新聞源 財富源

2025年01月08日 星期三

財經(jīng) > 滾動新聞 > 正文

字號:  

白帽黑客守衛(wèi)網(wǎng)絡(luò)世界黑白界線

  • 發(fā)布時間:2015-05-11 02:32:56  來源:京華時報  作者:佚名  責(zé)任編輯:羅伯特

  12306的用戶信息泄露漏洞、攜程用戶信息泄露漏洞……頻發(fā)的系統(tǒng)漏洞隱患也讓網(wǎng)絡(luò)安全問題愈發(fā)受到關(guān)注。發(fā)現(xiàn)這些安全漏洞的,并不是某個人或者某個公司,而是一個被稱為“白帽子”的群體。白帽子屬于黑客,但是又在做著守護光明的事情,他們是網(wǎng)絡(luò)世界白與黑的交集。他們都是些什么樣的人?過著怎樣的生活?是否像傳聞中說的那樣動動手指就有大筆收入……記者嘗試走進他們的世界,告訴你白帽子們真實的一面。

  白帽子是誰

  “換個高大上的說法,白帽子就是網(wǎng)絡(luò)安全的守衛(wèi)者?!?/p>

  武俠的世界有“兵器譜”,黑客江湖也有自己的榜單,趙武就是在“中國黑客榜中榜”上標名的人物。趙武年輕時干過“荒唐”的事,而現(xiàn)如今他看起來相當(dāng)沉穩(wěn)。趙武已過而立,負責(zé)著國內(nèi)最大的漏洞響應(yīng)平臺補天,這個平臺匯集了近萬名白帽子,趙武是他們的“帶頭大哥”。

  “最初是沒有白帽子這個概念的,當(dāng)時黑客還是一個褒義詞,后來外界對黑客有了誤解,為了和‘黑產(chǎn)’(利用黑客手段獲取非法收入的人)區(qū)分開,才有了白帽子的稱謂?!?/p>

  趙武介紹,白帽子們做的事情,就是找到電腦系統(tǒng)和網(wǎng)站中的漏洞,并將之公布出來,使其在被不法分子利用前被修復(fù)?!皳Q個高大上的說法,白帽子就是網(wǎng)絡(luò)安全的守衛(wèi)者。”

  在人們想象中,黑客都是在鍵盤上十指舞動如飛、在倒計時讀秒中攻破各種防火墻的世外高人,然而在現(xiàn)實里,白帽子中固然有不少高手,但更多的還是入門級的初學(xué)者。

  趙武介紹,在他進入網(wǎng)絡(luò)安全領(lǐng)域的時候,國內(nèi)進行這方面研究的人最多只有幾百人,如今隨著工具下載的便利,成為白帽子的門檻已經(jīng)相當(dāng)?shù)土?,保守估計,國?nèi)具備尋找簡單網(wǎng)絡(luò)漏洞能力的人,起碼在10萬以上?!爸灰獙W(xué)會使用漏洞掃描器,你也能當(dāng)白帽子?!壁w武說。

  另一位白帽子表達更直接,他認為一個“大學(xué)計算機二級未通過”的人要學(xué)會找簡單的漏洞只需幾天時間,而想具備一個普通白帽子的水平,“如果有人教只需要三個月”。

  趙武認為,現(xiàn)在的白帽子們大體可以分成四個層次:最底層的被稱為“腳本小子”,這些人沒有工具研發(fā)能力,只是能夠利用別人寫的腳本去進行攻擊,這部分人占到了白帽子總體的90%以上。第二個層次是有了自己的安全理念、具備代碼審計和安全攻防能力。第三個層次的人不僅有自己的想法,也具備工程化的能力,可以自己開發(fā)工具和深入挖掘漏洞,能達到這一層次的國內(nèi)也就幾百號人?!皬募夹g(shù)上講,第三層次其實已經(jīng)到頭了,再往上,就是從‘術(shù)’到‘道’的飛躍,要能夠思考安全的本質(zhì),提出完整的安全解決方案。能到這一層次的都是行業(yè)精英,國內(nèi)能有五十個就不錯了。”

