拼多多天才黑客疑似被强制开除,这个黑客究竟有多厉害?
这位天才黑客少年叫Flanker Edward,小小年纪的他就远近闻名。他究竟是一个怎样的少年,让我们来了解一下。
在15岁的时候,Flanker就被浙江大学录取。此前,他也是和其他普通孩子一样为高考发愁,他喜欢计算机,但是家里人却让他多多学学化学,觉得化学对以后很有帮助,是很有用的学科,学计算机就是玩物丧志的,但是,这位天才少年没有放弃对计算机的喜爱,少年时期,参加过大大小小关于计算机的比赛,也获得了一些奖项,不过,Flanker还是以化学竞赛为主,不断地参加化学的各种。赛。后来这些化学奖项帮助Flanker成功地进入了有名的浙江大学。
进入浙江大学后,Flanker就可以掌管自己的生活,他按照自己的意愿去参加了各种有关计算机的竞赛。最开始的就是ACM的国际大学生程序设计竞赛,后来他又顺着这条路找到了CTF,去接触了CTFA(Capture The Flag,网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)
19岁那一年,在有安全圈奥斯卡之称的Defcon总决赛中,Flanker所在的蓝莲花战队历史性地作为华人世界首次入围DefeconCTF总决赛的队伍。
这是Flanker的骄傲,更是华人的骄傲!这也是这个黑客天才的厉害之处。
后来,Flanker有了自己的目标职业方向——他想成为一个安全研究员。
Flanker的这些小小成绩让他有了一定的曝光度,他也因此有了更大的就业机会。于是,在机缘巧合之下,Flanker进入了腾讯安全科恩实验室。在这里,Flanker得到了锻炼,也见识到了同龄同行人所不能见到的。他也在这里有了更多的机会,在一些国际比较先进的方面取得了不错的成绩,但是最终,Flanker还是离开了腾讯安全科恩实验室,去到了业务安全领域。究竟是什么原因,目前我还尚未了解。
在Flanker还未满26岁的时候,他加入了某知名美股上市公司,并在这个公司担任了技术总监,负责监管公司的安全。
美股闪崩事件,却是因为这个神秘哥的操作导致,他有多神秘厉害?
在整个市场都毫无征兆的情况下,美股开始急速暴跌,20分钟之内,道琼斯指数整整下跌了9%,所有的股票都像自由落体一样,整个市场都懵了,什么情况?然后紧接着不久,市场又开始反弹回来了。嗯,短短的36分钟,就出现了美股 历史 上最快最猛烈,也是最诡异的崩盘,这就是flash crash闪崩事件。
美国监管局也不知道发生了什么,于是他们花费了巨大的功夫,挨个儿去约谈华尔街那些大投行的对冲基金,想调查他们当天的每笔交易。可是离奇的是,整整五年的时间过去了,还是查不出一点蛛丝马迹。这些西装革履华尔街精英,他们可能很难想到,远在大洋彼岸英国的一个郊区里,一个普普通通的小镇上,一个普普通通的二楼小房的卧室里,一个看着普普通通的神秘少年,竟然是整个事件的始作俑者。这就是故事的主人公,神秘哥他全名叫做Nevada since太难读了,我们还是就叫他神秘哥。
