您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给史中
发送

0

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

本文作者: 史中 2016-11-28 11:24
导语:这世间的故事,必有缘起。黑客的江湖,也不例外。两位世外高手,是接下来这个故事的起源。

这世间的故事,必有缘起。黑客的江湖,也不例外。两位世外高手,是接下来这个故事的起源。

“神兽”降临

我叫老王。不是隔壁老王,我就是老王。

这个低调了二十年的黑客,终于站在了聚光灯下。

在此之前,圈外人对于王俊卿的了解几乎为零。事实上,作为中国最早的一批黑客,神秘的老王和他身后声名显赫的 0x557 统领了中国大半部黑客史。从互联网安全的洪荒时代,老王就开始了“拿站”生涯,而随着互联网的发展,老王对世界上几乎所有复杂的大型系统都进行过渗透测试。他符合人们对于一个黑客的全部想象。用所向披靡来形容他在赛博世界的状态并不夸张。在他脑海中,有一万种游走于企业甚至政府内网的姿势。

白衣如雪,来去如风,往往是武林高手的生存状态。在中国互联网并不长的历史中,他一直站在某个高地,俯视陵谷变迁。据此,他自嘲为“上古神兽”。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

【老王 王俊卿】

然而,在老王眼中却充满了忧虑。他看到这个赛博世界正在聚集越来愈多的妖云,阵脚的龙柱倾覆在即。而不自知的人们却仍然歌舞升平。

据此,“神兽”振开双翼,决定降临人间。而同时嗅到危险的,还有另一只“神兽”。

Jannock 这个名字,在百度上的信息寥寥无几。他有三个身份:

腼腆而睿智的八零后。


老王的多年好友和亲密战友。


在曾经叱咤风云的“乌云平台”上提交漏洞最多的那个人,没有之一。人称“乌云一哥”。

毋庸赘言,如果他想,只需要动动手指,可以突破几乎所有企业的安全防护。有关乌云,他心中有很多故事。但是面对雷锋网宅客频道的好奇,他觉得现在还不是说出来的最好时机。

在这个超级白帽子心里,乌云曾经是他保卫世界的方法,他帮助企业发现的每一个漏洞,都是赖以抵挡子弹的盾牌。然而当无数企业在面对黑客的战争中态势急转直下的时候,乌云却告别了舞台。

于是这位“一哥”似乎别无选择地,走到了世人面前。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

【Jannock】

榴莲一样的安全防护

老王和一哥究竟看到了什么?

我们社会对网络安全的投入越来越多,理论上来说,网络攻击应该越来越少。但是事实却正好相反。这不是很奇怪吗?


最近三年,每年都有几起大的网络攻击事件爆发出来。被攻击的对象不仅有世界五百强企业,还有专门研究攻击控制软件的安全厂商,甚至泄露别人数据的平台,自己的数据也发生了泄漏。更可怕的是,很多专门盗取别人信息的黑客组织自己的工具也泄露了。这是很大的讽刺。

隐者老王已经适应了“布道者”这个新角色,向现场观众描述他眼中的网络安全世界。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

【老王在幻云发布会现场】

他陈述的是事实。各大顶级企业,包括专门从事网络安全的企业和组织,不可能不重视网络安全。纵然投入金山银海,就是没有办法抵挡住老王和一哥这样的黑客进攻。

在老王眼里,很多企业对于黑客如何思考和进攻一无所知。这使得他们精心构建的“马奇诺防线”沦为昂贵的摆设。因为黑客往往会在某一个特别的位置上发现弱点,从而整体绕过防护机制。

老王举了一个例子:

每个人心里的密码都不是孤立产生的。你的密码一定带有个人色彩,和你的经历或性格有关,这本身就为黑客破解密码埋下了巨大隐患。如果管理员想要“合规”地编出一套和自己毫无关系的随机密码表,而且按照规定让所有的密码生存期都不超过90天,那么他一定需要维护一张长长的密码表。


而这恰恰又触及了安全的禁区——密码落于纸面。


内网渗透的基础并不在于找到应用漏洞或者没打补丁的系统,很多时候在于找到那张密码表。使用密码表上的密码入侵内网,是完全符合内网防护策略的。

这只是千万条“黑客思路”中的一条。老王不觉得传统的渗透测试可以很好地找到网络存在的问题。

渗透测试就像是军演,而军演是有剧本的。在真正的战斗中,战斗机可以躲在客机底下,潜艇会隐藏在客轮下面。这些开脑洞的进攻方法是绝不可能出现在演习里的。

老王曾经对雷锋网宅客频道讲,

内网,对于外人来说是一个神秘的地方,但是如果你去询问任何一个黑客,他都会大笑着告诉你:只要突破边界进内网之后,就畅通无阻。内网的安全最烂。

如果打个比方的话,很多企业的防护都像是榴莲,外表锋芒毕露,里面软滑香糯,只要你能从裂缝进入,就可以畅享战果。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

目前并没有很理想的技术来保护内网安全。这也是他联合一哥,还有另一只神兽黑客 CP 创建锦行科技的原因。这些“老奸巨猾”的“神兽”们,提出了一种全新的内网防护策略——开门接客。

为黑客“造梦”的幻云

“开门接客”并不是放弃防护投降。恰恰相反,是接受黑客可能突破边界防护的事实。但是,当黑客历尽艰辛终于攻进内网,踏入的却是早已备好的“盗梦空间”。

这个盗梦空间名为“幻云”。

幻云的基本原理是:模拟出和企业真实情况极其相似的内网环境,让黑客在这个“盗梦空间”里打转,自以为正在一步步获取目标信息,接近想要的内容。而实际上他的一举一动都暴露在幻云的监控下。

这个逻辑听上去简单而解恨。但是,黑客来犯的目标肯定是企业的真实内网,如何保证黑客一定会踏进幻云的陷阱中呢?

