我的位置: 天下 > 话媒堂 > 文章详情
既能“黑”掉五角大楼,又能“补”上隐私漏洞,“白帽子”们在上海开会说了些啥?
分享至:
 (2)
 (0)
 收藏
来源:上观新闻 作者:查睿 2018-03-29 15:06
摘要:任何系统都存在漏洞,尤其是在万物互联的当下。

去年Wannacry勒索病毒的阴影尚未散去,Facebook又被曝出泄露500万用户信息。面对日益猖獗的黑产攻击,“白帽子”逐渐成了一支中坚力量。

 

 

美国请白帽子来“黑掉五角大楼”

 

白帽子,顾名思义,是黑帽子的“反义词”,他们都属于黑客,都善于挖掘计算机和网络系统中存在的安全漏洞。但白帽子不会因一己之私去利用漏洞牟利,而是会通知网络运营商修补漏洞,以免被黑帽子恶意利用,造成更大的损失。

 

业内有句话:没有绝对安全的系统。任何系统都存在漏洞,尤其是在万物互联的当下。据360今年发布的《2017年度安全报告——漏洞态势》显示,2017年共披露15120枚漏洞,其中高危漏洞4406枚,覆盖1400多家厂商或组织,累计影响近4千种产品,13多万个版本。

 

这仅仅是已披露的漏洞,还潜伏在系统中的更是难以计数。

 

不仅如此,如今的黑帽子早已不是当年单打独斗想要一举成名的黑客了。在3月28日于上海举办的“补天白帽大会”上,360企业安全集团董事长齐向东介绍说,通过各种漏洞对政企机构进行攻击,已呈现出产业化和职业化的特点。其中,高危漏洞的民用化和犯罪集团化特点越来越凸显。“Wannacry、挖矿木马的大规模行业影响已验证出,整个漏洞交易变现的链条正在从上中下游协作向一步到位变现靠拢,同时,变现的方式也从传统货币升级为比特币等数字货币。”

(齐向东在会上发言)

 

漏洞交易链条形势严峻,市场对白帽子的需求也越来越大,其中也诞生了乌云、补天、漏洞盒子等第三方漏洞响应平台。其中,补天漏洞的注册白帽子达4万名,注册企业5000余家,发现了超过25万个漏洞。

 

记者了解到,在国际上,白帽子平台已成为网络安全的重要一环,很多知名企业还会邀请白帽子“攻击”自家网站,一旦找到漏洞便及时修补。

 

2016年,美国著名白帽子平台HackerOne就承担了一项美国国防部的“黑掉五角大楼”试验计划,悬赏总计15万美元,用以奖励能找到国防部安全系统漏洞的白帽子。

 

 

政府网站的漏洞危机不可忽视

 

在国内,漏洞黑产同样猖獗,甚至在与民生息息相关的政府网站、公共事业网站,都存在或多或少的安全风险。

 

记者在会场上采访了几位白帽子,他们挖掘出了不少高危漏洞,这些漏洞一旦曝光,后果不堪设想。

 

其中一名白帽子告诉记者:“我之前在国内三大电信运营商之一的系统内,找到了一个漏洞,通过这个漏洞可以抓取来自华南、四川等地区超过4亿用户的信息,包括手机号码、身份证号码、通话记录,并且可以一一与人对应出来。”

 

这些高质量的个人信息在黑市上价值估计甚至上亿元。

 

而另外一名白帽子则通过骚扰电话,顺藤摸瓜找到了一个保险公司个人隐私泄露的“后门”,“2016年,有个人刚买了车,结果骚扰电话就屡禁不止,后来请我帮忙查一下哪里泄露了信息,结果我发现那一家车险的保单查询系统有个漏洞,只需要一个名字,就可以通过保单查询到保险信息、联系方式,甚至还有家庭成员信息和关系,一人泄露,全家遭殃。”

 

赵明川是一名资深白帽子,他告诉记者,现在很多政府网站漏洞比较多,自己曾经在一家政府网站上找到了20多个漏洞。“特别是公积金、社保等网站,有些压根就没有打补丁,一些早就在圈内曝光了的漏洞,还得不到及时地修补,哪怕是很‘菜’的黑客,都可以轻易地入侵系统。”

 

另外他还表示,政府部门网站漏洞偏多还有一个原因是,政府网站大多外包给其它公司开发,常会出现一些通用型的漏洞,加之技术人员配备不齐全,通用漏洞一旦爆发,这些网站通常会中招。

 

公安部网络安全保卫局副处长张秀东也透露说,仅补天报送的安全漏洞,在2016年就多达23000个,其中有13000多个属于国家的重要信息系统和政府网站的高危漏洞。

 

“不过好在国家越来越重视网络安全问题,我了解到,网安部门会对重要政府网站进行抽查,遇到漏洞会及时通知修补。”赵明川说。

 

与此同时,随着《网络安全法》的出台,国家也加大了对网络犯罪的打击。张秀东介绍,在打击公民个人信息的犯罪专项行动中,共抓获了400多名黑客,有的单凭一人入侵了10000多家网站,窃取个人信息10亿条,还有的入侵多个省的疾控中心,窃取婴幼儿的信息,贩卖获利60万……

 

 

人才缺口高达95%

 

虽然白帽子的市场需求很大,但人才缺口依旧严峻。据预测,当下网络安全人才的缺口达70万,2020年缺口将达140万。

 

相关报告显示,我国只有126所高校设立了143个网络安全相关专业,仅占1200所理工院校的10%,高校教育培养的信息安全专业人才仅3万余人,而网络安全人才总需求量超过70万人,缺口高达95%。

 

补天漏洞平台负责人白健表示,希望打造“平台-高校-企业”三方协同的网络安全人才闭环,为社会持续输送更多新鲜的网络安全人才血液,推动网络安全人才生态链的可持续良性发展。

栏目主编:刘璐 文字编辑:刘璐 题图来源:视觉中国 图片编辑:雍凯
上一篇: 没有了
下一篇: 没有了
  相关文章
评论(0)
我也说两句
×
发表
最新评论
快来抢沙发吧~ 加载更多… 已显示全部内容
上海辟谣平台
上海2021年第46届世界技能大赛
上海市政府服务企业官方平台
上海对口援疆20年
举报中心
网上有害信息举报专区
关注我们
客户端下载