这个神秘哥,整天就在他那卧室里头捣鼓捣鼓就赚得风生水起,年入能有百万,还一不小心把美股给搞疯了。很多年轻人都把他视作是偶像,是不是感觉跟讲电影儿似的?他到底是怎么玩儿的呢?神秘哥是个印度裔的英国人,七九年的时候出生在伦敦边上的一个郊区的一个小镇上啊,叫house了。这个小镇就是31年后美股大崩盘的发源地。神秘哥大学快毕业的那会儿,就看到有个广告写的well under pressure大致意思啊,就是说公司诚聘期货交易员,必须要有良好的抗压能力。一看也不是什么大公司的招聘广告啊,神秘哥就去应聘了。这种交易公司,其实在纽约、伦敦都非常的多,规模也不是很大。他们的模式呢,也很好理解。就是公司拿出来钱,然后让你去做交易,你可以去炒股票,炒期权,炒大宗商品,基本想干嘛就干嘛,赚了钱呢,就你跟公司分,一人一半儿。不得不说这个神秘哥真的是个天才,思维敏捷,逻辑思维强手速还非常快。
就这么刚毕业的神秘小哥,他也不用人教,也不需要团队,就一个人整天就在那吭哧,想想怎么能赚钱,然后就自己做交易。没想到就成了整个公司上最能赚钱的人,一天就能赚个几万甚至几十万英镑。其实和现在很多交易员一样,七八个小时就能一动不动的,当然除了上厕所,就在那儿对着电脑,拿着鼠标在那那点点点,然后赚巨多钱。
就比如说零八年金融危机的时候,雷曼兄弟已经倒闭了,当时全球的资产暴跌,神秘哥就经过一通分析,当然还有他的直觉,觉得美国的政府会救市。然后他就把自己的全部身家都押了进去,还加了最大的杠杆。你说巧不巧,他星期五的时候买进去的,星期一美国政府就宣布了七千亿美金的救市计划,一下就赚翻了。他的资产也从200万英镑窜升到了1500万英镑。别忘了那时候他也就是20多岁也没经过什么正规培训的一个毛头小子,你说厉害不厉害。
这么厉害的人物,50%要分给公司给你,你干不干?所以他想明白了,他就立马走人,开始自己捣鼓了。当然他也没有搞什么大的对冲基金,又是招人,又是想在泰晤士边儿上租一个特别高大上的办公室。人家就是靠自己搬回了自己的那个小镇houses,就有点像个特别厉害那种黑客。他自己的形头,什么主机啊,显示器啊,当然还有一些神秘的设备,就在他那个屋里,都准备好了。然后每天窗帘一拉,一天还是七八个小时,带上他的大耳机,在那点点点,做那些神秘的交易。比如说中午他妈在楼下喊:该吃午饭啦!然后电脑一扣,就下去吃饭,吃完饭上来接着干点点点赚大钱。
他们家那个小楼儿值30万英镑,但是你知道神秘哥对他来讲经常日入百万英镑啊,你想想一天赚一套房是什么样的体验?但是人家并没有去买房子,还是跟他爸他妈住在一起。在那个小屋里头做交易,比如说有一些做交易的那种赌徒很激进,但是神秘哥也是有一些印度血统,可能也比较保守。他赚了钱就会拿出来,但是你要放在英国,需要交给大概百分之三四十的资本增值税,他就把这赚来的钱,经过一系列复杂的跨境操作,把这个钱转移到了海外,这样就成功地避了税,去海外做一些投资。在他看来整个交易就跟打 游戏 似的,他转的那些呢,就是 游戏 币。那些爱玩 游戏 的人, 游戏 币肯定是越多越好,从来也没想着说这些钱要拿出去怎么去改善一下生活或者怎么花。
说到这儿你肯定就好奇了,到底是怎么赚这么多钱的呢?咱们来具体说说神秘哥的操作手法。当然这里头有合法的,不合法的。赚钱的主要还是通过不合法的。任何一种金融产品在金融市场上之所以成为市场,就是因为有人愿意买,有人愿意卖。比如说有人愿意买,我愿意花100块钱,有些人愿意花99,有些人愿意花98。96卖呢也一样,卖呢一般肯定比买高一点,你卖的东西肯定买更贵一点。所以有些人愿意101卖,有些人102卖,一百零三一百零四等等。就比如说100块,你要现在就是着急买,那你可以报个101对吧,你就直接把那都买进来,那有些人我要103买呢,那也可以,但是没有必要。一般呢,比较专业的交易软件,除了能看到那些价格,还能看到一个报单量。就是说,有多少单愿意100的价钱买多少单愿意99卖的。