李柯达：对话黑客,漏洞似蟑螂中国是肥羊

Jumbo

　大家都在谈论OpenSSL漏洞，仿佛互联网的天空，突然就在那一天，塌了一个洞，自己原本藏得好好的隐私，一下子都从那个洞里漏了出去。大家都很惊恐。
　　不是这样的。一位不愿透露姓名的黑客告诉我，互联网从来不是这样的，至少中国的不是。他说，中国互联网安全原本就惨不忍睹。
　　简单地讲，OpenSSL这个被称为“心脏流血”（HeartBleed）的漏洞，很多人之前都不知道。在披露后，黑客和互联网安全运维人员第一时间反应过来，围绕着这个漏洞，你攻我守。但更多的早已披露的漏洞，互联网公司却没有注意到，任由他人自由进出。
　　前两天，上述黑客在一个俄罗斯语论坛上看到，有人发帖正在兜售一家类谷歌的中国互联网搜索企业的服务器信息。“1万60台服务器的权限，卖400比特币。帖子写的是类Google的搜索引擎。”他不愿意公开他的猜测。
　　在东欧这些地方，黑客很活跃，水平也很高。他们在论坛里，常常用比特币交易得到的数据或服务器权限。“数据无非是用户数据与服务器数据；如果像比特币交易平台的话，就直接是比特币了。”他说，拿到了服务器权限，黑客可以用来攻击别人，也可以挖挖比特币，“如果黑掉了游戏公司的话，把高消费能力的用户导出来，别人肯定想买。”
　　“像携程之前那个漏洞，‘太酷了’。”他说。上个月，互联网安全问题反馈平台乌云上出现了一份报告：携程旅行网支付日志存在漏洞，或导致大量用户银行卡信息泄露。这可能直接引发盗刷等问题。
　　“往往应该重视这个问题的互联网公司，他们其实不重视。我很不理解他们为什么不重视。这个你怎么可以不重视？”
　　他又举了一个例子，“比如做云服务，数据敏感性非常高。如果我们的数据泄露了，那就是关门的事情，因为用户再也不会相信我们。如果这家云服务面向公司用户，那么，他的客户公司所有的数据也都没了。”
　　他说，漏洞就像你在厨房看到蟑螂一样，看到一只，你就应该知道，其实那还有几十只。“中国被卖的公司越来越多。大家也开始知道，中国是个肥羊。”
　　这一现状说明，互联网安全大有商机：不是去窃取服务器和数据；而是在互联网安全成为刚需的情况下，为这些疏于防范的公司提供渗透服务与技术支持。
　　渗透测试，就是以黑客的身份，想尽办法地进入系统，拿到用户数据，或者服务器权限。所有黑客会采取的手段和渠道，包括技术手段与社交工程，测试方都会使用。“你自己所有的安全工作都做完以后，可以通过买这个服务试试，自己是不是真的安全。”国内渗透测试服务www.myhack58.com黑吧安全网的负责人说，这在国外早已是成熟产业。
　　“我们在黑客论坛上，看到一个帖子，就会以买家的身份，接触发帖人，尽可能地得到详尽信息。”该负责人说，通过这个渠道，发现哪家公司已经出事了，就找上门去，告知对方，“你已经有问题了。”
　　测试方会事先与受试公司签订合同，获取对方授权，并约定收费模式。“或者按用户量收费，或者按服务器收费。我们给他看证据，他们付我们70%的钱。然后我们把完整的报告发给对方，里面包含问题漏洞与解决方案，对方再补上剩下的30%。”
　　“其实我们也不知道这个收费模式对不对。”该负责人补充说，不同行业用户价值不一样，目前每单合同都要定制。如果无法成功渗透，就不收任何费用。他认为在中国这种商业模式可能更容易为人所接收。
　　目前这家渗透测试公司已经接过十数单合同，每单最少几十万，后续月费几万左右：有比特币交易平台，有云存储平台，有航空公司，也有会计公司。这些公司都在业内拥有领先地位。
　　通常做过渗透测试，就会成为该服务的长期客户。因为安全不是一次性的。每更新一次系统，每增加一台服务器，事实上都在制造漏洞。
　　但与不少走在市场生长边缘的创新一样，这门生意也有自己的禁忌。“我期待做银行客户。”该公司负责人说，但不敢先黑进银行操作系统，再跑过去对银行说，你有漏洞，你交点钱，我来帮你解决吧。
　　他说那就是黑客界的传统手段了：直接黑你，然后来勒索你。“那种超高效的。”他问了以前替谷歌中国做法务的朋友，但至今还没得到很好的答案。那位朋友告诉他，如果要这么做，就得提前告知对方，说要扫描你，要我停的话，就要告诉我。“目前我们没看到中国法律上有相关条款。所以还是按规矩来，没有得到人家授权，就不进去，不能把人家惹毛了。”