嘉宾:
谢朝霞 深圳安络科技副总裁
陈三堰 广州易城科技总经理
主持人:
网易财富中心总监:刘红鹰
网易科技:古丰
比尔.盖茨也算得上黑客
古丰:最近黑客话题很火爆,在刚结束的2006中国互联网大会期间,三天内新网、宝洁、反黑论坛接连被黑了,为什么最近会出现这么多黑客行动呢?今天南方IT沙龙第六期非常荣幸请来了中国第一第二代的“黑客代表性人物”谢朝霞和陈三堰,当然了,黑客早年是爱国主义、网络高手的代名词,现在黑客往往被赋予更多负面的含义,今天两位嘉宾也早已经告别的所谓的黑客生涯,并在各自领域上有自己的成就,但相信两位对最近频频爆发的黑客事件有比较深刻的理解,我们先让两位简单介绍下自己。
谢朝霞:今天来广州首先感谢网易科技给我这个平台,我首先发表下声明,在中国,黑客这词已经被滥用,相信现在我已经可以作为为网络安全代表方来谈黑客这个话题。在2001年网络泡沫破裂后,一度出现很困难的情况,我们坚持下来把网络安全作为主营业务。现在困难已经过去,产业的前景不错。
刘红鹰:谢朝霞以前在江湖上的名号叫什么?
谢朝霞:老毒物是我早期聊天室的网名,后来传开了成为我的代号。
陈三堰:我来自第八军团,99年创办,感谢网易科技今天提供的机会。关于黑客,这个词已经被滥用了,我深有同感,现在也不想提到这个词语,一般人认为黑客是很神秘的人物,偷QQ,黑网站等,实际上真正的黑客不会这样做的。我的网名是陈三公子, 99年华南理工大学毕业,之后做过老师,后来由于崇拜电脑报里的陈三公子,取这个名字也是因为崇拜,目前主要从事网络安全行业。
刘红鹰:很有个性的两位家宾,从你们的个人经历开始向我们的网友讲解下如何?
谢朝霞:很有必要在开始讨论前,对黑客这个词做个定义和划分,HACKER本意是做一件漂亮事件的人。公认为互联网最早的HACKER是写操作系统的人,包括比尔.盖茨等人,他们是最早对互联网做出贡献的人,也能称得上黑客。目前黑客有三种类型是公认的,一是对网络有贡献的人,二是发现漏洞的人,三是利用攻击手段的人。白帽子是做兵器的,黑帽子是用兵器去杀人的。还有介于中间的灰帽子。网络安全公司里有很多曾经被称为黑客的人,他们不是金盆洗手,他们是把自己的技术应用在对社会有益的地方。他们是白帽子。还有发现漏洞,促使厂商发布补丁的也是正义的黑客。
陈三堰:对于谢朝霞对黑客的定义,我基本认同。刚才说的,黑客注重工具,这点实际上很多黑客也非常注意对于漏洞的研究及工具的制作,可能对于骇客来讲对于黑客工具的依赖会比较强.
刘红鹰:今天很有意思的细节是,二位被称为黑客,却都穿着白衣服,是不是有意告诉别人你们不是黑客?如果现在叫你们黑客,你们愿意么?
陈三堰:实际上我更欣赏的是黑客的学习态度及研究的精神.但是并不因此就可以称之为黑客,我们也是在经历一个学习的过程,别人认为我们是黑客,而自己感觉可能离心目中的黑客距离还很远,这与每个人心中对黑客的理解有关。
中国有500万黑客 攻击百度小孩也能做到
刘红鹰:在普通网友心目中,黑客更多的是攻击者,拿到数据的和黑帮等,可能这些人的行为会被认为在现实社会中的所不能表达的抗议的行为,在中国,这些情绪,生存的压抑,未来的走向,二位是不是可以描述下中国的黑客的发展历史经历了或正经历着什么变化?