那重点就来了,我们可以通过这些数据,你就可以了解到这个市场的供需的关系,就是有多少人想买,有多少人想卖对吧?那这时候如果说想买的人特别多,那大概率这个价格是要往上走的,想卖的人特别多呢,就预示着这个市场上是看跌的。这就说到了神秘哥,他赚钱的核心原理就是我可以输入大量的订单来吓唬你,但是我不成交,从而呢,推动股价往你想看到的那个方向去走。就比如说刚才那个例子,神秘哥101先给买进来,然后我就下大量的买单,试图推动着这市场的价格往上走,那市场一看这么多人想买,那肯定是看好,对不对,所以我也得赶紧买,买单就越来越多,卖的单呢就开始撤,推着往上走,直到这个价格,比如说长到一百一一百一十一,这时候神秘哥在他刚才101买了,然后给卖掉,妥妥的赚了九块钱。简单来说就是通过项目市场来套利,你听这个原理是不是还挺简单的,这种手法就是诱骗交易,其实在二级市场里还是挺常见的,只要你的资金量够大,你就可以通过影响市场,推动着市场往你想要的方向走,你看这不就有点儿等于操作市场吗?所以现在这种操作肯定是不被允许的,如果你在华尔街做交易,一进去就会告诉你什么事能做,什么事不能做的,什么是犯法的,什么是要进监狱的。
咱说到神秘哥,他当时就用的这种方法来操控市场价格,起初在零六年之前赚的那是风生水起,但后来有很多那种靠机器操作高频交易的对冲基金都进来了,就大大的压榨了神秘哥的利润空间,那神秘哥肯定不能这么干瞪眼儿,赶紧雇了个人开始自己写程序写算法。这一下子更厉害了,有了这些算法之后啊,他那个交易量或者说那个虚单量也呈指数增长,曾经就在标普的股指期货里头,他一个人一天的订单量就达到了整个市场的7%。
时间来到了2010年的5月6日,就是美股闪崩的那天,当天早上欧洲央行有一些传言,然后市场的波动率就巨大。那种做交易的肯定是希望波动率大,有波动才有赚钱的机会,如果市场这股价都一动不动,还赚什么钱?神秘哥就执行他往常的策略啊,下卖单,取消订单,下卖单,取消订单,这一天下单的量达到了2亿美金,修改订单次数19000次,就说当天市场上所有的email,就是股指期货里头有1/3都是神秘割下的单,于是他就这么操控市场,加上偶尔真的成功的交易,几单轻轻松松就赚了将近100万英镑啊,也让市场的波动率持续增大。然后在纽约时间下午01:40的时候,他就关了电脑,停止了操作。接下来的事儿就和我们开头讲的一样,美股闪崩,大家也都是集体蒙圈。
如果在一个市场疯狂暴跌的情况下,你也不知道到底发生了什么。这种情况下很多专业机构肯定都是会减仓,而那些高频交易的公司甚至会不惜一切代价的清仓止损,那这些肯定都是更加加大了市场的波动。然后等大家回过神来发现啥事儿没有的时候,市场又反弹回去了,就造成了我们最开始那神奇的一幕。Flash flash之后的五年,神秘哥就越玩儿越溜,在他那个小卧室里头一共赚了七千万美金,那时候他自己都不知道自己竟然犯下了那么大的事儿。直到2015年,有一天FBI的一帮虎背熊腰的大哥们来到了他家门口,敲他家房门,这时候神秘哥他爸开的门,神秘哥穿一个大T恤,大裤衩儿晃悠晃悠就下来了。当时双方一见面,两边儿都懵了。
FBI可能到时就想:这什么玩意儿?这个小伙竟然搞垮了美国股市?神秘哥在边上也懵了,我怎么了?我怎么你们了?邻居也懵了,千万富翁,我昨天还看见小哥在麦当劳买特价套餐。美国政府前前后后一共给他提了22项五花八门的指控,这个累计神秘哥要面临着长达380年的监禁。这个事儿最开始的时候,法院判了说500万美金的保释费,就是说你交500万美金就可以先出去了。大家可能都想你说这小伙自己赚了几千万美金啊,500万那还不如轻轻松松赶紧出去了。
