【新唐人2014年4月12日訊】 許多人在談論OpenSSL漏洞時,會感到驚恐,害怕自己的隱私從洞里漏出去。一位不願透露姓名的黑客指出,互聯網從來不是這樣的,至少中國的不是。他說,中國互聯網安全原本就慘不忍睹。
福布斯中文網編輯李柯達11日發表「對話黑客:中國是個肥羊」一文中指出,大家都在談論OpenSSL漏洞,彷彿互聯網的天空,突然就在那一天,塌了一個洞,自己原本藏得好好的隱私,一下子都從那個洞里漏了出去,大家都很驚恐。
但文章說,不是這樣的。一位不願透露姓名的黑客告訴他,互聯網從來不是這樣的,至少中國的不是。該黑客說,中國互聯網安全原本就慘不忍睹。
OpenSSL這個被稱為「心臟流血」(HeartBleed)的漏洞,很多人之前都不知道。被媒體披露後,黑客和互聯網安全運維人員第一時間反應過來。但更多的早已披露的漏洞,互聯網公司卻沒有注意到,任由他人自由進出。
該黑客說「像攜程之前那個漏洞,『太酷了』。」上個月,互聯網安全問題反饋平台烏雲上出現了一份報告:攜程旅行網支付日誌存在漏洞,或導致大量用戶銀行卡信息泄露。這可能直接引發盜刷等問題。
「往往應該重視這個問題的互聯網公司,他們其實不重視。我很不理解他們為什麼不重視。這個你怎麼可以不重視?」
他又舉了一個例子,「比如做雲服務,數據敏感性非常高。如果我們的數據泄露了,那就是關門的事情,因為用戶再也不會相信我們。如果這家雲服務面向公司用戶,那麼,他的客戶公司所有的數據也都沒了。」
他說,漏洞就像你在廚房看到蟑螂一樣,看到一隻,你就應該知道,其實那還有幾十隻。「中國被賣的公司越來越多。大家也開始知道,中國是個肥羊。」
這一現狀說明,互聯網安全大有商機:不是去竊取伺服器和數據;而是在互聯網安全成為剛需的情況下,為這些疏於防範的公司提供滲透服務與技術支持。
滲透測試,就是以黑客的身份,想盡辦法地進入系統,拿到用戶數據,或者伺服器許可權。所有黑客會採取的手段和渠道,包括技術手段與社交工程,測試方都會使用。
直接黑你 勒索你
中國滲透測試服務cagetest.com的負責人說「你自己所有的安全工作都做完以後,可以通過買這個服務試試,自己是不是真的安全。」他說,這在國外早已是成熟產業。
該負責人說「我們在黑客論壇上,看到一個帖子,就會以買家的身份,接觸發帖人,儘可能地得到詳盡信息。」通過這個渠道,發現哪家公司已經出事了,就找上門去,告知對方,「你已經有問題了。」
「然後,他們付我們70%的錢。然後我們把完整的報告發給對方,裡面包含問題漏洞與解決方案,對方再補上剩下的30%。」
目前這家滲透測試公司已經接過十數單合同,每單最少幾十萬,後續月費幾萬左右:有比特幣交易平台,有雲存儲平台,有航空公司,也有會計公司。這些公司都在業內擁有領先地位。
通常做過滲透測試,就會成為該服務的長期客戶。因為安全不是一次性的。每更新一次系統,每增加一台伺服器,事實上都在製造漏洞。
該負責人說「我期待做銀行客戶。」但不敢先黑進去,再跑過去對銀行說,你有漏洞,你交點錢,我來幫你解決吧。
他說那就是黑客界的傳統手段了:直接黑你,然後來勒索你,「那種超高效的。」
但他們不敢這麼做,他說,「目前我們沒看到中國法律上有相關條款。所以還是按規矩來,沒有得到人家授權,就不進去,不能把人家惹毛了。」
但也有從事互聯網安全的黑客稱,即使法律沒有站在未獲得授權就擅自發布滲透測試報告的黑客那邊,大多數公司也不會選擇走法律途徑。否則,後果很可能是不再有人報告該廠商漏洞,甚至可能有人會直接公開漏洞。
這種判斷反應在攜程事件上,就是該公司客服微博上的一段話:攜程對於烏雲平台發現的漏洞信息,表示非常重視和感謝,並將對於提供漏洞信息者給與獎勵。