陈三堰:中国的黑客出现在95年,那时才是真正意义上的黑客,后来可能又出现了为体现技术的黑客,最近居然出现了犯罪的黑帮,给你发邮件,恐吓你。社会的发展,导致黑客不再象以往那样单纯以技术为目的,而更多的是为了金钱来行动。当然也有最近的事件,是没有任何目的的趋势。黑客现在缺少正确的引导,网络上很多工具,普通人都可以学会相关教程,黑客工具如果被小孩子们学会,如果没有正确的引导,这部分群体就会走向极端。目前我们所看到的,基本都是小孩子们在玩游戏,黑掉网站,挂上自己的QQ,我们看来,这样的行为很搞笑
古丰:您觉得百度、新网是小孩子们能黑的吗?
陈三堰:有些小孩子们可以完成,有很多小孩子手上有很多肉鸡,他们利用很多“肉鸡”发起拒绝服务攻击。前几天反黑官方网站被黑,就是一个小孩子做的,他给我发过图片显示过他的成果,“拥有肉鸡近三千台”,他觉得很有成就感。
古丰:为什么会在2006中国互联网大会三天每天就有一个网站受到黑客攻击呢?会不会是一种有计划有预谋的集中攻击行为?
陈三堰: 新网被黑我不大清楚具体细节,关于为啥选择再大会期间发动密集的攻击行为,可能有人是为了故意制造新闻,这样才能广受关注。
谢朝霞:关于具体事实和情况我不大清楚。从我的经验来看,攻击每时刻都在发生,我觉得互联网大会期间巧合的可能性更大。
刘红鹰:您们被江湖中称为第一代第二代的黑客,你什么时候被称为黑客的,从你的经历来看,黑客会往什么方向发展?
谢朝霞:我不清楚谁给我封上南帝的封号,我唯一的特点可能是从事业内的人中年龄大点。从事安全行业,不可能不对攻击有所了解。我说过黑客分三种。只说白帽、灰帽、黑帽。白帽子黑客的发展将来更多的会在技术上和产品上提供价值。白帽子完全有能力去银行调动数据库,但这是违法的,用同样的能力不如把自己的公司做大。我相信网络安全这个行业会越来越重要,比如电子政务,网上银行,网络游戏,对于网络安全要求很大,因此白帽子的利润空间很大。目前来讲,全球具备攻击能力的人有2000万,按3%-5%比例来算,中国黑客数量也差不多有300-500万。
刘红鹰:一般的攻击手段很多,都有什么,怎么防范?
陈三堰:一般设备上有,操作系统,还有第三方软件都有漏洞,或者服务器上放置的程序都有漏洞,都可以被攻击,一般常用的手段可能是拒绝服务,这个是缺陷,可修改为:网络设备漏洞,操作系统漏洞,还有第三方软件漏洞,或者服务器上放置的程序都有漏洞,都可以被攻击,一般常用的手段可能是拒绝服务,这个是网络协议本身的缺陷。中国的网站很脆弱,目前包括电子政务方面,安全意识很差。而另一方面来说,一些黑客,会在发展遇到障碍的时候,会转行做其他。
有钱的企业最容易受到攻击
刘红鹰:继百度、新网之后,谁最可能成为下一个被攻击的目标?
谢朝霞:有钱的网站和有钱的公司。
刘红鹰:是原生态的人做的还是公司的人做的?
谢朝霞:按目前安全状况来说,因此攻击的成本会越来越高,目的性越来越强。将来从底层攻击的难度会加大,从应用层攻击的会更多,邮件,应用程序,脚本等等方面。面对应用,就要对应用进行研究。因此攻击的成本会很过,目的性更高。
古丰:百度被黑的成本多高?如果你是百度的CTO你会怎么应对?
谢朝霞:更准确说,百度事件是堵塞,这个成本并不是很大的。百度对一般的拒绝服务攻击应该可以化解的。他们有财力。我们安全服务中有这样的服务。如果我百度CTO,一我要加大对主机和安全的投入,二要做好应急措施。这样的攻击是消耗战,你有不同的预案,是可以防范的。对于黑帽子,肯定越来也越多,因为网络应用和空间越大,更多的利益会促使更多的黑帽子发起对商家、个人、组织去下手。
黑客攻击是行侠仗义还是利益驱动
刘红鹰:百度被黑的事情,大家都觉得是正义的表现,二位觉得中国的黑客这样的行为更多的是正义的行为还是经济上的目的?
