每經(jīng)編輯|每經(jīng)記者 丁舟洋
◎每經(jīng)記者 丁舟洋
在信息安全領(lǐng)域中,所有研究智取計(jì)算機(jī)安全系統(tǒng)的人員統(tǒng)稱(chēng)黑客��。但在黑客的世界里�,又有“正”與“邪”兩個(gè)陣營(yíng),分別是以破壞網(wǎng)絡(luò)安全來(lái)獲取個(gè)人利益的“黑帽子”和維護(hù)網(wǎng)絡(luò)安全的“白帽子”���。
22歲的張瑞冬創(chuàng)建的“白帽子”團(tuán)隊(duì)�����,長(zhǎng)期居漏洞查找排行榜首位����。一次次漏洞曝光���,奠定了張瑞冬團(tuán)隊(duì)在圈內(nèi)的“牛人”地位��。
近日�����,《每日經(jīng)濟(jì)新聞》記者(以下簡(jiǎn)稱(chēng)NBD)在成都專(zhuān)訪(fǎng)了這名年輕的黑客��。在張瑞冬看來(lái)�����,“白帽子”們最大的優(yōu)勢(shì)�����,就是通過(guò)模擬惡意黑客的攻擊方法�����,監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全性����,提前發(fā)現(xiàn)漏洞或缺陷,并進(jìn)行必要的修補(bǔ)�����。
自學(xué)成才的“白帽子”
NBD:能談?wù)勀摹鞍酌弊印背砷L(zhǎng)史嗎�����?
張瑞冬:我可能不是鉆研程序和代碼的“黑客男”���,玩的更多是邏輯性的東西����。13歲去銀行取錢(qián)時(shí)�,我發(fā)現(xiàn)ATM機(jī)的程序有一個(gè)邏輯漏洞,可以讓人取錢(qián)以后銀行卡的余額不改變���。
比如��,取1000元����,我拿走其中9張留1張�,90秒以后系統(tǒng)會(huì)顯示超時(shí)并把這一張收回去,但系統(tǒng)在收回去的過(guò)程中是沒(méi)有做點(diǎn)鈔機(jī)制的���,顯示的余額沒(méi)有減少���。這就是典型的業(yè)務(wù)邏輯漏洞,后來(lái)我?guī)椭y行解決了這個(gè)問(wèn)題。
NBD:“白帽子”們往往非常年輕����,而且大多都不是學(xué)計(jì)算機(jī)的,您怎么理解這一現(xiàn)象�?
張瑞冬:的確如此,以我們團(tuán)隊(duì)為例����,10多個(gè)人中,只有兩人有大學(xué)以上學(xué)歷�����,一個(gè)是生物學(xué)博士����,一個(gè)是物理碩士。其余人基本是初中�����、高中學(xué)歷����,我自己只有初中文憑。據(jù)我了解�,BAT的安全部門(mén)中有一半的技術(shù)人員都沒(méi)有大學(xué)文憑。
我們這群人大多從小就對(duì)電腦網(wǎng)絡(luò)感興趣�,通過(guò)閱讀相關(guān)書(shū)籍和大量的實(shí)踐與思考自學(xué)成才。高校里的網(wǎng)絡(luò)安全培養(yǎng)方式理論性太強(qiáng)�,而且往往是正向思維,缺乏用攻擊思維來(lái)防守的實(shí)踐課程��。
NBD:您怎樣理解黑客從事網(wǎng)絡(luò)安全的特點(diǎn)����?