我们之前不是说神秘哥拿着钱都去搞境外投资了吗?这时候需要用钱了,他就开始给那些投资公司去打电话,万万没想到,那是一帮骗子,他一分钱也没要回来。你说就这么一个天才,搞了那么复杂的避税手段,最后自己竟然被骗子把钱全骗走了。更有意思的是,法院看到这个情形也很无奈,本来想着说能拿个500万美金,最后就不得不把这个保释金降到5万英镑。就这样,父母把他们那小楼儿给抵押上,拿了钱才把儿子给保释出来。
如果我们站在美国的监察局和FBI的角度想一想,他们也是实属无奈。本来想着查这个大案,牵几个什么惊天大鳄世纪大案,然后罚几个华尔街投行对冲基金捞他个几亿美金。结果没想到,弄了这么一个大门不出二门不迈戴着耳机的毛头小子,连500万都拿不出来。更何况啊这个神秘哥,可以说是一个涉世未深的孤僻天才,各方面自理能力都不太行,就是会赚 游戏 币。审理过程当中也发现了神秘哥其实有自闭症,钱也被骗光了,也挺可怜的,你把这么一个小哥放到监狱里监禁个380年有什么用呢?
其实关于这个闪崩呢,其实原因是众说纷纭的,有人说这是蝴蝶效应,你不能全怪神秘哥,也有人说神秘哥就是个替罪羊。但是神秘哥确实是唯一一个因为这个事儿才被抓起来的人。
时间来到2020年的一月,法院的判罚下来了,神秘哥被象征性的判罚,在他那个家里头,禁足一年,这事儿就这么完了。而我们都知道,一个月之后疫情来袭,全球的人民都因为疫情而被迫居家禁足。
经历了股市闪崩,七千万 游戏 币得而复失,逮捕,调查,监禁,如今的神秘哥依旧在他那个房子里,依旧每周和他的朋友打 游戏 ,踢足球,依旧每周去买麦当劳的特价套餐。只是我们不知道,如今,神秘哥又在他神秘的卧室里搞着什么?
为什么近几年勒索软件攻击激增?如何防范它
目前我们正在与两种流行病毒作斗争——冠状病毒和勒索软件攻击。两者都会影响到部分经济,前者肉眼可见,后者则普通人不可遇见。然而,就网络安全而言,现在我们的安全防范意识,让黑客们有了一个轻松的方法来攫取数百万甚至更高的不法收入。
对于黑客来说,获取经济利益非常简单,即使用恶意软件访问和加密数据并将其扣为“人质”,直到受害者支付赎金为止。
现在网络攻击越来越频繁,因为黑客可以毫不费力地执行实施他们的计划。此外,支付方式现在对他们更友好。加上企业对数据越来越依赖,更多迁移到互联网办公服务,这样给了黑客更多的动机去尝试更多的漏洞,当黑客入侵获得了企业的某些数据,或者加密了某些东西的时候,企业在现有技术无法清除病毒或者修补落地,更多愿意支付赎金来临时解决现在问题,因为拖得越久企业损失越大,黑客可以拖,企业可拖不起。
更大胆的黑客们
几年前,黑客在获得银行密码,他们利用技术诀窍从人们的账户中窃取资金之前都会玩心理战术。现在他们更大胆了,因为他们很容易购买勒索软件即服务,并从在线视频分享网站学习黑客技术。一些有组织的网络黑客甚至为商业黑客提供服务,收取一定费用,通常是利润的一部分。
同样加密货币出现使得黑客更加大胆,因为他们可以去限制地敲诈受害者获取匿名支付。黑客可以通过匿名的方式从受害者那里获得更高金额的虚拟货币后转换成现金。
你也可以将网络攻击的增加归咎于一些愿意支付数百万美元加密货币的公司的行为。然而,如果公司和数据安全专家确保黑客攻击不再有利可图,攻击就会停止。
现在你会明白为什么很多国家不承认数字加密货币的真正含义了吧。
是网络攻击是越来越引人注目还是实际上在上升?
