【前瞻】勒索病毒爆发背后的中国“白帽黑客”现状

中央广播电视网北京5月21日电（记者王思源）据经济之声《中央广播财经评论》报道，从12日开始，一种名为wncry的计算机软件勒索软件在全球爆发，除个人系统外，该病毒还攻击全球100多个国家的政府和公共网络，包括机构、企业、商场和学校。

勒索病毒全球闹剧高额赎金“信息绑架”

勒索软件是黑客使用美国国家安全局意外泄露的黑客武器“永恒之蓝”进行的变种攻击。互联网黑客可以在不采取任何行动的情况下在计算机和服务器上植入勒索软件。一旦被感染，计算机中的文件就会被黑客加密。受害者需要支付超过 300 美元的赎金才能解密，而且赎金会随着时间的推移而增加。如果一周内不支付赎金，加密文件将被“敲竹杠”销毁。

为什么 NSA 网络武器会泄露？为什么黑客使用比特币作为赎金？ “影子经济人”是个什么样的神秘组织？国内保卫网络安全的“白帽黑客”如何生存？中国是如何留住这些特殊人才的？国内顶级白帽黑客之一郑文斌对这些问题进行了分析解读。

“白帽黑客”郑文斌——360安全总工程师，国家网络安全杰出人才，国家漏洞库特聘专家，3次pwn2own世界黑客大赛冠军，2017年冠军领队。

按照病毒爆发的12天来看，这几天正是黑客的“数据撕裂日”。然而，截至18日上午，全球共有292人支付了8万美元的赎金。一方面，安全厂商在积极做数据恢复，很多组织通过“断网打补丁”的方式来防范病毒。另一方面，很多人和企业都不相信黑客。

黑客也“违背了他们的承诺”。据说赚钱的人没有收到解密数据，甚至导致黑客圈发出“盗窃也是对的”号召，警告“敲诈者”不要破坏行业声誉.

反复出现的神秘“影子经济人”在哪里？

这个病毒的源头是NSA网络武器“永恒之蓝”，它发现了微软底层系统的漏洞，通过445端口入侵（通常是企业内容部门共享资源，比如连接打印机等）。郑文斌介绍，微软早前公布了漏洞和系统补丁。目前可以通过系统补丁进行病毒防护，但中兆电脑的数据仍难以完全恢复。

郑文斌：“没有办法保证100%恢复。这取决于恢复的时间和加密文件的数量。另外，取决于加密是否存在漏洞。如果算法没有完美，如果能破解就够了。100%恢复，不过目前世界顶尖的研究人员都在研究，但还没有结果。这条路走的可能性很小。”

在敲诈勒索中，黑客要求比特币支付赎金，这是黑色行业不成文的“规则”。因为比特币使用了特殊的算法，可以实现“去中心化”，消除交易痕迹，确保黑客不被追踪。这个病毒的始作俑者是一个名为“影子经济人”的神秘组织。 NSA“永恒之蓝”网络武器于 2013 年 5 月被影子经纪人窃取

郑文斌：“最早是由美国国家安全局的‘公式’团队开发的，这是世界上最强大的国家黑客团队。这次是他们2013年的网络武器，被一个叫Shadow Economic Man Hacker组织的人，不知道怎么“黑”和偷，去年下半年，影子经纪人出来卖了100亿美元，大家都以为是骗子不理他。他们还在网上贴了很多样本​​文件，我们实验室验证发现它可能是美国国家安全局的武器。上一次特朗普下令袭击叙利亚军用机场是在4月份，影子经纪人很生气，声称免费释放武器，这是导火索。但影子经纪人非常低调和秘密，没有人知道他们来自哪里，也不知道他们是如何偷走的。”

中国“白帽黑客”现状：从“没钱伤感情”到“高薪高端人才”

目前，世界安全行业与虚荣和影子经纪人的战斗仍在继续。像郑文斌这样的安全从业者被称为白帽黑客，他们与影子经济人这样的黑客组织作斗争，保护公共网络安全。

中国的白帽黑客在世界上处于高水平。每年都会有针对系统、硬件、攻防技术的GEEKPWN和PwN2OWN黑客大赛。 “黑客大战”，发现系统漏洞并加以改进。在这些比赛中，36家腾讯等国内安全厂商纷纷取得佳绩。国内保卫网络安全的“白帽黑客”如何生存？中国靠什么来留住这些特殊的安全人才？