  如何成為一個白帽子

  “白帽子是要講天賦的,但相比天賦,其實興趣更加重要?!?/p>

  記者采訪了十多位白帽子,這些人絕大部分都是學(xué)計算機方面的專業(yè)出身,有幾個學(xué)的就是最對口的信息安全專業(yè),可毫無例外,他們說起自己成為白帽子的經(jīng)歷,都用了“自學(xué)”的說法。

  1990年出生的鄧煥是補天平臺的另一位技術(shù)大牛,就連趙武也承認在某些方面鄧煥比自己強。鄧煥的經(jīng)歷,很好地詮釋了如何能夠成為一名出色的白帽子。

  鄧煥最初接觸黑客技術(shù),始于上初中的時候。當(dāng)時他的同桌買了一本黑客技術(shù)方面的雜志,鄧煥隨手翻了翻,竟然一下子被里面的內(nèi)容吸引了。不久之后,家里買了第一臺電腦,鄧煥開始按照書中教的內(nèi)容自己摸索搗騰。實際上,記者所采訪的白帽子當(dāng)中,有好幾個都說自己對黑客技術(shù)的興趣是源于此類雜志。

  到了高中,鄧煥的黑客功夫已經(jīng)有了相當(dāng)火候,他進高中不久就入侵了學(xué)校的網(wǎng)站。當(dāng)時被他經(jīng)?!暗満Α钡倪€有校外的網(wǎng)吧,每次到網(wǎng)吧上網(wǎng),他都會接管整個網(wǎng)吧的管理權(quán)限,不僅讓自己免費上網(wǎng),還能看到網(wǎng)吧里每一個人所瀏覽的內(nèi)容,他甚至?xí)谂R走時把全網(wǎng)吧的電腦重啟,然后在一片驚呼聲中揚長而去。

  幾乎每個從計算機專業(yè)出來的白帽子都干過入侵自己學(xué)校系統(tǒng)的事,鄧煥也是如此。他發(fā)現(xiàn)在大學(xué)里上網(wǎng)還要花錢,于是破解了學(xué)校的網(wǎng)絡(luò)計費系統(tǒng),讓自己可以免費上網(wǎng),之后一不做二不休,干脆把學(xué)校里的各個系統(tǒng)都入侵了個遍。鄧煥把他發(fā)現(xiàn)的學(xué)校系統(tǒng)漏洞總結(jié)成一份報告,發(fā)給了系主任。不久后,鄧煥在課堂上被系主任和輔導(dǎo)員“請”了出去。最終鄧煥沒有受到任何處分,相反他得到了可以在學(xué)校網(wǎng)絡(luò)中心辦公室上網(wǎng)的待遇,還順便幫學(xué)校做網(wǎng)絡(luò)維護,之后還代表學(xué)校參加了湖南省的信息安全大賽。

  鄧煥代表了一大批白帽子的經(jīng)歷,他們雖然學(xué)習(xí)計算機專業(yè),可黑客技術(shù)還都是自學(xué)來的。鄧煥告訴記者,這是因為學(xué)校里教授的知識偏重于理論,很少涉及黑客技術(shù)方面。事實上,他還在大一的時候,就有學(xué)校的老師向他請教問題,到大二時,學(xué)校已經(jīng)為他開了綠燈,他無需再上課,跑到北京來工作,直到畢業(yè)時回去參加答辯就可以了。

  “什么樣的人能夠成為一名出色的白帽子?”面對這樣的提問,有的白帽子認為是要講天賦的,鄧煥則認為,相比天賦,興趣更加重要?!把芯考夹g(shù)就是我的游戲,從中獲得的成就感是其他任何事都達不到的?!编嚐ㄕJ為,他之所以能成為白帽子當(dāng)中的佼佼者,是因為他愿意把大量的時間和精力都花在這上面。

  現(xiàn)在還沒有大學(xué)畢業(yè)的白帽子鮑宇也認同興趣至關(guān)重要的觀點。他告訴記者,他大學(xué)是學(xué)編程的,在他的同學(xué)當(dāng)中,只有他自己對黑客技術(shù)感興趣,其他人即便偶爾有了興趣,可都是三分鐘熱度,很快就不愿意學(xué)了,所以一個班上只出了他這么一個白帽子。