老王给雷锋网宅客频道举了一个例子:

黑客就如同入室盗窃的小偷。如果他进入一幢房子,里面有五扇门。他没办法判断哪个门后藏着想要的东西。事实证明,如果我是那个小偷,我会从我最容易打开的那把锁开始攻击,然后寻找是否有暗门、窗户等等其它通道进入别的房间,就算没有,也可以开辟一条进入别墅的通道,从而不必每次从大门出入,站稳脚跟之后再来判断周围的环境。

实际上,幻云在真实的内网系统部署了多个“捕兽夹”。这些捕兽夹都是有经验的黑客在进攻中非常感兴趣的节点。只要黑客踩到任意一个兽夹,之后他所有的进攻都会被静静地引流到位于云端的幻云中。接下来,黑客的所有攻击行为都不会对真实系统有任何影响。我们可以坐在屏幕前,看这只困兽如何一步步暴露形迹。

整个过程中,诱导黑客踩中捕兽夹,成为了问题的关键。

捕兽夹只是一个工具,而问题的关键是把捕兽夹放在什么位置。只有对猎物了如指掌的猎手才能把兽夹放到猎物的必经之路上。而这时,需要的就是老王这样的黑客前辈的经验。

锦行首席运营官 Oscar 如此解释幻云的独门绝技。

Oscar 曾经担任腾讯安全平台不品牌运营及对外合作团队负责人,曾在腾讯内部和黑产斗争多年,他深知用好这样的捕兽夹对于打击黑产黑客有多大的意义。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

【幻云的主要功能】

“黑客意图”——无价之宝

感知到黑客入侵固然重要,但是,判断黑客的意图同样重要。Oscar 说,幻云系统不仅可以再现黑客攻击的所有步骤,还可以根据黑客的行为判断黑客的下一步意图。

了解对方意图有多重要呢?他举了一个有趣的例子:

小时候我不喜欢写作业,爸爸为了防止我一个人在家的时候偷看电视,进行了“关键节点对抗”——每天他出门时,都把那根闭路电视线装在包里带走。


但是,他不知道我的真正目的其实是打游戏。每次他一出门,我就用游戏机连接电视打游戏,而在他回来之前,我会把游戏机物归原处。包括游戏卡的叠放顺序,游戏机盒子的角度都丝毫不错。我还会用湿毛巾为电视机降温,销毁电视机曾经工作的证据。


你看,不知道对手的意图有多可怕。

幻云产品总监胡鹏讲述了一个真实案例。

某公司被黑客入侵,但是黑客只对 VPN 登陆的信息感兴趣,并且仅仅盗走了这部分信息。看起来这对于公司并没有实质性的伤害。但后来的调查表明,这家公司为其他公司提供服务,而这些 VPN 登陆信息,正好和它的服务对象相关。结果证明,黑客的真正攻击对象是这家公司的客户。对于攻击者来说,拿到这些数据就足够了。如果没有对于黑客真实意图的判断,那么另一家公司已经陷入了危险之中。

幻境或是雷区

严格来说,幻云的最小粒度是一个个蜜罐,而蜜罐之间相互联系组成蜜网,而蜜网层叠形成蜜场。这种蜜场极其致密,以至于黑客无论进行怎样的动作,都能够得到应有的回应。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

这就像《黑客帝国》中的场景,只要给人类的大脑输入足够细腻的信号,泡在营养液中的人们,会相信自己正幸福地走在宽敞的街道上。甚至有的时候,幻云并不需要完整地仿制它所保护的系统。

有时,完全和真实系统相同,未必会达到最好的效果,而最好的效果,是模拟一个和黑客想象中一样的系统。

老王的总结意味深长。

“黑客老王”联手“乌云一哥”重出江湖,为黑客“造梦”的幻云有多牛?

实际上,黑客手中并没有那个陀螺,来判断自己究竟在真实世界还是在梦境之中。在这种情况下,故事的发展无外乎会有两种可能:

1、黑客极有可能在幻云中打转,每次觉得自己快要接近目标的时候,就被困难阻拦,曙光在前,却无法挣脱。他使用的所有工具和进攻方法,都被幻云掌握,而真实的系统毫发无损。


2、黑客也许会怀疑系统的真实性。但是他却找不到任何的证据来证明自己处在虚拟世界。因为他的每一条指令都会得到应有的回应。这种情况,就像面对一片空旷的场地,有一个牌子提示:前方雷区。如果冒进,黑客担心所有的行踪,乃至使用的攻击木马,包括 0Day 漏洞武器,甚至把自己的身份都暴露给了对手。黑客此时冒进,无异于自废武功,代价高昂不可承受。于是他踌躇不前。

这两种剧情,我们都喜欢。

Oscar 说,幻云和传统安全防护产品并不冲突。毕竟德军是被马奇诺防线逼迫无奈才铤而走险最终选择绕过,而在希腊使用“特洛伊木马”之前,特洛伊人顽强抵抗了九年。

在电光火石的对抗中,幻云提供了宝贵的应对时间、信息和不断浮现的真相。这些,能够给黑客最后的致命一击。

幻云的核心理念可以总结为“欺骗防御”。而欺骗防御,在全球安全界都是一个最新的方向。“神兽”们的努力,让中国人在欺骗防御的方向中,占得了先机。

据此,他们值得敬佩。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说