这两个问题的答案都是肯定的。 勒索软件变得越来越普遍,因为它很容易执行。黑客使用软件来绕过安全漏洞,或通过使用网络钓鱼诈骗策略欺骗网络用户,例如发送似乎来自可信来源的恶意软件。加上一些大公司的网络安全协议也比较宽松,这样让普通的黑客可以轻易得手。
以美国Colonial Pipeline的供应链攻击事件为例子,该公司首席执行官Joseph Blount承认该公司不使用多因素身份验证当用户登录。
根据美国2020年发布的互联网“犯罪”报告,“佛菠萝”在2020年收到了近2500起勒索软件报告,比2019年增加20%。2020年勒索软件袭击的总成本接近2910万美元。这相当于2019年增加了200%。
勒索软件攻击上升的另一个因素是在线用户越来越多。新冠肺炎的流行导致了全球互联网使用量的激增。许多学生和工人由线下转线上远程工作和学习,加上初次使用互联网服务,安全意识的欠缺往往成为黑客们下手的头号目标。
有网络专家预测勒索软件每年至少带来上千亿美元的损失,随着黑客改进其恶意软件攻击和勒索行为,攻击可能每两秒钟发生一次,到2031年,每年带来超过2500亿美元的损失。
勒索软件对企业的影响
我们已经知道勒索软件是如何对大小企业产生毁灭性影响的。但一次又一次的提醒是值得的,因为即使是企业也可能成为受害者。黑客继续利用网络安全系统中的漏洞。此外,许多黑客团伙正在利用勒索软件和拒绝服务攻击获取经济利益。
除了勒索软件攻击事件的增加,攻击的成本也在增加。勒索软件使公司的数字网络和相关设备瘫痪。因为敏感的商业数据被破坏或者泄露,商业运作,尤其是供应链都会会受到影响——因此,公司更愿意支付赎金。
但从理论上讲,即使公司支付赎金,也不能保证敏感数据没有被复制。同样,也不能保证攻击者将返回所有数据或解密密钥将起作用。在Colonial的案例中,黑客在收到支付赎金后给他们的解密密钥太慢了。他们不得不使用备份文件,其中损失无法评估。
防止勒索软件感染
安全专家建议被勒索公司不要向黑客们支付赎金,因为这会鼓励他们发动更多的攻击。
他们还给出一些防止此类攻击的方法包括:
与网络安全公司合作,网络安全公司提供最适合企业当前和未来需求的安全系统需求。
保持警惕是防止感染的另一种方法。如果您的系统没有明显的原因而速度减慢,请断开与internet的连接并将其关闭。然后,您可以致电您的网络安全提供商并寻求他们的帮助。
除了确保网络安全的技术层面,有时回到基础是值得的。
利用安全培训,让员工更好地了解网络安全的重要性和意义。此外,员工应学会确保保护整个公司免受网络攻击。
训练你自己和你的员工不要点击未经证实来源的链接,因为网络钓鱼链接是传播恶意软件的一种方法,使你的公司成为一个容易攻击的目标。
练习创建数据的定期备份。至少有两个数据备份,并将它们存储在不同的位置。只允许最信任的员工访问备份。
使用数据加密来保护电子邮件、文件交换和个人信息。
确保定期升级所有应用程序,以便修复漏洞。
使用密码管理器确保所有员工都有更强大的密码。指导员工使用不同的密码登录到公司中使用的其他应用程序。
总结
勒索软件攻击之所以猖獗,是因为它们的易用性和盈利能力。了解黑客团伙的活动并为员工提供网络安全培训至关重要。结合技术专长和基本的安全措施将有助于减少勒索软件的感染。但是,重要的是不要惊慌,并且知道应该遵循的安全措施。
测试那些事儿(十三)- 签名和验签、公钥和私钥、加密和解密
