郑州国际少林武术节【视频】- 我是黑客(上) 回眸-央视新闻调查
【视频】| 我是黑客(上) 回眸-央视新闻调查“机器人、病菌、黑客和无人机是未来暴力犯罪的四大载体。”
——《未来的暴力》加布里埃拉?白隆教授
说起“黑客”,很多人的第一反应是:一身黑衣,一间黑暗的屋子,“他”同时操纵着多台电脑、纵横网络世界,随心所欲,来去无踪。
现实生活中,黑客到底什么样?今天新闻调查的记者带你走进中国黑客中的“他们”。
“白帽黑客”与“黑帽黑客”
今年5月12日,一款勒索病毒向全球的微软用户同时发起攻击,被入侵成功的用户电脑,里面特定类型的所有文件将会被加密保罗名莎,如果未能及时支付向黑客支付赎金,这些文件将永远无法使用,这一病毒至少殃及100个国家。
这是否意味着:“黑客”=黑暗势力?
在普通大众中,很少有人知道:黑客其实分为“黑帽”和“白帽”两类昌业音响。虽然他们都是“利用自己计算机方面的技术,能设法在未经授权的情况下访问计算机文件或网络的人”,但按“是否能守住道德规范、并试图同企业合作去改善被发现的安全漏洞”这一标准,黑客被分成了“白帽”和“黑帽”两类。
“黑帽黑客”就像《哈利?波特》里的“伏地魔”,是网络世界最危险的人。他们利用高超的技术来攻击别人的系统为自己获利。而“白帽黑客”就像“哈利波特”,用自己的“魔法能力”保护网络世界的安全。
在全球知名的“白帽黑客”中,中国的于旸是位列其中的一名顶尖人物。
于旸:名声显赫的中国“白帽黑客”
于旸,第一个获得微软全球安全挑战赛最高奖的中国安全研究员。毕业于医科大学的他,凭着对windows操作系统以及漏洞等方面的研究得到业内认可川南人才网,因网名为“Tombkeeper”,在网络安全焦点论坛上被称为“TK教主”。现任腾讯“玄武”安全实验室总监。
四年前钛师傅,他推演出可能对微软安全构成威胁的重大漏洞,从而改变了微软“只靠内部安全防御体系保障安全,坚持不为找漏洞的黑客们付费”的原则,于是微软开始悬赏十万美金,面向全球征集对微软安全性构成威胁的重大漏洞。
但那一年,微软并没有把第一笔奖金发给让他们改变想法的于旸。一段时间后,于旸凭借他对微软系统存在的新的漏洞发现,成为第二个拿到10万美元奖金的人;由于他之后持续对微软安全作出重大贡献,于旸的名字目前列在微软悬赏名单的榜首。
每年微软召开蓝帽子大会,表彰全球对微软安全作出卓越贡献的研究人员。于旸也会得到邀请。
在于旸掌门的玄武实验室里,21名研究员很多都是慕名前来加盟的。业内影响力、号召力和提升快,是他们慕名而来的主要原因。
为什么一个医大毕业生会选择做“白帽黑客”?
“整个人类科技的发展,有一个非常重要特点,就是它赋予了个人越来越大的力量鬼母痴儿,这个力量可以是破坏的力量,也可以是创造的力量。”
先于“坏人”找到已经陪伴在我们生活中的那些智能产品的漏洞,并将之通报给厂家加以修补,这就是于旸和所有将自己称为白帽黑客者的宣言。
玄武实验室的“黑客”们:一声谢谢就足够了。
在腾讯玄武实验室的办公室里,除了午饭和上厕所,从早到晚,小黑客们几乎都定格在自己的工位上变蝇人,面对电脑屏幕上这些在我们看来单调枯燥的数字代码于承妍。
“说真的每天盯着电脑看代码很有趣吗?其实并不是每时每刻都是有趣的,但是最终你为了实现你最多的目标,拿到更有趣的结果,这样才能够让自己去真正的追求一个不断向前,不断去看代码的过程。”
几乎实验室每个研究员都很享受这个过程九转金身决。“一个未知的东西,通过你的工作郑州国际少林武术节,一步一步的去接近它的本质,你会觉得这是一件很有趣的事情。”
从2016年1月到2017年4月,世界某著名软件公司一共修复了309个安全问题,有102个是由腾讯玄武实验室提交的。
玄武实验室研究员:“这个就是去年他们发布的给我的一个致谢,后面给的是漏洞编号,就这种菲尔柯林斯。”
记者:“你现在有多少个编号了,属于你的?”
研究员:属于我的编号有100多个。
记者:有奖励吗?
研究员:对于ADOBE来说现在是没有奖励的,其实现在国外大部分的公司都是不给奖励的。
记者:你做这个事情的成就感来自什么地方?