張瑞冬:傳統(tǒng)的安全產(chǎn)品,是用防御類(lèi)設(shè)備對(duì)抗攻擊設(shè)備����,但畢竟設(shè)備的匹配規(guī)則是死的,攻擊者可以繞過(guò)設(shè)備����。所以,傳統(tǒng)的設(shè)備已經(jīng)攔不住攻擊者��。
我們這群“白帽子”黑客非常熟悉“黑帽子”的行為��,可以完全模擬“黑帽子”的行為��,找到脆弱點(diǎn),然后提出一套完整的修補(bǔ)建議��,漏洞修補(bǔ)后再測(cè)試�����。
用戶(hù)安全意識(shí)差
NBD:人們一提到黑客就會(huì)聯(lián)想到網(wǎng)絡(luò)破壞����,這種誤解會(huì)對(duì)網(wǎng)絡(luò)安全人才隊(duì)伍的發(fā)展產(chǎn)生不利影響嗎?
張瑞冬:公眾對(duì)黑客的理解確實(shí)有些誤解�����,黑客本身不是一個(gè)負(fù)面形象����。在我看來(lái),黑客就是對(duì)技術(shù)的極致追求���,發(fā)現(xiàn)問(wèn)題��、質(zhì)疑權(quán)威����、充滿(mǎn)好奇。我喜歡鉆研邏輯問(wèn)題����,想刨根問(wèn)底研究系統(tǒng)中有沒(méi)有邏輯漏洞�,這就是黑客思維。黑客這個(gè)稱(chēng)號(hào)是對(duì)技術(shù)的極大肯定����,我非常樂(lè)意別人叫我黑客。
事實(shí)上�����,黑客群體中的網(wǎng)絡(luò)安全高手輩出���,高校里的培養(yǎng)方式實(shí)用性不夠強(qiáng)�����。我們團(tuán)隊(duì)曾做過(guò)幾次實(shí)踐類(lèi)型的安全培訓(xùn)�����,白天在烏云網(wǎng)上找一些漏洞案例來(lái)講解����,晚上帶大家實(shí)戰(zhàn)。但這些實(shí)戰(zhàn)也不是真正去黑別人�,我們寫(xiě)一套系統(tǒng),導(dǎo)師帶著學(xué)員學(xué)習(xí)攻擊手段���。
不過(guò)����,后來(lái)這個(gè)課程被叫停了���,理由是涉及“黑客教程”����。所以���,這是一個(gè)悖論���,一方面國(guó)家的網(wǎng)絡(luò)安全行業(yè)缺乏“白帽子”人才;另一方面黑客的社會(huì)身份又很尷尬�。
NBD:我國(guó)接入互聯(lián)網(wǎng)逾20年,網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)發(fā)展的程度似乎并不匹配��,您認(rèn)為網(wǎng)絡(luò)安全行業(yè)最薄弱的環(huán)節(jié)是什么?
張瑞冬:我認(rèn)為最薄弱的環(huán)節(jié)還是用戶(hù)安全意識(shí)太薄弱��。我們經(jīng)常處理一些應(yīng)急事故�,發(fā)現(xiàn)真正高難度入侵行為是很少的,導(dǎo)致事故頻發(fā)的原因是�����,用戶(hù)密碼設(shè)置太簡(jiǎn)單或者是操作失誤��。
我曾幫一家上市公司做網(wǎng)站安全測(cè)試����,他們的系統(tǒng)很安全�,測(cè)了半天也沒(méi)有找到問(wèn)題。后來(lái)我發(fā)現(xiàn)該公司有內(nèi)部交流的QQ群���,點(diǎn)擊加入��,立馬就把我放進(jìn)去了�����。進(jìn)去后����,我發(fā)現(xiàn)群共享里有個(gè)文件夾,文件夾的名字叫公司各種系統(tǒng)密碼�。就這樣簡(jiǎn)單,我輕易獲得該公司系統(tǒng)密碼����。這是很普遍的問(wèn)題,互聯(lián)網(wǎng)用戶(hù)的安全意識(shí)薄弱��,對(duì)安全的管控能力比較差�����。
張瑞冬:我認(rèn)為最薄弱的環(huán)節(jié)還是用戶(hù)安全意識(shí)太薄弱����。這是很普遍的問(wèn)題,互聯(lián)網(wǎng)用戶(hù)的安全意識(shí)薄弱�,對(duì)安全的管控能力比較差。
