這世間的故事,必有緣起。黑客的江湖,也不例外。兩位世外高手,是接下來這個故事的起源。
「神獸」降臨
我叫老王。不是隔壁老王,我就是老王。
這個低調了二十年的黑客,終於站在了聚光燈下。
在此之前,圈外人對於王俊卿的了解幾乎為零。事實上,作為中國最早的一批黑客,神秘的老王和他身後聲名顯赫的 0x557 統領了中國大半部黑客史。從網際網路安全的洪荒時代,老王就開始了「拿站」生涯,而隨著網際網路的發展,老王對世界上幾乎所有複雜的大型系統都進行過滲透測試。他符合人們對於一個黑客的全部想像。用所向披靡來形容他在賽博世界的狀態並不誇張。在他腦海中,有一萬種遊走於企業甚至政府內網的姿勢。
白衣如雪,來去如風,往往是武林高手的生存狀態。在中國網際網路並不長的歷史中,他一直站在某個高地,俯視陵谷變遷。據此,他自嘲為「上古神獸」。
【老王 王俊卿】
然而,在老王眼中卻充滿了憂慮。他看到這個賽博世界正在聚集越來愈多的妖雲,陣腳的龍柱傾覆在即。而不自知的人們卻仍然歌舞昇平。
據此,「神獸」振開雙翼,決定降臨人間。而同時嗅到危險的,還有另一隻「神獸」。
Jannock
這個名字,在百度上的信息寥寥無幾。
他有三個身份:
靦腆而睿智的八零後。
老王的多年好友和親密戰友。
在曾經叱吒風雲的「烏雲平臺」上提交漏洞最多的那個人,沒有之一。人稱「烏雲一哥」。
毋庸贅言,如果他想,只需要動動手指,可以突破幾乎所有企業的安全防護。有關烏雲,他心中有很多故事。但是面對雷鋒網宅客頻道的好奇,他覺得現在還不是說出來的最好時機。
在這個超級白帽子心裡,烏雲曾經是他保衛世界的方法,他幫助企業發現的每一個漏洞,都是賴以抵擋子彈的盾牌。然而當無數企業在面對黑客的戰爭中態勢急轉直下的時候,烏雲卻告別了舞臺。
於是這位「一哥」似乎別無選擇地,走到了世人面前。
【Jannock】
榴槤一樣的安全防護
老王和一哥究竟看到了什麼?
我們社會對網絡安全的投入越來越多,理論上來說,網絡攻擊應該越來越少。但是事實卻正好相反。這不是很奇怪嗎?
最近三年,每年都有幾起大的網絡攻擊事件爆發出來。被攻擊的對象不僅有世界五百強企業,還有專門研究攻擊控制軟體的安全廠商,甚至洩露別人數據的平臺,自己的數據也發生了洩漏。更可怕的是,很多專門盜取別人信息的黑客組織自己的工具也洩露了。這是很大的諷刺。
隱者老王已經適應了「布道者」這個新角色,向現場觀眾描述他眼中的網絡安全世界。
【老王在幻雲發布會現場】
他陳述的是事實。各大頂級企業,包括專門從事網絡安全的企業和組織,不可能不重視網絡安全。縱然投入金山銀海,就是沒有辦法抵擋住老王和一哥這樣的黑客進攻。
在老王眼裡,很多企業對於黑客如何思考和進攻一無所知。這使得他們精心構建的「馬奇諾防線」淪為昂貴的擺設。因為黑客往往會在某一個特別的位置上發現弱點,從而整體繞過防護機制。
老王舉了一個例子:
每個人心裡的密碼都不是孤立產生的。你的密碼一定帶有個人色彩,和你的經歷或性格有關,這本身就為黑客破解密碼埋下了巨大隱患。如果管理員想要「合規」地編出一套和自己毫無關係的隨機密碼錶,而且按照規定讓所有的密碼生存期都不超過90天,那麼他一定需要維護一張長長的密碼錶。
而這恰恰又觸及了安全的禁區——密碼落於紙面。
內網滲透的基礎並不在於找到應用漏洞或者沒打補丁的系統,很多時候在於找到那張密碼錶。使用密碼錶上的密碼入侵內網,是完全符合內網防護策略的。
這只是千萬條「黑客思路」中的一條。老王不覺得傳統的滲透測試可以很好地找到網絡存在的問題。
滲透測試就像是軍演,而軍演是有劇本的。在真正的戰鬥中,戰鬥機可以躲在客機底下,潛艇會隱藏在客輪下面。這些開腦洞的進攻方法是絕不可能出現在演習裡的。
老王曾經對雷鋒網宅客頻道講,
內網,對於外人來說是一個神秘的地方,但是如果你去詢問任何一個黑客,他都會大笑著告訴你:只要突破邊界進內網之後,就暢通無阻。內網的安全最爛。
如果打個比方的話,很多企業的防護都像是榴槤,外表鋒芒畢露,裡面軟滑香糯,只要你能從裂縫進入,就可以暢享戰果。
目前並沒有很理想的技術來保護內網安全。這也是他聯合一哥,還有另一隻神獸黑客 CP 創建錦行科技的原因。這些「老奸巨猾」的「神獸」們,提出了一種全新的內網防護策略——開門接客。
為黑客「造夢」的幻雲
「開門接客」並不是放棄防護投降。恰恰相反,是接受黑客可能突破邊界防護的事實。但是,當黑客歷盡艱辛終於攻進內網,踏入的卻是早已備好的「盜夢空間」。
這個盜夢空間名為「幻雲」。
幻雲的基本原理是:模擬出和企業真實情況極其相似的內網環境,讓黑客在這個「盜夢空間」裡打轉,自以為正在一步步獲取目標信息,接近想要的內容。而實際上他的一舉一動都暴露在幻雲的監控下。
這個邏輯聽上去簡單而解恨。但是,黑客來犯的目標肯定是企業的真實內網,如何保證黑客一定會踏進幻雲的陷阱中呢?