  優(yōu)秀女白帽子比大熊貓還稀罕

  “在白帽子這個圈子里,一個女生的水平高低并不重要,都會被其他人供起來。”

  黑客的世界,一向被認為是男人的世界,而白帽子當(dāng)中的女生更是鳳毛麟角。按照鄧煥的說法,補天平臺上近萬的注冊白帽子中,他知道的女生只有十幾個,說千里挑一都不夸張。“在這個圈子里,一個女生水平高低并不重要,都會被其他人供起來。如果是技術(shù)又牛,長得又漂亮的女生,那簡直比大熊貓還珍稀,基本上圈子里沒有人會不知道。”鄧煥笑著說。

  “小惠子”是個剛剛20歲的女白帽子,還在讀大二的她做白帽子才半年時間,用她的話說,“隨便碰到一個白帽子都是我的師父”。當(dāng)被問到為什么會做白帽子時,小姑娘給出了這樣的回答:“上大學(xué)前很愛玩游戲,后來考上大學(xué)也不知學(xué)什么好,覺得這個(信息安全)專業(yè)挺好玩的,于是就報了。”

  雖然學(xué)信息安全的女生本就不多,但“小惠子”班上54個人里還是有14個女生的,可做白帽子的只有她一個。“她們都喜歡聊QQ打游戲什么的,只有我覺得挖漏洞還挺好玩?!弊屗靡獾氖?,作為一個“女白帽子”,她遇到的其他白帽子對她都很熱情。“班上有男生也想學(xué),可別人都不怎么愿意教他們?!闭f到這,小姑娘笑得很開心。

  “小惠子”和其他記者接觸過的白帽子還有一點不同,那就是其他白帽子雖然專業(yè)技術(shù)很牛,可學(xué)習(xí)成績普遍一般,而這個姑娘可是當(dāng)之無愧的“學(xué)霸”?!拔矣X得做白帽子對學(xué)習(xí)還是很有幫助的?!?/p>

  在國內(nèi)安全圈里鼎鼎大名的“碳基體”則是鄧煥口中“技術(shù)牛、長得漂亮”的“大熊貓”級的女白帽子,雖然她的網(wǎng)絡(luò)ID很難讓人和一位美女聯(lián)想到一起。和“小惠子”這樣的初學(xué)女白帽子備受“寵愛”不同,到了“碳基體”這個級別,除了她老公偶爾在人前夸耀“我老婆可是個黑客”,其他時候,女性身份根本不會給她帶來什么便利。

  “碳基體”是一家安全企業(yè)的技術(shù)人員,她告訴記者,在她的工作環(huán)境中,人們看重的只有能力和技術(shù)?!拔胰肼毭嬖嚨臅r候,被問的都是技術(shù)問題,答得上來留下,答不上來走人。”和其他女生一樣,“碳基體”也愛逛街打扮,可一旦進入工作狀態(tài),“該吼就吼,根本不顧什么形象。”

  “碳基體”告訴記者,女性在安全行業(yè)當(dāng)中的人數(shù)雖然少,但是并沒有外界想象中的那么稀罕,而且隨著就業(yè)環(huán)境越來越好,從事這個行業(yè)的女生也越來越多了。但是她也承認,很多女生在做過幾年技術(shù)工作后,也會轉(zhuǎn)到管理崗位上,“不過我是希望一直在技術(shù)一線工作,因為我確實喜歡研究技術(shù)?!?/p>

  收入最高者年入百萬

  “網(wǎng)絡(luò)安全事件頻發(fā),信息安全的概念開始深入人心,企業(yè)都開始設(shè)立專門的網(wǎng)絡(luò)安全崗位,這方面的人才一下子成為了稀缺資源。”

