高显嵩,国内著名网络管理及安全方案解决专家,中国“网络信息安全与政府监管”专家组成员,中国取证技术研究组成员,东方标准资深网络讲师;
? 网路安全的十面埋伏
“病毒已不再是黑暗中隐藏的“黑手”,而是已露出凶相的“狼群”。但是许多人并没有意识到自己已经陷入包围圈。”
在中关村的星巴克,记者和这位战斗在“黑客帝国”中的老师一见面,他就很快进入了状态,像在讲台上一般,滔滔不绝地向我们描述起这个充满了战斗、对峙、追踪和智慧的网络安全世界。
“中国现在网络安全的大环境,就像是洪水压力下千疮百孔的河堤。国际互联网保安公司symantec的报告说,中国已经成为全球黑客的第三大来源地。但是我们却缺乏像发达国家那样健全的防范措施,反黑客法律不够完整严密,也缺乏足够的震慑力,不少法律条款界定含糊。特别是在时间上,法律法规修订滞后,难以跟上数字时代的快速‘升级’。”在网络安全的世界里摸爬滚打了数年,高老师的每句话都透着责任感和忧患意识,“黑客跟我们的距离,远比想象中要近得多。95%左右与因特网相联的网络管理中心都遭到过黑客的攻击或侵入。正式报道数据显示每一秒钟会有5起黑客事件发生。而这些不过使冰山一角,未被报道的数量要远远大于已知。
2007年初,灰鸽子事件引起了公众的注意和恐慌,其实在好几年前年,高显嵩就注意到了这个庞大的地下黑金王国。“这个木马一直以商业软件的形式在卖钱,长达5年之久,年收入过亿,如果不是年初引起了媒体和公众关注而被查封,它仍能继续肆虐下去。还有熊猫烧香病毒、威金病毒这些病毒也都是有盈利目的的。”
“如果说网络安全像是洪水面前千疮百孔的堤坝,那么公众淡薄的安全意识,就像是玩忽职守的巡堤人。”谈到中国的网络安全现状,高显嵩颇为担忧,“许多人一上网就忙着学习、工作和娱乐,对网络信息的安全性无暇顾及,安全意识相当淡薄。大多数网络经营者和机构用户注重的则是网络的经济效应,对安全领域的投入和管理都远远不够。很多病毒都要比熊猫烧香更危险,造成的后果更加严重,但因为病毒的作者没有被抓到,没有引起媒体的关注,所以很多人都不了解。其实,数以十万计的病毒,正像白蚁群一样在威胁着、摧毁着网络世界。”
? 走进黑客帝国
高显嵩的本科专业是电子。毕业后,他参加了Mase认证考试。网络安全的大门逐渐在他的眼前打开。
“2001年,网络在中国刚兴起不久,当时我从事一份网络维护的工作,当上了网络安全的专业‘警察’,2001年,我和大名鼎鼎的“红色代码”(Code red)病毒遭遇。这个病毒将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,被称为划时代的病毒。它先是在美国等地大规模攻城陷地,引起恐慌,然后又掉头猛攻中国,北京沦为重灾区。
“第一次和一个看起来气势汹汹的病毒交手,我心里有点发怵,不过,仔细研究了一下它,我就发现它虽然能够迅速传播、并造成访问速度下降,涂改网页,导致大面积的网络服务器瘫痪。但它并不将病毒信息写入被攻击服务器的硬盘,因此并不是非常危险的敌人。仔细读读它的代码,我又发现了它有自身漏洞,再上论坛和一些病毒研究爱好者们探讨了一番,我就对这个看起来吓人的病毒有了数,它是完全可以被打败的。”
这次交手的小小成功,让高显嵩对这个看似神秘莫测的黑客帝国充满了兴趣和征服的渴望,“我想,可能从那次对阵开始,我开始一步一步走进了网络安全的世界。”
“‘黑客’并不是上天入地的高手,来来回回也就那几种招式。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料;破坏性攻击是要电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。常用方式有后门程序、信息炸弹、拒绝服务、网络监听、密码破解这几种。都是可以一一进行防范的。”在不断和黑客们交手的过程中,高显嵩越来越了解他们,“有时候,他们攻击的网站的确有漏洞;可就算没有漏洞,也能巧取。一个公司的局域网里,对技术不太感冒的市场销售人员邮件是最容易被攻破的,黑客先冒充潜在客户,骗取市场销售的信任后,通过邮件发给他一些木马程序,邮件一旦被打开,就把病毒传播给了局域网里的其他机器,甚至管理员的机器也不能幸免,这就攻陷了;还有些网络管理员的警惕性不够高,不管什么地方都是用的同一个用户名和密码,黑客们就上网搜索管理员的帐号和密码,然后大摇大摆地攻入管理员的电脑,种植完后门,再把自己的作案痕迹擦得干干净净。身不知鬼不觉地控制了整个局域网。”