2008年之前黑客为什么没人破解比特币，“黑客”在中国的生存环境恶劣。

首先，收入低。当时的安防行业主要依靠传统的IT方式来销售安防软件，一套CD-ROM要几百块钱。产品价格昂贵，安防公司线下销售成本高；技术专家不赚钱，被迫成为黑客：有良心的人会捆绑一些流氓软件，出售私人信息；没有底线的人，就会卷入经济犯罪。

第二，当时的社会对安防领域不太重视，地位也不高。据我观察，在个人素质方面，安防行业对人才的要求甚至高于职业体育。很多顶尖高手都不厉害，初中都没读完。那个年代，再高的水平，也很难找到工作。

可以看到，“钱不到位，心理感受还受到伤害”，很多高手去打黑生产或者被迈克菲等海外安全公司挖走。

郑文斌：“2008年之前，很多黑客技术很强，但是没有办法赚钱。技术人员很无奈，要么不做安全，要么搞黑生意。当时，中国的互联网非常混乱，黑产和木马很多。”

2008年之后，安防行业发生了重大变化。 360率先宣布要做免费杀毒。这个商业逻辑是增加用户数量，通过用户流量带来广告等收入。比如一套几百块钱的软件很贵，100个人买了； ，有数百倍的用户，这些人在安全厂商的平台上“观看”和下载他们需要的软件和广告，这给安全厂商带来了更高的收入。换言之，互联网安全彻底改变了传统 IT 安全行业的生活。

完成这一轮产业转型，随着近年来中国互联网红利的释放黑客为什么没人破解比特币，国内安防企业在技术和资金实力上都有质的提升；安全公司熟练的“白帽黑客”有年薪、股票期权和竞赛奖金激励，收入不便宜。

郑文斌：“2008年之前，McAfee（美国知名安全公司）的CEO来中国看：哇，黑客这么多！我给你一个月5万美元，给我干活就行在中国。傻，50,000 美元？太多了！很多人去迈克菲工作，现在情况不同了。”

思源：“中国公司能给出这个数字吗？像你或其他顶级白帽子。”

郑文斌：“超过这个数字。

思源：“每月50,000美元？”

郑文斌：“最靠前的，包括股票和红利，都能超过这个数字。国外证券市场萎缩，很多人愿意回来。”

除了收入，还有社会地位的提升。国家网信办、教育部、科技部等部门发布的文件指出，国家战略层面要大力推进安全人才培养。行业数据显示，2020年我国重要行业网络安全人才需求量将超过140万人。

在斯诺登之后，各国将网络安全提升到了前所未有的高度。郑文斌表示，无论这次wncry病毒是否爆发，现代网络武器和攻击系统都是客观存在的。安防行业与黑色行业的竞争和高水平的国际竞争已经开始。

郑文斌：“现在很多人都知道美国有国家安全局和网络武器。中国近两年开始提出国家安全问题，没有网络安全。但在此之前，已经进行了许多攻击在水下。在公众面前，保安人员就知道这一切。”

对勒索软件浪潮的反思：国家安全需要“实战考验”

1、【wncry事件背后，市民的整体安全素质有待提高】通常情况下，我们认为企事业单位的内网是绝对封闭安全的。但实际上，由于人数众多，操作不规范，病毒入侵了。

根据IDC数据，中国政企IT系统建设投资中，安全投资金额仅占2%；在发达国家，这一比例为 9%；对风险的能力、意识和承担最大，损失最小。

2、[实战是最大的试金石]

任何行业都是这样。这段时间，网络上曝光了许多传统武术和自由散打选手，引发舆论对传统武术“实用型”的思考。

国内安防行业实战性质相对乐观。很多安全厂商内部都有安全AB团队互相推销，竞争非常残酷。厂商之间的竞争也是如此。两年前在国内的黑客大赛上看到了这一点。

台上的安防公司正在演示如何破解家用路由器和智能门锁。破解时间长了，锁也打不开；发现台下有一队敌对的“朋友和商人”，他们从空中发出干扰“踢餐厅”；现场主持人 我很着急，想检查整个球场；台上的白帽队更加积极了，说道：“不，我们来测试一下。”结果，双方在空中交手。成功后，“朋友和商人”悄然离去。它令人印象深刻、有趣且有意义。

任何行业都是“实战行业的综合实力和发展”。无论是wncry病毒还是未来的各种危机，恰恰是对国内安防行业的“大考”，无论是国内的黑行业，还是国家间的安全对抗，都需要筛选出“有能力的供应商”快速启动和应对危机“”。