每經(jīng)編輯 每經(jīng)記者 丁舟洋
◎每經(jīng)記者 丁舟洋
在信息安全領(lǐng)域中�����,所有研究智取計算機安全系統(tǒng)的人員統(tǒng)稱黑客���。但在黑客的世界里�����,又有“正”與“邪”兩個陣營�,分別是以破壞網(wǎng)絡安全來獲取個人利益的“黑帽子”和維護網(wǎng)絡安全的“白帽子”���。
22歲的張瑞冬創(chuàng)建的“白帽子”團隊��,長期居漏洞查找排行榜首位�����。一次次漏洞曝光�,奠定了張瑞冬團隊在圈內(nèi)的“牛人”地位。
近日�����,《每日經(jīng)濟新聞》記者(以下簡稱NBD)在成都專訪了這名年輕的黑客���。在張瑞冬看來��,“白帽子”們最大的優(yōu)勢,就是通過模擬惡意黑客的攻擊方法����,監(jiān)測網(wǎng)絡系統(tǒng)的實際安全性,提前發(fā)現(xiàn)漏洞或缺陷�,并進行必要的修補。
自學成才的“白帽子”
NBD:能談談您的“白帽子”成長史嗎�����?
張瑞冬:我可能不是鉆研程序和代碼的“黑客男”��,玩的更多是邏輯性的東西���。13歲去銀行取錢時��,我發(fā)現(xiàn)ATM機的程序有一個邏輯漏洞��,可以讓人取錢以后銀行卡的余額不改變���。
比如���,取1000元,我拿走其中9張留1張��,90秒以后系統(tǒng)會顯示超時并把這一張收回去�����,但系統(tǒng)在收回去的過程中是沒有做點鈔機制的�,顯示的余額沒有減少。這就是典型的業(yè)務邏輯漏洞��,后來我?guī)椭y行解決了這個問題����。
NBD:“白帽子”們往往非常年輕,而且大多都不是學計算機的,您怎么理解這一現(xiàn)象�����?
張瑞冬:的確如此���,以我們團隊為例�,10多個人中����,只有兩人有大學以上學歷,一個是生物學博士����,一個是物理碩士。其余人基本是初中��、高中學歷�����,我自己只有初中文憑��。據(jù)我了解���,BAT的安全部門中有一半的技術(shù)人員都沒有大學文憑�。
我們這群人大多從小就對電腦網(wǎng)絡感興趣�����,通過閱讀相關(guān)書籍和大量的實踐與思考自學成才�。高校里的網(wǎng)絡安全培養(yǎng)方式理論性太強,而且往往是正向思維�����,缺乏用攻擊思維來防守的實踐課程�。
NBD:您怎樣理解黑客從事網(wǎng)絡安全的特點?
張瑞冬:傳統(tǒng)的安全產(chǎn)品�,是用防御類設(shè)備對抗攻擊設(shè)備,但畢竟設(shè)備的匹配規(guī)則是死的���,攻擊者可以繞過設(shè)備�����。所以��,傳統(tǒng)的設(shè)備已經(jīng)攔不住攻擊者����。
我們這群“白帽子”黑客非常熟悉“黑帽子”的行為,可以完全模擬“黑帽子”的行為�,找到脆弱點,然后提出一套完整的修補建議�,漏洞修補后再測試。
用戶安全意識差
NBD:人們一提到黑客就會聯(lián)想到網(wǎng)絡破壞�,這種誤解會對網(wǎng)絡安全人才隊伍的發(fā)展產(chǎn)生不利影響嗎?
張瑞冬:公眾對黑客的理解確實有些誤解���,黑客本身不是一個負面形象��。在我看來�����,黑客就是對技術(shù)的極致追求��,發(fā)現(xiàn)問題�、質(zhì)疑權(quán)威����、充滿好奇��。我喜歡鉆研邏輯問題,想刨根問底研究系統(tǒng)中有沒有邏輯漏洞��,這就是黑客思維����。黑客這個稱號是對技術(shù)的極大肯定,我非常樂意別人叫我黑客����。
事實上,黑客群體中的網(wǎng)絡安全高手輩出���,高校里的培養(yǎng)方式實用性不夠強���。我們團隊曾做過幾次實踐類型的安全培訓,白天在烏云網(wǎng)上找一些漏洞案例來講解�����,晚上帶大家實戰(zhàn)�����。但這些實戰(zhàn)也不是真正去黑別人����,我們寫一套系統(tǒng)���,導師帶著學員學習攻擊手段。
不過�����,后來這個課程被叫停了���,理由是涉及“黑客教程”�����。所以�,這是一個悖論�����,一方面國家的網(wǎng)絡安全行業(yè)缺乏“白帽子”人才�;另一方面黑客的社會身份又很尷尬。
NBD:我國接入互聯(lián)網(wǎng)逾20年����,網(wǎng)絡安全與互聯(lián)網(wǎng)發(fā)展的程度似乎并不匹配,您認為網(wǎng)絡安全行業(yè)最薄弱的環(huán)節(jié)是什么�?
張瑞冬:我認為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。我們經(jīng)常處理一些應急事故����,發(fā)現(xiàn)真正高難度入侵行為是很少的,導致事故頻發(fā)的原因是����,用戶密碼設(shè)置太簡單或者是操作失誤。
我曾幫一家上市公司做網(wǎng)站安全測試���,他們的系統(tǒng)很安全�,測了半天也沒有找到問題�����。后來我發(fā)現(xiàn)該公司有內(nèi)部交流的QQ群����,點擊加入,立馬就把我放進去了���。進去后�,我發(fā)現(xiàn)群共享里有個文件夾,文件夾的名字叫公司各種系統(tǒng)密碼�����。就這樣簡單��,我輕易獲得該公司系統(tǒng)密碼����。這是很普遍的問題,互聯(lián)網(wǎng)用戶的安全意識薄弱�����,對安全的管控能力比較差�。
張瑞冬:我認為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。這是很普遍的問題�,互聯(lián)網(wǎng)用戶的安全意識薄弱,對安全的管控能力比較差�����。