老王給雷鋒網宅客頻道舉了一個例子:
黑客就如同入室盜竊的小偷。如果他進入一幢房子,裡面有五扇門。他沒辦法判斷哪個門後藏著想要的東西。事實證明,如果我是那個小偷,我會從我最容易打開的那把鎖開始攻擊,然後尋找是否有暗門、窗戶等等其它通道進入別的房間,就算沒有,也可以開闢一條進入別墅的通道,從而不必每次從大門出入,站穩腳跟之後再來判斷周圍的環境。
實際上,幻雲在真實的內網系統部署了多個「捕獸夾」。這些捕獸夾都是有經驗的黑客在進攻中非常感興趣的節點。只要黑客踩到任意一個獸夾,之後他所有的進攻都會被靜靜地引流到位於雲端的幻雲中。接下來,黑客的所有攻擊行為都不會對真實系統有任何影響。我們可以坐在屏幕前,看這隻困獸如何一步步暴露形跡。
整個過程中,誘導黑客踩中捕獸夾,成為了問題的關鍵。
捕獸夾只是一個工具,而問題的關鍵是把捕獸夾放在什麼位置。只有對獵物了如指掌的獵手才能把獸夾放到獵物的必經之路上。而這時,需要的就是老王這樣的黑客前輩的經驗。
錦行營運長 Oscar 如此解釋幻雲的獨門絕技。
Oscar 曾經擔任騰訊安全平臺不品牌運營及對外合作團隊負責人,曾在騰訊內部和黑產鬥爭多年,他深知用好這樣的捕獸夾對於打擊黑產黑客有多大的意義。
【幻雲的主要功能】
「黑客意圖」——無價之寶
感知到黑客入侵固然重要,但是,判斷黑客的意圖同樣重要。Oscar 說,幻雲系統不僅可以再現黑客攻擊的所有步驟,還可以根據黑客的行為判斷黑客的下一步意圖。
了解對方意圖有多重要呢?他舉了一個有趣的例子:
小時候我不喜歡寫作業,爸爸為了防止我一個人在家的時候偷看電視,進行了「關鍵節點對抗」——每天他出門時,都把那根閉路電視線裝在包裡帶走。
但是,他不知道我的真正目的其實是打遊戲。每次他一出門,我就用遊戲機連接電視打遊戲,而在他回來之前,我會把遊戲機物歸原處。包括遊戲卡的疊放順序,遊戲機盒子的角度都絲毫不錯。我還會用溼毛巾為電視機降溫,銷毀電視機曾經工作的證據。
你看,不知道對手的意圖有多可怕。
幻雲產品總監胡鵬講述了一個真實案例。
某公司被黑客入侵,但是黑客只對 VPN 登陸的信息感興趣,並且僅僅盜走了這部分信息。看起來這對於公司並沒有實質性的傷害。但後來的調查表明,這家公司為其他公司提供服務,而這些 VPN 登陸信息,正好和它的服務對象相關。結果證明,黑客的真正攻擊對象是這家公司的客戶。對於攻擊者來說,拿到這些數據就足夠了。如果沒有對於黑客真實意圖的判斷,那麼另一家公司已經陷入了危險之中。
幻境或是雷區
嚴格來說,幻雲的最小粒度是一個個蜜罐,而蜜罐之間相互聯繫組成蜜網,而蜜網層疊形成蜜場。這種蜜場極其緻密,以至於黑客無論進行怎樣的動作,都能夠得到應有的回應。
這就像《黑客帝國》中的場景,只要給人類的大腦輸入足夠細膩的信號,泡在營養液中的人們,會相信自己正幸福地走在寬敞的街道上。甚至有的時候,幻雲並不需要完整地仿製它所保護的系統。
有時,完全和真實系統相同,未必會達到最好的效果,而最好的效果,是模擬一個和黑客想像中一樣的系統。
老王的總結意味深長。
實際上,黑客手中並沒有那個陀螺,來判斷自己究竟在真實世界還是在夢境之中。在這種情況下,故事的發展無外乎會有兩種可能:
1、黑客極有可能在幻雲中打轉,每次覺得自己快要接近目標的時候,就被困難阻攔,曙光在前,卻無法掙脫。他使用的所有工具和進攻方法,都被幻雲掌握,而真實的系統毫髮無損。
2、黑客也許會懷疑系統的真實性。但是他卻找不到任何的證據來證明自己處在虛擬世界。因為他的每一條指令都會得到應有的回應。這種情況,就像面對一片空曠的場地,有一個牌子提示:前方雷區。如果冒進,黑客擔心所有的行蹤,乃至使用的攻擊木馬,包括 0Day 漏洞武器,甚至把自己的身份都暴露給了對手。黑客此時冒進,無異於自廢武功,代價高昂不可承受。於是他躊躇不前。
這兩種劇情,我們都喜歡。
Oscar 說,幻雲和傳統安全防護產品並不衝突。畢竟德軍是被馬奇諾防線逼迫無奈才鋌而走險最終選擇繞過,而在希臘使用「特洛伊木馬」之前,特洛伊人頑強抵抗了九年。
在電光火石的對抗中,幻雲提供了寶貴的應對時間、信息和不斷浮現的真相。這些,能夠給黑客最後的致命一擊。
幻雲的核心理念可以總結為「欺騙防禦」。而欺騙防禦,在全球安全界都是一個最新的方向。
「神獸」們的努力,讓中國人在欺騙防禦的方向中,佔得了先機。
據此,他們值得敬佩。