陈三堰:对百度的了解来说,从前段裁员说,很多人觉得是值得同情的,应该发泄,SK-II也是这样被黑,可能有些高手会表达这样的愤怒的心情。大部分来说,很多高手都有正义感的,但有些事情不是一般小黑客能做的。当然,也越来越多黑客不再象以往那样单纯以技术为目的,而更多的是为了金钱来行动。
谢朝霞:我认为百度被攻击的事件,从目前法律定义来看,国际上是被定义为恐怖行为的,中国已经加入这个协定的,有义务要进行调查的。对于黑帽子,肯定越来也越多,因为网络应用和空间越大,更多的利益会促使更多的黑帽子发起对商家,个人,组织去下手。无论什么原因,去攻击一个网站,这个做法是不可取的,目前我国对攻击网站等黑客行为的查处和打击力度在加大,有攻击能力的其行为稍有不慎可能会成为公安部门的查处对象。如果被攻击方足够有钱,愿意花代价的话,即使拒绝服务攻击,也是甚至可以查出来的。
黑客攻击成为市场竞争手段
观众提问:前段时间各大网站被黑事件,我个人认为有炒作的原因。我所了解,很多做网站的人都被攻击的话,被攻击的流量很大,这样的攻击是机房控制呢还是肉鸡比较多呢?
谢朝霞: 您讲的这个情况,我们有过了解。这样的行为往往是网站经营者之间互相攻击的,办网站的人有很好的带宽,甚至会花钱去攻击他们的竞争对手。可能是有组织的,起因还是商业竞争。
观众:如果是竞争对手攻击,现在新浪、搜狐、网易三大门户也好,搜索巨头百度、google等竞争对手很多,他们应如何面对黑客威胁?
谢朝霞: 我的亲身经历,2000初,我正在融资,那天就有人攻击我,我正演示给投资商看的时候就被攻击,后来我恢复后,攻击持续了一个月后停止,由此,我认为只要被自己的防范做好,就可以了。攻击时间太长长,就容易被查出来。
陈三堰: 我们的防火墙每秒都被人检测入侵,我们不知道是谁,只能自己采取措施去防范,往往有时候攻击也就持续一个月就会停掉。有客户找我们,有损失的,但是对于拒绝服务方面还是办法很少。我们有句话是,只有绝对的不安全,没有绝对的安全。
黑客还会为爱国挺身而出吗?
观众提问:政府如果需要黑客们保家卫国,黑客还会不会像中美黑客大战那样站出来?
谢朝霞: 从我们公司来讲,我们只是做到培训,防范,分析,技术发现。我觉得做到这一点,已经足够了,我们提供了防范手段,告诉了客户用途和手段。个人来讲,我也只会做到培训。
陈三堰:个人来说,特殊时期,你年轻的时候,可能会做些,成年时,除非特别需要,可能会考虑协助。这个问题有些尖锐,私聊更合适。对于爱国情感,每个人都会有的。
谢朝霞: 我要补充,您的问题有猜测。据我了解,只要国家不打仗,就没有网络上的行为。所有的目前的行为,都是个人行为。和平时期,做攻击行为的法律我国与其他国家一样,是有规定的,不可能有组织的。一般的攻击都是个人行为。
网络安全太昂贵 中小企业怎么保护自己
观众提问:我对黑客没认识,没兴趣,但我有个问题,二位多在网络安全方面的公司,网络安全只给国家,给能出得起钱的企业做,但对我们小企业来说,成本太高了,二位你们经营的企业,你们的客户群是怎样定位,我们没有财力的公司,能提供给我们什么服务,给我们什么建议?
谢朝霞: 安全是要成本的,先问你,你能出多少钱?
观众提问:需要看我们付出安全的成本与我们不做安全付出的代价哪个高?你们的服务适合什么人群?
