数据买卖 网站漏洞后的黑色产业
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。数据库的作用越来越重要,但安全却难有保障。本专题中的调查试图呈现互联网数据泄露中环环相扣的链条,而对案例的分析则试图呈现公民个人维权之难,这有赖于互联网法治建设的推进。
天微微亮,大鸟(化名)结束了一晚上的任务,他用凉水洗了一把脸,起身,去公司上班。
在白天,他是某互联网公司的程序员。晚上,他是互联网论坛上活跃的“白帽子”。
“白帽子”是业内的俗称,即正面黑客,他们通过识别计算机系统或网络系统中的安全漏洞,发出漏洞警告,从而提醒企业或其他单位在被黑客侵入前修补漏洞。
由于白天工作时间不允许,大鸟只能用晚上的时间做“白帽子”的工作。这让他很疲惫,如果进入到了活动状态,大鸟可能会有很长一段时间都在高度紧张的精神状态中度过。
除了在论坛中得到被同行赞许的快感,很多时候,他们面对的是一群对漏洞不屑的人。因为每次被曝出漏洞之后,许多企业的第一反应是“辟谣”,而不是直面问题。
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。数据库的作用越来越重要,但安全却难有保障。
或许因为企业对漏洞不屑的态度,一些技术人员会警告企业——既然你不屑,我就干一单给你看。一些技术人员拿着漏洞去要挟企业,换取报酬,涉及利益巨大,一些人甚至很短时间就完成原始资本积累。白帽子是以其行为来判断,但也有可能在某些时间里,变成真正的黑客。
在国内,目前逐渐形成了一些漏洞举报的平台,如乌云网、360都建立了举报漏洞的机制,方法各不相同。国家互联网应急中心也建立了漏洞共享平台,每周发布信息安全漏洞周报。
一些企业的态度也变得开明起来,如1月14日,特斯拉的官方订购平台被白帽子发现漏洞,原价30万元的预订金,白帽子可以在后台将之修改为一元钱。特拉斯得知后迅速修复了该漏洞,并承认该笔订单有效,同时还从总部邮寄了官方纪念品送给白帽子。
21世纪经济报道记者通过半个月的调查,接近了多位白帽子,他们中的部分不愿意透露真实姓名;同时,21世纪经济报道记者也试图从被业内称之为“社会学工程库”的论坛,寻找活跃在数据买卖链条上的人。此外,通过分析已有的案例和司法判决,也可以探寻这个庞大黑色产业在互联网时代日益形成的安全隐患。
入侵
“你不要社我啊。”这是一句从事网络安全程序员们的“行话”。“社”是指社会学工程库,他们把获取海量的个人信息称为社会学工程分析。
在社工论坛上,你可以找到各式各样的卖家和买家。他们明目张胆地买卖各种个人信息资料,如开房资料、考研学生资料、公积金信息等,一般都是几十上百万条信息打包出售,他们将这些打包出售的数据库俗称为“裤子”。
而“社”一个人,则意味着在网络上挖掘与这个人有关的各种资料,通过不同网站的海量数据,破解密码、下载资料……
一般而言,第一步需要入侵某个网站的后台系统。这个过程并不复杂,对一个电脑迷而言,一个刚入行的中学生就可能有能力侵入一个普通网站。
大鸟对我们讲述了他的故事。第一次学习黑客技术是大一的暑假,他花了一个月的时间在寝室自学。不久后,就已经可以进入学校网站的后台了。
从这一刻开始,数据就有了被泄露的危险。大鸟不会将数据下载下来用于己用,仅用来检测网站是否存在漏洞,但他告诉21世纪经济报道记者,黑客入侵网站与白帽子检测网站,在技术路径上几乎是相同的。
大鸟不崇拜仪式感,他不喜欢称之为战斗,但这确实是一场战斗,虽然战利品只是为了满足一种孩童式的好奇、对技术偏执的渴望,但把它称之为一场发生在“入侵者”与技术“看守者”之间的战斗或许并不为过。
在大鸟的印象中,记忆最深的一次入侵行动是他在正式做一名职业白帽子之前。那是一次比较复杂的行动。大鸟发现了一家国外网站,对其原代码十分感兴趣,为了看到代码,他决定“入侵”这家网站。
大鸟先找拥有域名的这个人,查他的信息,发现此人是外国人。因为不是中国人,所以不能掌握太多他的信息。接下来寻找这个域名下的子域名。
经过分析,发现一些子域名放在几台普通VPS(Virtual Private Server 虚拟专用服务器)上,打开几个页面是空的。扫了几个端口也没发现端倪,他知道从这几台VPS上很难找到问题,于是他决定找一下它的VPS提供商。
如果拿到VPS提供商的权限,就可以获取它所有VPS的权限,自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题,一步一步渗透下去,最终找到了该VPS提供商所有用户控制面板的账号密码,最后找到了对应人的账户密码。
拿到用户密码后,大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的,进入控制面板就可以操控他服务器上的文件,但是没有文件打包编辑功能。最后,大鸟上传一个了网页后门,便获得了它的代码。
经过十分复杂的程序,大鸟获取了这台服务器的权限,顺利看到了代码。
或许从技术上,这并不算很难,但对于大鸟来说,这次“入侵”的复杂性远远高于技术,经过一个多月的“战斗”,看到代码后,他选择让自己大睡一场,进入冬眠。(责任编辑:韩杰)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。
京公网安备 11011202002094号