  白帽子這個行業(yè)真正火起來,也就是最近兩三年的事情,而最直接的因素就是收入情況的好轉(zhuǎn)。

  在三年前,白帽子們掙錢只有幾條道:成立安全公司或者團隊,開發(fā)產(chǎn)品,為企業(yè)提供這方面的服務(wù),不過這只限于少數(shù)真正的技術(shù)大牛;接一些網(wǎng)站或者廠商產(chǎn)品眾測的活兒,不過這種活兒都是臨時性的;再不就只能做普通的程序員,每月掙四五千元,這些白帽子在網(wǎng)絡(luò)安全方面的特長根本無用武之地。最近幾年,這一情況發(fā)生了極大的改善。一方面,由于網(wǎng)絡(luò)安全事件頻發(fā),信息安全的概念開始深入人心,一些企業(yè)開始設(shè)立專門的網(wǎng)絡(luò)安全崗位,這方面的人才一下子成為了稀缺資源,企業(yè)開出的價碼也水漲船高,不少白帽子都投身到“豪門”;另外一方面,像補天這樣的漏洞提交平臺的建立,也給白帽子們創(chuàng)造了一個平臺,找漏洞不再是義務(wù)勞動。

  據(jù)了解,如今國內(nèi)頂級安全人才的年收入可以達到百萬元水平;高水平的白帽子,加入互聯(lián)網(wǎng)公司的,一年掙個十幾萬幾十萬也屬平常;即便是那些依舊散兵游勇的白帽子,通過在平臺上提交漏洞,有的也可以月入數(shù)萬元。

  李寅是補天平臺上收入最高的白帽子。據(jù)他介紹,他平均一個月在補天上獲得的獎金在2萬元左右,而最多的時候,他一個月就拿到了超過6萬元的獎金。要知道,補天提交一個漏洞獲得的獎金也就幾百元,最多不過一兩千元,可見他每月提交的漏洞數(shù)量有多少。

  “最初我找漏洞就純粹是個人的業(yè)余愛好,后來到補天上發(fā)現(xiàn)既能找漏洞又能提高技術(shù)水平,何樂而不為?。∷晕以谘a天上發(fā)漏洞的積極性就比較高?!崩钜鷮τ浾弑硎荆c之前相比,他現(xiàn)在更加注重提交漏洞的質(zhì)量,而不是再一味求數(shù)量,加上目前他正在籌備自己的創(chuàng)業(yè)項目精力有限,現(xiàn)在他在補天上的收入也沒有之前那么高了。

  李寅這樣的白帽子畢竟是少數(shù),不過每月能從補天平臺上拿到幾千元獎金的白帽子還不在少數(shù)。趙武介紹,目前補天平臺每月向白帽子們發(fā)放的獎金和物質(zhì)獎勵加起來能有四五十萬元,其中一部分是被發(fā)現(xiàn)漏洞企業(yè)出的獎金,而大部分還是補天平臺自己支付的。

  收入條件的好轉(zhuǎn),帶來的直接影響就是愿意投身白帽子的人越來越多了。今年7月才大學(xué)畢業(yè)的鮑宇對記者說,之前他也動員過其他同學(xué)來學(xué)習(xí)白帽子技術(shù),可他們都不感興趣。不過當(dāng)別人發(fā)現(xiàn)他簽下的工作收入要明顯高于一般的程序員工作后,還是對他很羨慕的。“就業(yè)條件好了,現(xiàn)在剛進大學(xué)的人對于做白帽子的興趣就比我那個時候更大了,人數(shù)也多了,不像我當(dāng)時那樣孤軍奮戰(zhàn)了?!滨U宇說道。

  來自黑暗的誘惑

  “我所接觸過的圈里的前輩都告誡我一定不要觸線,因為一旦做了黑產(chǎn),再想洗白就很難了?!?/p>

  雖說如今白帽子的收入情況已經(jīng)明顯改善了,但是和做“黑產(chǎn)”的比起來,依然是天壤之別。“有的黑產(chǎn)一天就能掙幾萬元,哪家公司會給員工開這么高的薪水?”鄧煥說。