在做接口测试时,大家一定都遇到过需要提供签名的场景。这时,我们就会被各种名词比如 签名和验签、公钥和私钥、加密和解密 冲击。所以,了解一下它们很有必要,可以帮助我们知道为什么要这么做,而不是简单的去当一个验证执行者。甚至,在你了解了它们之后,你也可以在接口的安全性测试上更进一步。
数字签名其实就是一个别人无法仿造,能够证明申请者真实性的一段字符串。 我们在真实生活中,最常用的签名应该就是手签我们的姓名了。
所以,在接口请求时,很多接口也不是你来一个请求我就给你返回你要的数据,而是要验证你的签名,进而证明你的身份后才能做出后续动作。在此过程中,接口调用者需要进行的工作就叫做 签名 ,而被调用者需要进行的工作就叫做 验签 。
公钥 :由接口被调用方提供,RSA 密钥体系中对外公开的部分,通常用于数据加密、验证数字签名。
私钥 :由接口被调用方提供,RSA 密钥体系中非公开的部分,需由接口调用方严密保存,通常用于数据解密、数据签名。
这个就很好理解了,传递数据时为了保证数据的安全性,不进行明文传递,而是通过某种算法对敏感数据进行 加密 ,传递后再由接收方使用对应算法进行 解密 来获取明文信息。
将上面的定义总结为图,会更加的清晰:
之所以用发送方的私钥加签,是因为,即便信息被黑客拦截,黑客修改了信息,但是加签需要用发送方的私钥,黑客没有发送方的私钥,所以也无法生成正确的签名,接收方验签就不用通过。
反之如果用接收方的公钥加签,如果信息被黑客拦截,黑客修改了信息,因为接收方的公钥是公开的,黑客就可以重新生成新的签名,替换原有的签名,发送出去,接收方接收到信息,拿自己的公钥校验是通过的,所以接收方无法辨别信息是真正的发送方还是黑客发送过来的,这样的加签不能辨别信息是否被篡改过。
之所以用接收方的公钥加密,是因为,如果信息被黑客拦截,需要用接收方的私钥来解密,黑客无法获取接收方的私钥,即便拦截了信息(情报),黑客也无法看到明文,只能看天书?了。
反之,如果用发送方的私钥加密,如果信息被黑客拦截,因为发送方的公钥是公开的,黑客就可以用发送方的公钥解密密文获得明文,这样的加密所有的人都可以看到明文,不能保证信息的隐私。
了解了以上这些知识,在测试过程中就可以更加深入的了解签名的目的,进而可以更深入的了解签名的实现等。签名的实现有很多种,这个要根据每个团队选择哪种具体分析,但作为测试,基本上我们都是可以按照约定的规则来生成的,这也帮助我们扩展了接口测试覆盖的广度(如接口用例覆盖度、过期时间等隐藏功能),是非常有意义的。
边上的一个郊区的一个小镇上啊,叫house了。这个小镇就是31年后美股大崩盘的发源地。神秘哥大学快毕业的那会儿,就看到有个广告写的well under pressure大致意思啊,就是说公司诚聘期货交易员,必
那一年,在有安全圈奥斯卡之称的Defcon总决赛中,Flanker所在的蓝莲花战队历史性地作为华人世界首次入围DefeconCTF总决赛的队伍。这是Flanker的骄傲,更是华人的骄傲!这也是这个黑客天才的厉害之处。后来,Flanker有了自己的目标职业方向——他想成为一个安全研究员。Flanke
不是什么大公司的招聘广告啊,神秘哥就去应聘了。这种交易公司,其实在纽约、伦敦都非常的多,规模也不是很大。他们的模式呢,也很好理解。就是公司拿出来钱,然后让你去做交易,你可以去炒股票,炒期权,炒大宗