近日,央视新闻频道和央视财经频道相继报道了一个神秘的群体——“白帽子”黑客。一提到黑客,许多人都会想到个人的信息被盗和网络欺诈。但是也有这样的一群黑客,他们以发现网站的程序漏洞为职业,必要的时候甚至会破解一些恶意黑客程序来攻击他们的网站,于是这些酷似网络侠客的电脑高手,有了一个专门的称呼叫“白帽子”。
小白是一家网站漏洞平台的程序员,他的日常工作就是利用自己的网络知识,去发现各类网站的安全漏洞。但因为种种原因,小白并不愿意直接面对我们的镜头。“我虽然戴面具,但是其实我从来没干过坏事。社会上普遍一些人可能对我们有一些偏见。或者有一些错误的认识,我们也是出于一种保护自己的考虑。”
在网络技术圈自里,像小白这样的所谓“白帽子”黑客并不少。但因为在查找网络安全漏洞的过程中,单打独斗的白帽子经常遭到对方的误解。所以他们都加入了一些规模较大的漏洞平台。
小白说:“我圈里有一个朋友,他之前发现列某家企业网站的安全漏洞,他尝试直接跟这个企业进行沟通,没想到那个企业直接报警,并带着警察到他们的公司。”
小白告诉记者,自己的日常工作主要是查找、确认各类网站的程序漏洞,然后通过漏洞平台通知对方。另外一些网站还会通过悬赏的方式鼓励“白帽子”举报网站漏洞。但有的时候,他们自己也会遭遇恶意网络黑客。一天,小白收到了一条伪基站群发的假冒中国移动10086的钓鱼短信。
360漏洞相应平台安全专家邓焕接受记者采访时介绍:“短信其中的内容就是告诉受害者,你有大量的积分没有去兑换,然后其中会附带一个网址,让用户直接能点击过去,让你输入银行帐号以及密码,这个时候,你所有的信息都会被攻击者掌握,他会把你的个人隐私收集到第三方的后台,然后利用这些信息去模拟你的身份进行消费。”
随后,“白帽子”对发送这条恶意钓鱼短信的黑客后台进行了攻击,破解之后里面的内容让人大吃一惊。
邓焕介绍:“我们攻击黑客他所使用的后台后,发现了一些信息,其中包括一些身份证号码、银行卡账号,包括一些它的支付密码,以及你的信用卡的后三码等等,都存在这上面。”
在黑客的网络后台,技术人员发现大约有400多人中招,包括卡号、开户姓名、联系方式等银行卡信息一应俱全。记者随机选取了一位受害人资料进行核实。
记者:“您好,是李路路吗?”
“对,我是。”
“前一阵你是不是收到过一个(假冒)10086的兑奖的短信?”
“对呀。”
“你的身份证号(前几位)是4109231991对吗?你还不知道你的个人信息泄露了是吧?”
“对,我不知道。”
起底恶意黑客:哪类网站易受攻击?
如果把发送钓鱼短信比作守株待兔,那么利用网站的程序漏洞来进行恶意入侵,那就属于主动攻击,这种黑客的恶意危害性无疑更大。下面我们来了解一下哪些网站容易成为黑客恶意攻击的目标?
第一类网站是与各级政府部门相关的网站,第二类是网络游戏类网站,第三类是电子商务类网站。这些网站要么是更新速度比较慢,要么是刚刚上线不久,网站很容易在不知不觉中出现代码漏洞,从而被恶意黑客盯上。
360漏洞响应平台负责人赵武向记者分享了一个案例:“这里可以看到某个省的矫正中心,在这里我们看到一些服刑人员的信息,包括刑期、犯罪类型等,甚至我们可以对他的记录进行修改,包括刑期的修改,定位的修改,解除监控等类似这些都可以做到。一旦发现类似的问题,我们会通过几个通报渠道,给这个企业或者是政府网站进行一个通报。或者反映给国家应急响应中心,他们会对这些地市的或者省级的下级机关发送一个安全通报,让他们进行整改。”
法律专家:如何当好“白帽子”
目前,各种网站的程序漏洞层出不穷,恶意黑客技术越来越隐蔽。而从维护网民利益的角度来看,“白帽子”似乎是利用了黑客技术站到了正义的一边,但目前国内对这类网络技术行为的规定并不清晰。
中国人民公安大学公安管理学院副院长魏永忠教授告诉记者:“目前这个机制应该说还不够完善。有的时候,负责计算机安全防范的这些运营部门,他们是承担着一定商业的职责,但是真正纳入到国家的体制当中,确实给予他们合法的地位,在这个方面现在还有一些欠缺。”
专家认为,致力于为网民提供网络安全保障,需要有专门的机构。首先必须是合法注册,具备相应的服务资质,同时获取技术资料、提供技术服务的手段必须合法,这样的“白帽子”和相关漏洞响应平台才可以提供有效的反病毒服务。