  那些被白帽子們稱為“黑產(chǎn)”的黑客又是怎么獲得如此驚人的收入呢?鄧煥介紹,黑產(chǎn)們賺錢的方式多種多樣,最普通的就是利用漏洞獲得網(wǎng)站或者系統(tǒng)內(nèi)的用戶資料,出售他人信息以獲利;還有利用獲得的用戶信息,從事詐騙、盜刷信用卡等。例如,補天平臺上的白帽子就曾經(jīng)發(fā)現(xiàn)了一個完整的偽基站詐騙鏈條。詐騙者利用偽基站向附近的手機發(fā)送詐騙短信,詐騙短信的號碼顯示為中國移動的客服號碼“10086”,短信稱用戶手機積分已經(jīng)滿足兌換現(xiàn)金禮包的條件,并給出了一個兌換鏈接;點擊此鏈接,會進入一個名為“中國移動掌上門戶”的網(wǎng)站,并要求用戶提交收款信息,如銀行卡或信用卡的卡號、密碼、用戶身份證信息、手機號碼等?!鞍酌弊印痹诠テ圃摼W(wǎng)站的服務(wù)器之后發(fā)現(xiàn),這是一個“釣魚網(wǎng)站”,在這個釣魚網(wǎng)站的后臺,赫然能夠看到超過400位用戶的詳細信息,包括用戶姓名、銀行卡或者信用卡號、開戶行、密碼、身份證、手機號碼、信用卡有效期、CVV碼等。在獲取了這些用戶信息之后,詐騙者完全可以利用受騙者的銀行卡、信用卡進行轉(zhuǎn)賬或者盜刷。從已經(jīng)超過400人的受騙規(guī)模來看,該釣魚網(wǎng)站的詐騙金額估計能超過千萬元。

  記者在采訪中發(fā)現(xiàn),幾乎每個水平較高的白帽子,都受到過來自黑產(chǎn)的誘惑。在補天漏洞平臺上收入最高的李寅,一次挖到了一個很多門戶網(wǎng)站都在使用的知名程序的漏洞,如果能利用會帶來很嚴重的危害。因為這個漏洞,補天平臺獎勵了他3500元,而這已經(jīng)是大大超過正常漏洞獎金標準的破例金額了,但是就有黑產(chǎn)開價數(shù)萬購買這個漏洞的細節(jié)。鄧煥更是透露,有黑產(chǎn)許諾幾十萬甚至上百萬的報酬,雇他去攻破某些網(wǎng)站?!皬氖逻@個行業(yè)的人估計90%都受到過黑產(chǎn)的各種誘惑?!编嚐ㄕf。

  巨額的金錢誘惑,就像潘多拉的魔盒,一旦白帽子抵御不住誘惑,就會滑入罪惡的深淵。確實有白帽子禁受不了金錢的引誘加入黑產(chǎn)的陣營,不過大多數(shù)白帽子還是能堅守住底線,一方面是因為法律,一方面也是因為道德的約束。

  1991年出生的“小白”也是一位資深的白帽子,但是面對不是安全圈的朋友,他很少提起自己白帽子的身份?!爸熬陀幸恍┤酥牢沂呛诳秃?,讓我?guī)退麄儽I別人的QQ號?!薄靶“住睆男睦锖芊锤羞@種要求,“我的父母都是老實本分的農(nóng)民,雖然他們不太清楚我從事的究竟是什么,但從小他們對我的要求就一句話‘不要做壞事’,這也是我做白帽子的底線。”

  “我所接觸過的圈里的前輩都告誡我一定不要觸線,因為一旦做了黑產(chǎn),再想洗白就很難了?!崩钜f道。

  很多時候不被理解

  “多數(shù)情況下,自己主動聯(lián)系漏洞方,對方都會懷疑我的目的是不是想要錢?!?/p>

  在白帽子們看來,自己挖漏洞的行為,一者是興趣使然,另外也是在為網(wǎng)絡(luò)安全做貢獻,發(fā)現(xiàn)哪家網(wǎng)站或者哪個企業(yè)的系統(tǒng)漏洞,可以提醒它們及時修復(fù),避免被黑產(chǎn)們利用造成損失,然而一個尷尬的現(xiàn)實是,被發(fā)現(xiàn)漏洞的企業(yè),往往對白帽子們的好意抱以懷疑的態(tài)度。

  趙武當(dāng)年因為在黑客領(lǐng)域的名氣,被華為公司招進了全球安全實驗室,成為了華為第一個從事安全研究的員工。在工作當(dāng)中,趙武用自己研發(fā)的漏洞工具對系統(tǒng)的安全性進行測試,剛好廣東某運營商和華為業(yè)務(wù)聯(lián)系較多,他就順手拿該運營商的運營系統(tǒng)做了測試,結(jié)果竟然在該運營商的系統(tǒng)中發(fā)現(xiàn)了幾百個漏洞,這些漏洞涉及計費系統(tǒng)、短信、彩信等業(yè)務(wù)系統(tǒng)。