研究员:它在下一次发布产品更新的时候会有一个致谢,只有我们行业内的人才会看这个东西。即使是计算机行业的,不是安全的,他们并不会关注这个东西,我一般是自己一个人在享受。”
2016年12月14日,雅虎公司宣布,三年前该公司发生过一起大规模黑客攻击事件,导致10亿用户的姓名、电子邮件、电话号码等个人信息泄露,据称这些用户信息在黑市被炒到30万美元以上。创办于1975年的微软,今天在全球有3500名安全专家,每年在安全领域投入至少10亿美元。网络安全已经成为当下最为重要的话题之一。
“漏洞披露的意义,第一是倒逼企业要重视这个问题;第二你能发现漏洞,坏人不能发现吗?”于旸说。
白帽黑客追求的,齐慧娟正是先于“坏人”发现问题,让厂商及时修补漏洞,预防安全危害。
而他们想要的通常很简单。“至于你和那些小伙子们有过接触的话,你会发现他们特别在乎别人对他说谢谢”,王琦——第一个获得世界顶级黑客大赛冠军的亚洲团队碁震团队的创始人告诉记者:“你有这个态度能够尊重这帮帮你修复问题的白帽子黑客加蓬咝蝰,有时候他们真的只需要一个感谢!”
王琦和他创办的“极棒”黑客大赛
王琦,业内人称大牛蛙。他曾是微软中国安全应急响应中心主要创始人和技术负责人李小晚,这是当时除美国微软总部以外的第一个区域性安全响应中心恶魔养殖者 。
2011年,他离开微软在上海创办了自己的安全研究团队Keen Team。2013年,在东京Pwn2Own针对手机的攻击赛场,王琦率领他的Keen Team团队在不到30秒的时间内攻破了苹果最新手机操作系统,成为全球首支远程攻破这一操作系统的团队暗黑帝国。
2014王琦的安全研究团队又出现在加拿大温哥华举行的Pwn2Own针对电脑的攻击赛场,这次,他们连续攻破苹果最新64位桌面操作系统和微软最新64位桌面操作系统。
自此,来自中国的Keen Team团队成为Pwn2Own比赛历史上第一支把电脑桌面操作系统和移动操作系统全部攻破的世界级安全研究团队。
从2015年开始,中国的安全团队不断出现在PWN2OWN的赛场上,到今年温哥华赛场11支参赛队伍中有7支团队都来自中国,最终中国团队包揽了这场国际大赛的前三名。
当中国的黑客开始不断进入世界黑客比赛赛场时,2014年,王琦在中国创办了第一个以关注全球智能生活为主题的黑客大赛“极棒” ,宣称向所有智能生活软硬件和人工智能产品的漏洞发起攻击。
王琦希望“白帽黑客”有展示他们才能的舞台:“我不希望这些人得了荣誉之后自娱自乐,我希望让更多人看到他们站在舞台上面。”
但2014年的第一届“极棒”大赛并没有那么顺利。比赛刚刚开始的时候,王琦就被人拉下来,因为他们的网络被黑了。“黑客办了一个活动,你放到网上然后被人黑掉,这些其实也挺好玩的。我们一开始也怕被黑,后来很快我就反应过来,我就说谁要把我们黑了,你就来上极棒。”
2014年这一届极棒比赛上,黑客们在13款智能产品上找出了18个安全漏洞,但是当组委会在赛前向这13家中国厂商发出邀请后,没有一家厂商亲临比赛现场。不过,在这一届赛场上,谷歌公司的安全专家应邀来到现场,全程观摩了清华大学段海新带领学生做的演示——如何通过最被广泛信任和使用的安全加密传输协议HTTPS的漏洞攻破谷歌旗下的Gmail邮箱。
清华大学网络与信息安全实验室主任段海新:“Google公司相关负责人看完我们的演示之后,他见到我第一句话就问我,你们是怎么做到的?后来他根据我们的建议,最后把浏览器那个问题给改了。实际上这种攻击在现实当中并没有产生没有影响,我们相当于先于犯罪嫌疑人告诉你,你这个系统有问题,没有等犯罪分子打破窗户跑到你家里把东西偷走,让你把这个漏洞给补上了。”
而这正是王琦创办大赛的希望:“我希望极棒成为安全和其他领域跨界的桥梁白河小鸟。”
从2014年至今,从第一届极棒比赛开始,包括锤子手机、360、拉卡拉、盒子支付、小米、极路由、SONY、大疆、华为、微软、Adobe等少数企业的态度给了组委会极大的信心与希望。它们在第一时间通过微博向极棒组委会表示感谢,并及时修补漏洞,升级系统。因为,它们知道安全面前谁也无法独善其身。
2017年第五届极棒比赛共收到来自全球50个报名参赛的项目的申请,最终有28个项目入选。
今年的赛场,哪些智能软件被“白帽黑客”找到了漏洞王严化?它们会被攻破吗?会造成什么危害?会出现让人们意想不到的选手吗?下周跟新闻调查记者一起走进“极棒”黑客大赛年中赛场。
主编/谭芸 编导/胡劲草 方兴
编辑/吕亚楠 实习编辑/吴光华
正在发生的历史 新闻背后的新闻
首播时间:周六21:30 - 22:15
独播频道:CCTV-13新闻
快扫二维码关注我们吧!