并给出相应鼓舞,不然“白帽黑客”只不过是一个带有浪漫主义颜色的称号罢了。当时,美国政府、企业和相关安排正在活跃探究,以期为他们供给“光明大道”,经过一套较为完善的体系,正确引导和鼓舞“白帽黑客”开释正能量。

  施行“赏金方案”。一直以来,美政府对奖赏缝隙发现者不感兴趣,对曝光的体系缝隙反响较为缓慢。但是,安全危险日趋杂乱,单独应对难认为继,政府对黑客观点在不断改动。尽力探究确保网络安全的新方法,活跃为缝隙的提交集思广益是大势所趋。2016年3月到5月,美国防部建议名为“黑掉五角大楼”比赛项目,设置逾越15万美元奖赏招引本国黑客向其信息体系建议进犯。该项目获得巨大成功,两个月的比赛项目共招引1400名黑客参加,发现的缝隙多达138个。若经过外部商业安全公司开掘平等数量和质量的缝隙,政府将花费逾越100万美元。防长卡特对成果十分满足,国防部认为演练有利于“发现缝隙并拟定维护五角大楼网络体系的应对办法”。此次政府部分仿效商业公司奖赏“白帽黑客”的行为具有里程碑含义,为未来与“白帽黑客”树立长时间信赖和协作奠定了根底。国防部尝到甜头后,宣告开展该项目为永久性项目,扩展更多国防部体系和网络参加测验。

  除政府外,IT公司也活跃行动,改变思路。曩昔很长一段时刻,美国大公司并不期望本身产品被曝光存在缝隙,有的公司乃至要求“白帽黑客”删去相关缝隙信息。其一,公司往往置疑“白帽黑客”的善意,认为是在索要酬劳。其二,若不及时“打补丁”,会遭受针对该缝隙的一再进犯。其三,忧虑影响企业名誉,曾有公司在产品缝隙曝光后股价暴降。跟着企业对产品安全意识的增强,对“白帽黑客”供给的缝隙信息需求敏捷上升,企业会直接对“白帽黑客”送出奖赏。谷歌、yahoo、微软等很多IT巨子设置本公司的缝隙奖赏方案和安全呼应中心,鼓舞“白帽黑客”测验其体系。例如“脸谱”网树立了针对自己产品途径的缝隙提交和奖赏页面,充沛尊重黑客的隐私权和知情权并供给不少于500美元的奖赏。谷歌建立奖赏方案,为找到安卓(Android)体系安全缝隙的黑客供给最高20万美元的奖金。

  供给专业场所。一般企业一般不会专门设置安悉数分或缝隙奖赏项目,为有用对接企业需求和社会资源,“众测”形式应运而生。“众测”是一种由厂商供给产品和奖金,缝隙途径安排黑客为其寻觅安全缝隙并分配酬劳的出产形式。厂商在下降运营本钱的一起,也充沛调动了“白帽黑客”劳作的活跃性。如美国旧金山的“HackerOne”缝隙途径招引了来自150个国家的3000多名黑客注册,为包含yahoo、优步、推特在内的逾越500家公司供给缝隙测验服务。具有强壮号召力的“HackerOne”声称77%的公司可以在24小时之内运用该途径找到安全缝隙,现在现已修正近四万个缝隙。“白帽黑客”注册后提交缝隙信息,“HackerOne”告诉公司进行修正厂商对缝隙有用性、严峻性和影响规模做出点评,在缝隙未被处理之前,缝隙信息是加密的,乃至途径也无权检查这些信息,充沛维护企业和“白帽黑客”的权益。为招引和鼓舞“白帽黑客”,“HackerOne”将缝隙奖赏金额下限设置为100美元,并为高危缝隙供给奖赏金额参阅,最高缝隙奖赏可达3万美元。

  举行“武林大会”。黑客大会是黑客文明交流的嘉年华,来自全球各地的技能大咖齐聚一堂,公展开示最新研讨发现。如久负盛名的黑帽大会(BlackHat)作为全球顶尖的安全技能会议,是信息安全界每一位研讨者的愿望舞台,会议内容包含前沿技能培训,黑客安全团队演说、公司宣讲等。RSA安全会议每年招引数万人参会,简直一切安全研讨人员都会参加其间,展现研讨项目,研讨职业热门问题。此外,CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB(hack in the box)、POC (Power of community)、HITCON 、CodeBlue 等侧重点各不相同的会议更是多点开花,“白帽黑客”参加度空前高涨。

  协助验明正身。上一年11月,美国防部拟定了《缝隙发表方针》,为“白帽黑客”们供给方针安全确保。该方针答应自在安全研讨人员经过合法途径发表国防部面向大众运用的信息体系存在的任何缝隙。该方针指出只需契合方针的约束和规则,将不会对黑客建议法令和诉讼活动,并可认为“白帽黑客”供给维护和证明。此外,美国防部高档研讨方案局(DARPA)的“Improv”项目和网络挑战赛,也正在活跃开掘网络缝隙和收罗全球优异的“白帽黑客”。近年来,美国法令部分现已开端测验直接从黑客大会现场物色黑客供给技能或为之效能。

  当时我国正处网络强国战略推动的要害阶段,信息技能才能和工业蓬勃开展的背面面对日益增大的安全压力。政府、企业、安排和民众对网络安全知道和需求不断提高,除树立健全政企网络安全信息同享机制、完善方针法令确保、清晰企业职责外,做好“白帽”人才储藏与有用运用亦应成为重要一环。从当时国际经历来看,如能妥善引导和规范“白帽黑客”,确保“白帽黑客”合法权利,无疑可以极大激起民间力气,为信息安全保驾护航。

  (作者:牛帅,单位:我国现代国际关系研讨院信息与社会开展研讨所)

www.feitianzz.com true 光明网-《光明》 http://www.feitianzz.com/20170315/n483375607.shtml report 5717 原标题:网络江湖中的黑与白【举世科技】快捷的信息产品、服务和运用已成为人类社会生活赖以工作的必需品,信息安全的重要性显而易见。近年来发作的海量用户数据走漏、智能
(职责明升备用网址:姜超 UN838)

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.feitianzz.com