半岛全媒体记者 景毅 徐新东
席卷全球的“永恒之蓝”WannaCry(想哭)勒索病毒,宛如打开的潘多拉魔盒,让整个互联网行业如临大敌,互联网安全的警钟再次敲响。而这背后,一条以“黑客”为主导的网络黑产产业链渐渐浮出水面。金钱和信息从来没有像今天这样与互联网技术紧密联系在一起,这给了黑客们接近财富的机会。“一念天堂一念地狱”,是黑还是白,考验着他们的底线。
数据来源/360 制图/张铭伟
■与病毒赛跑
锁定病毒样本,72小时完善“补丁”
“虽然我们早有预警,但真正爆发了还是让所有人都感到不可思议。”5月12日下午,在民众意识到“永恒之蓝”WannaCry(想哭)勒索病毒在互联网上全面爆发前,北京360总部大楼内,一场互联网病毒阻击战已经全面打响。
作为这家公司首席安全工程师,郑文彬深知这个病毒的威力:全球150多个国家的无数台电脑瞬间笼罩在病毒阴影之下。
除了波及范围广、中招个人用户多之外,此次病毒攻击还涉及医院、教育、公安、石油、民航和铁路等公共基础设施。其中,英国国立医疗服务(NHS)在此次病毒攻击中受到重大影响,英格兰、苏格兰许多医院正常的治疗活动受到影响,英国政府表示,在NHS全国248个医疗机构中,共有48个受到了攻击。而中国的一些高校是病毒刚开始发作的重灾区之一。360监测数据显示,5月12日“想哭”勒索病毒发起全球攻击后,在中国部分校园网开始扩散,夜间高峰期每小时攻击约4000次。
与此同时,北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在5月13日凌晨突然断网,造成无法刷银行卡及使用网络支付,一天左右后才基本恢复正常。青岛也有个别企业局域网遭到病毒勒索,经过紧急处理才脱险。这一切正如360董事长周鸿祎所言,“感觉像极了打开了潘多拉魔盒。”
5月12日17时许,在发现病毒警报两小时后,郑文彬迅速联动其所在的技术团队、产品团队、客服部门以及负责企业安全的部门,成立了第一个应对这个病毒事件的群。此后,在360大楼6层应急响应中心,一个由各个部门联动组成的安全技术团队,都聚集在一起办公,不论白天和晚上都保持十几个人在那里值班,“为了避免更大损失,我们一直在跟对方赛跑”。
“偶然背后都有必然。”在与勒索病毒交战过程中,反病毒工程师刘海粟感触颇深。在病毒爆发的5月12日晚上,刘海粟接到线索,一名用户的计算机遭遇入侵。在帮助用户远程看电脑Windows系统日志的过程中,刘海粟起初没抱太大希望,但突然看到服务启动这一项,凭经验看不是正常程序,从而锁定病毒样本。锁定之后,后续的分析就有的放矢了,他和团队一起很快提出应对策略。
5月13日下午,应急响应中心里传出好消息,终于解密了该病毒存在设计上的一个漏洞,当天晚上技术团队接着熬夜做恢复工具,5月14日凌晨2点,工具正式发布。
“在360安全卫士5亿用户中,仅有约20万没有打补丁的用户电脑被病毒攻击,但基本都被拦截下来。正常安装和开启360的用户不会中毒。”360安全产品负责人孙晓骏说。而针对不少企业和政府的计算机系统,没有官方补丁的系统,或者官方补丁打不上的系统,郑文彬的团队又在5月15日上午发了一个热补丁,以化解此类用户的危机。此时距离蠕虫勒索病毒爆发刚好72小时。
■“黑白”之争
“攻防战”就像打竞技游戏
潘多拉魔盒被打开了。打开魔盒的黑手,正是游走于地下的网络黑客。他们隐藏在黑暗之中,伺机而动,防不胜防。
郑文彬告诉记者,勒索病毒是黑客利用美国国家安全局NSA不慎泄露的黑客武器“Eternal Blue(永恒之蓝)”进行的变种攻击。无需任何操作,开机上网黑客就能在电脑和服务器中植入勒索软件。一旦感染,电脑内的文件会被黑客加密,受害者需要支付300美元以上的赎金才能解密,且赎金随着时间推移增加,如果一周内不付赎金,被加密的文件就会被“撕票”销毁。
不过截至5月18日上午,全球仅有292人交了赎金,共约8万美元。一方面,安全厂商在积极做数据恢复,很多机构通过断网和安装补丁阻止病毒扩算,另一方面,很多人和企业并不相信黑客。黑客也“食言”了,据说打钱的人并没有收到数据解密,这甚至让黑客圈发出了“盗亦有道”的呼吁,告诫勒索者“要言而有信,不要毁行业名声”。
“黑客本来是个带有褒义的词,但是随着病毒泛滥,黑客开始和网络犯罪联系在一起,黑客这个称谓也有些变质了。”360反病毒工程师刘海粟介绍,为了区分“敌我”,网络上把从事网络安全防卫的黑客称为“白帽黑客”,而从事网络攻击的则称为“黑帽黑客”,另外还有介入黑白之间的“灰帽子黑客”。黑白之争,攻防不断。
360企业安全集团董事长齐向东曾用一个场景形象地说明三种黑客的区别:“看到有人家门没关,进屋偷东西的是黑帽子;进屋转一圈,再对你说‘门没关严’的是灰帽子;提醒你‘门没关严’,在征得同意后帮你把门关上的是白帽子。”如同人类进行语言表达时,常会出现语法、逻辑上的错误一样,计算机语言中的“语法错误或逻辑性错误”,都叫“漏洞”。其实,无论是什么帽子,他们的“猎物”都是这些网络漏洞。网络漏洞是指在信息产品软硬件、协议实现或安全策略上存在的缺陷,可以让攻击者在未授权的情况下访问或破坏系统。当企业发现或被通知产品存在漏洞时,会积极进行针对性的修复。
“坊间对于‘黑客’的种种遐想都属于一厢情愿,黑客多数是普通人,不过是术业有专攻,选择了一个相对窄小的、不为外人熟悉的领域而已。”刘海粟始终不觉得自己的职业跟别人有什么不同。
1987年出生的刘海粟在上大二的时候开始接触这一行当,当时他和一群好友整天研究如何寻找杀毒软件漏洞,虽然技术还比较粗陋,但找到一个别人未发现的小漏洞照样成就感十足。
2010年刘海粟正式进入互联网安全行业后才发现,自己当初那点小得意是多么业余。“无论白帽黑帽,不断学习是他们的共同特质。”刘海粟说,除了各种专业知识,行业里的“大神”也是他们学习的榜样。
前文提到的郑文彬就是刘海粟心目中的大神之一。郑文彬与刘海粟同龄。2006年底,郑文彬接受360邀请来北京时,只有19岁,彼时的网络安全市场才刚刚起步。
初见郑文彬,很多人可能会误以为他是搞艺术的,但在黑客界,他有一个响亮的代号:MJ0011。