  當(dāng)時還年輕氣盛的趙武選擇了一種惡作劇的方式提醒該運營商注意系統(tǒng)漏洞。他利用該運營商的系統(tǒng)漏洞,給當(dāng)時的運營商總經(jīng)理手機上發(fā)送了一條短信,告訴他自己的身份以及自己發(fā)現(xiàn)的漏洞情況,最絕的是,短信顯示的發(fā)送方居然是運營商的黨組書記。

  這一下子捅了馬蜂窩,運營商馬上找到了華為公司,核實趙武的身份,并要求他去運營商說明情況。在運營商的一間會議室里,趙武向?qū)Ψ降呢撠?zé)人詳細介紹了自己發(fā)現(xiàn)的漏洞情況。在回去的路上,陪他一起去的華為同事才和趙武交了底,在他講漏洞的辦公室隔壁房間,就等著警方的人員,一旦趙武在對方面前表露出一點索取好處的意思,警察就會馬上過來抓人?;蛘弋?dāng)時運營商的人都沒有想到,趙武的用意完全就是善意的提醒。

  在像補天這樣的漏洞提交平臺出現(xiàn)前,白帽子發(fā)現(xiàn)了漏洞,如果想提醒對方,需要自己寫一份報告,并主動與對方聯(lián)系?;蛘呤遣幌嘈?,或者是對白帽子動機的懷疑,表示感謝的只占到少部分。

  鄧煥干過更瘋狂的事情,他抱著被特招成為網(wǎng)絡(luò)警察的幻想,居然攻破了當(dāng)?shù)鼐炀值木W(wǎng)站,在向系統(tǒng)中留的聯(lián)系人發(fā)送漏洞報告后,對方第一反應(yīng)是懷疑他通過其他方式找到的聯(lián)系方式。

  “小白”也說,多數(shù)情況下,自己主動聯(lián)系的漏洞方都會懷疑其目的性,“是不是想要錢?”是被問得最多的?!按_實有人利用漏洞去找企業(yè)要錢,人家也會想,你費那么大勁兒找個漏洞就是為了提醒一下?可能嗎?”他表示,實際上白帽子們找漏洞,主要還是為了在實踐中不斷提高自己的水平。

  在補天平臺成立后,這一局面好了很多,白帽子只需要把漏洞提交給補天,補天會出面與漏洞方進行聯(lián)系?!坝械钠髽I(yè)很重視,也會主動注冊并提供獎金給發(fā)現(xiàn)者,但也有很多企業(yè)對系統(tǒng)安全的重視程度很低。”鄧煥表示,經(jīng)常是把漏洞情況反映給他們,卻如石沉大海沒有任何消息。

  □記者手記

  一群簡單熱情的年輕人

  一次在飯桌上,有人向我介紹兩個新朋友:“他們是特別牛的白帽子!”我當(dāng)時吃了一驚,這兩個人和其他80后、90后年輕人看起來沒有任何區(qū)別,完全不是想像中高冷驕傲或者不修邊幅的黑客形象。這兩個人就是趙武和鄧煥,他們也勾起了我對白帽子這個神秘群體的好奇心。

  “這些人千奇百怪,個性都很強,但是都不難打交道。”陸續(xù)接觸了十幾個白帽子后,我認同了趙武對白帽子群體的評價。這些人普遍年齡不大,80后已是“老人”,90后已成主力;他們當(dāng)中有的很在意自己的隱私,如小白曾經(jīng)戴著面具接受過央視采訪,一個年紀很小的白帽子擔(dān)心記者會通過手機對他進行定位;有的不善言辭,說起專業(yè)知識滔滔不絕,介紹起自己的經(jīng)歷就詞不達意。但是他們又有一個共同點,那就是簡單熱情,一旦說服他們接受采訪,都愿意和我分享他們最真實的生活和經(jīng)歷。

  京華時報記者古曉宇

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