陈树华一直做移动互联网安全。他说,在这之前,手机感染病毒的几率非常的低,但随着整个互联网业务的高速发展,18%的手机感染过病毒,95%的移动热门应用是仿冒。
据不完全统计,目前中国网络黑色产业链的“从业者”已经超过了40万人,依托其进行网络诈骗产业的从业人数至少有160万人,“年产值”超过1100亿元。
2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,并发布了首份《网络黑色产业链年度报告》。报告显示,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链。从业者主要是分布在二三线城市、年龄介于15至25岁之间的无业年轻人。腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰出现在6月,平均每天有6.8万名用户中毒。
黑色产业链的发展,也给各个公司的安全团队招人带来了困难。
“我的团队完全是社会招聘,现在发现一个好苗子实在太难了。”郑文彬说。很多黑客都被黑色产业卷走,剩下的这些人,有着一个比较统一的性格标签:道德洁癖。因此,吴石、郑文彬们愿意出现在各种黑客大赛上,甚至公开演讲,希望能够引导年轻人,走正确的路。
米特尼克是历史上第一个因网络犯罪而入狱的黑客,也是第一个被FBI通缉的电脑黑客。他在15岁的时候就入侵了北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,后来又先后入侵了太平洋电脑公司、联邦调查局等系统。2002年出狱后,他出版了畅销书《欺骗的艺术》,成了全球广受欢迎的计算机安全专家之一。
在接受媒体采访时,米特尼克曾说道,骇客是条错误的道路,如果能回到过去,他绝不会重蹈覆辙。
孤狼的尴尬
并不是所有的黑客都进了大公司。而那些单独作战的孤狼,有时也会面临尴尬的境地。
在一次安全大会上,一位父亲闯了进来,拿着一沓打印的资料,希望在参会的这些人里,有人能够帮到他的儿子——不久前,他的儿子破解了某婚恋网站的漏洞,并把这个漏洞发布到了乌云平台上,但是,他的儿子还是被这家婚恋网站起诉,并被批捕了。
《财经天下》周刊记者向该网站核实是否起诉了一名黑客,但没有得到答复。
更有名的案例是京东案。2011年12月30日,贾伟在陕西咸阳一家制药厂被警方带走,他的老父亲颤颤巍巍地在拘留证上签了字,然后整整一个月没睡着过。
2011年底,中国互联网爆发了一次大规模用户信息泄漏事件。当时天涯社区、技术开发网站CSDN、游戏门户多玩网、婚恋网站珍爱网等多家网站用户资料被泄露,被业内人士称之为“脱裤门”。京东商城也没有幸免。
京东漏洞的发现者正是贾伟。贾伟有一个常用ID:我心飞翔。在京东商城内部技术人员迟迟无法修复漏洞的情况下,贾伟表示只要聘请自己为高级技术顾问,并支付约240万元劳务费,就将为京东商城修复该漏洞。结果,京东商城以网络被入侵并被“敲诈勒索”为由,向北京朝阳区公安局报警。一个多月后,贾伟被保释。
“这就像我家有个后门,开着,但我没有允许你进来看啊。你不但进来了,还把我家房间的摆设都看了一遍。我当然不高兴了。”孙义在一家大型国产手机厂商做安全运维——负责与黑客接触,发现漏洞并作出响应。
孙义在那次安全大会上也看到了为黑客儿子求助的父亲,但却没有表现出同情。“就是乌云,也只是一个平台。你把信息发在上面,但是出了事,他们一样不管。”
每个月,孙义都能收几十起安全漏洞的报告。“我们会给他(发现漏洞的黑客)一些精神奖励,给他证书,甚至帮他申请国际漏洞编号。这些他都可以写在他的简历里,找工作好使啊。”至于金钱上的报酬,没有。
“我们鼓励‘白帽子’一起建设安全生态,会给漏洞发现者提供精神和物质上的双重奖励。”阿里巴巴安全总监陈树华说。
而京东也在贾伟事件之后,设立了应急响应中心。京东商城信息安全部经理李学庆说,作为一个安全应急响应中心,和腾讯的TSRC、百度的BSRC、阿里巴巴的ASRC一样,京东的JSRC有一个主要任务——堵住一切有可能产生破坏的漏洞。
不过,与国外的厂商相比,国内厂商给予的奖励仍然缺少竞争力。根据京东的数据,提交任何可以攻击京东的漏洞,大概能够获得1000元的京东购物卡奖励。在6.18之前,京东搞了一个双倍积分的活动,“白帽子”提交高危漏洞,最高可以得到折合价值12000元的奖励。
本文来源:不详 作者:佚名