除了和黑客军团间的战争,高显嵩还曾当过朋友的‘救兵’,和一个黑客真刀实枪地交过手。“他第一次攻陷网站的时候,管理员没有什么经验,就直接把系统给重装了,我看不到任何他留下的蛛丝马迹。不过,根据我的经验,他一旦看到网站重建,肯定还会再来。于是我重新设置了一番,保护好网站的日志,留下一个漏洞等着,就好比猎人布好了陷阱等狐狸钻进来。果然,他很快又来了,他的贸然进攻,让我看到了他出招的方式,很快堵住了网站的漏洞。”
说起这段往事,高显嵩还忍不住跟我们分享起他对黑客心理的研究来。“干这件事情的人一看就知道是个小孩子!”高显嵩笑着说,“他攻陷了我朋友的考研网站后,还在主页上给他的女朋友留下了一句话‘×××,我把这个网站给黑了,你看我多厉害!’很显然,这个年轻人攻陷网站的目的,只是为了通过这种方式来像女朋友展示自己的‘能力’。就是很多黑客新手的心理特征。”
“黑客大多是有征服欲的,一旦他不能再控制原来的地盘,往往还会再寻找机会挑衅,所以,要做好网络安全,最好在一开始就把篱笆扎紧,不能有侥幸心理。”高显嵩说, 在这次对阵中,他曾经很轻易查到了对方的ip地址。但考虑到漏洞已经被堵住,也没有什么重大的损失,就没有再追究下去。一年后,高显嵩听朋友说,网站又遭到新的攻击。“这次的ip地址是韩国的,我用一些反黑客技术潜入了这台韩国的电脑,发现这个机器也只是黑客的一个跳板,细细一查,还是那个罗湖区的。”所以高显嵩常常告诫一些朋友,在一开始就要为网络安全作足准备。否则,一旦被人攻破,就很容易长期成为黑客练手的对象。
? “警察抓小偷”的高氏教学法
“大学生们可能计算机水平很高,但是网络安全往往是他们的短板。”高显嵩说,“大学教材四五年才有一个更新,但黑客们每天都在进步和更新,理论式的教育方式,不能应对已经如大潮涌来的互联网安全问题。”
对于现在高校和某些培训机构的网络安全教育方法,高显嵩充满了担忧,“除了理论教条之外,现在很多论坛和机构都在向学生灌输一些国际上的安全标准。的确,这些标准可能在国外有很好的效果,但是他们到了中国,很可能就变味了。比如说多人负责条款,要求把网络安全防护当成可口可乐的秘方,要同时n个人都达成一致才能通行各个网络安全管理员的职责都是明晰的,且为了防止管理员被商业对手拉拢,都有任期限制,一般要求管理员任期不能超过一年半。但国内的工作模式和国外不一样,整个安全意识,管理制度,管理方法都还没有达到那样的水平。拿一个最简单的人员运用来说,在国内找到一个好的网络安全管理员本来就很不容易了,所以往往一用就是很多年,管理员不主动辞职,企业就谢天谢地了,哪里还有富余的人来轮换?”
为此,高显嵩根据自己的经验,研究出了一套“高氏教学法”,用他自己的话说,就是“警察抓小偷”的实战方法。“为什么老警察一眼就能注意到人群中的小偷,一抓一个准?一个是他们有经验,而是他们完全了解小偷的作案方式。知道怎么出招,才知道怎么解招。因此,我上课的时候主要以实际例子为主,让他们感觉到安全的重要性。我会给他们演示互联网真实侵入的案例,让他们知道网站的漏洞是如何被发现的,又是如何被攻击的。学生的情绪一下就被调动起来了。”他的这种教学方式得到了学生们的认可,一位学生评价道:“有些案例或技术我们只是在网上和流行杂志上看过简单介绍,但高老师就能拿过来与我们一起深入地讨论和分析。”
除了求新求活之外,高显嵩的“警察抓小偷”教学法同样也是苦练基本功的。“学员一般都想听新案例,了解最“刺激”的新战役,对于以前的经典案例兴趣比较小。不过我总是提醒他们,但是作为一个安全专业人士,要是基础和系统性没有打好基础,就算你成了新热点问题的最高手,也没有什么后劲。老警察为什么破案成功率高?因为他看的案例多了,他就有本能地直觉。因此,一定要把基础打牢再打牢,把眼界放宽再放宽,才能有量变到质变的成长。”