谢朝霞: 您愿不愿意投入您的成本的10-15%来做网络安全。
观众:初期不会,发展大了会,正如正版软件一样,开始不会,公司大了不得不用。
谢朝霞: 我们的服务里有为中小企业服务的,一个月不会超过几百块,基本上满足中小企业的安全需求。行业运营的平台,也差不多可以做的。服务有软件加重大事件上门服务,一般事件的电话支持。
刘红鹰:有一个安全成本的问题,到底一个企业要多少安全成本可以得到安全保障?
陈三堰:很多创业型企业需要考虑很多,公司小的时候,觉得安全成本过高不愿做,大了就不会选择我们这些较小规模的网络安全公司。国内有300多家安全企业走的高端路线,低端服务走的还是很少,可能跟利润少有关系。对于安全厂商,确实很不好做。
刘红鹰:中国安全产业的市场有多大?
陈三堰: 据CNNIC最新公布的调查数据,截止2008年,中国安全市场达105亿。
刘红鹰:转型做安全工作以后,你们现在活得好么?
谢朝霞:现在企业投入的都不一样,很多小企业很少甚至没有,而很多大企业的投入很大甚至浪费。但总体来说,安全市场我们追求的是IT市场5%-10%。
刘红鹰:有黑客放出话,国内几大网站一夜间会被黑掉,有可能吗?
陈三堰:如果说用比较高级拒绝服务来实现或许有可能,这会考虑到"黑"到一个什么样的度,而局部一个小程序,可能是会找到漏洞,但整体被黑掉,是很难的。整个互联网还是很脆弱的,美国科学家的一项研究表明,似乎无所不能的互联网,却有着"阿克琉斯之踵",只要几个关键环节被破坏,整个互联网将在瞬间瘫痪。[阿克琉斯是希腊神话里的无敌英雄,可一旦被射中右脚后跟,就会訇然倒地,软弱无力。]新网这次就是一个典型案例。
谢朝霞: 网络应用和网络安全一定要投入成本,安全是可以得到很大保证的,不能说万无一失,但会让黑客有代价才能黑,这样就有一点保证了。
互联网有没网络黑帮?
观众:黑客让我们联想到好莱坞的大片,像《教父》一样,黑帮到处收保护费,小店交保护费是为了不想受黑帮骚扰,另一方面也需要这些黑帮提供保护伞,不受其他黑帮的侵犯,导致黑帮之间划分地盘。那说到黑客领域,你们之间有没有圈子,有没有互相的潜规则?
陈三堰:保护费,只是个笑谈,网络黑帮是敲诈行为,可以用法律约束,这跟现实的黑势力不一样,不能混淆,目前黑客界还不会明目张胆的要保护费。
观众:今天谈了很多安全,终极的安全是什么样?
谢朝霞: 终极的安全不存在,安全是成本的对抗,技术的对抗,我们做安全的是要做到攻击者不能承受的成本,就是我们的目的,我们是让客户最少不是最脆弱的。而且安全是持续的投入,不是一次性的。
法规对黑客监管日益严厉 黑客未来往哪个方向发展
刘红鹰:黑客里有学生,有黑帮,有恶作剧,我们的法律足够对这样的行为规范和约束吗,还是需要道德来约束吗,二位怎么看?
陈三堰:真正意义上的黑客是知道自己可以做什么,不可以什么.从目前情况来看黑客行为上会有两个极端,一是年轻化,二是工具的傻瓜化智能化,在这样的情况下需要我们社会进行正确的引导,CCTV曾经暴光过,有黑客组织犯罪,5月份国家有条例出台,绝对可以对黑客行为进行严厉处罚的.黑客技术,你可以去研究,也可以去爱好,但不要去危害别人的利益,这样就好。
谢朝霞:道德上来讲,中国最早的黑客Coolfire,就发布过黑客守则,其中就有有不要受利益的驱使,不要去为攻击而攻击两条。我们发布漏洞,都不会赞成为攻击而攻击的。基本的道德原则和社会上的道德是相融合的。法律上讲,目前处罚和打击力度很大。早期黑客做错一些事情,还可以戴罪立功,现在肯定不行,公安毫不手软的。这与现实中的事情也是一样的。
刘红鹰:从黑客到安全卫士,你们愿意对网络上的坏孩子说些什么?如果把这个看做青春期,该如何渡过,你们有过经验吗?
谢朝霞: 不是坏孩子,只是掌握攻击能力的人,有能力不是坏事情,关键是不要做侵害他人的事情。我们没有义务和权利去告戒他们,只是想说,是自己去负责,家长去负责,要负责。
古丰:早上,一个初中小孩和我聊天,他说十一国庆快到了,放假前我要争取时间多黑几个网站,“我喜欢这样的事情。在黑客界,小榕和老毒物都是我们的偶像。”作为第一代的老前辈,对于后辈们有什么忠告吗?
陈三堰:小榕和老毒物以身做则,给大家做了很好的表率,高深的黑客技术是用于正道上的。有些人挂马,盗窃他人数据,搞违法活动,这些都是不可取的。做为黑客时刻都在经历金钱利益上的诱惑,实际上很容易陷进去。有个报道,一名15岁的中学生利用黑客工具黑了不少网站,结果被警察逮住,看到警察,这名学生吓得哇哇直哭,说只是改了首页,其他没做什么,这样的事情表现出,小朋友们没有法律的意识,也没有自我约束的能力。
刘红鹰:如果你是信产部管理安全的官员,你会对宏观上做个什么梳理,国家的IT安全?
谢朝霞:我只发表表个人观点,网络安全要加强,一是要法律要规范,二是安全的产业政策更要完善,我们安全公司有时会有制约和不公平的待遇,三是要用户这里也要根据自己的实际情况做自己的措施,媒体也有舆论的责任,大家都重视,才可以越有保证。
观众:据网上流传,二位参与过中美黑客大战、台湾攻击等爱国主义行动,带上“黑客”这个北京,虽然现在“从良”了,现在有没被有关部门“秋后算帐”的担忧?黑客高手之间会不会经常切磋武艺呢?
陈三堰: 不存在从良的问题,我们向来都是好人。因此我们的心理上有任何压力。对于我们,学习和研究,是我们本身的爱好,更多精力是放在我们的技术上。更多的事情都是网络上的传闻。
谢朝霞: 中美黑客大战时,我正开车往湖南走,我们没有时间参与。很多做安全的人,向来没做过什么坏事情,不存在从良的事情。
黑客的最终归宿在哪?
观众:黑客其实代表了一群人,是在玩网络的极限运动,二位能不能给现在正在以兴趣为目的的黑客的人有什么建议,如何做职业规划?
谢朝霞:你说的是一部分人,不会是全部。这部分人好奇心,探索欲望强,但一定要规范,不小心就会违法,技术是很有价值的,多去研究,多去研究有价值的技术,去开发有价值的工具,让自己去合法的赚钱,合法的去收取费用。总之,合法!
陈三堰:用自己所学,用在合法的方面,只是准则,在这个基础上去做自己的职业规划,在将来一定会出现反网络黑客的队伍,目前从业人员都不是专业学习出身,一部分黑客将来会做反黑客的职业,当然技术到了一定的层次,会成为专家。
刘红鹰:最后的时间里,二位对黑客做个定义?
谢朝霞: 黑客源于HACKER这个单词,具备网络攻防能力的技术人员,分白灰黑三种。
陈三堰: 所有的掌握的计算机技术的工作者中优秀的人。
谢朝霞: 攻防是分不开的,一般的技术人员有防能力未必有攻的能力。
刘红鹰:不论在定义中什么人是黑客,无论是否有商业目的,还是有组织的破坏者,实际上,黑客江湖上有很多故事,很多事情在发生,有很多猫抓老鼠的游戏,有很多生存的潜规则。更多的是我们的猜测和表面的认知,今天我们的活动更多的是让大家去了解黑客的成长历程,希望今天的会希望能为大家带来启发。今天的沙龙到此结束,谢谢各位。