新聞源 財富源

2023年02月01日 星期三

財經 > 滾動新聞 > 正文

字號:  

白帽駭客守衛網路世界黑白界線

  • 發佈時間:2015-05-11 02:32:56  來源:京華時報  作者:佚名  責任編輯:羅伯特

  12306的用戶資訊洩露漏洞、攜程用戶資訊洩露漏洞……頻發的系統漏洞隱患也讓網路安全問題愈發受到關注。發現這些安全漏洞的,並不是某個人或者某個公司,而是一個被稱為“白帽子”的群體。白帽子屬於駭客,但是又在做著守護光明的事情,他們是網路世界白與黑的交集。他們都是些什麼樣的人?過著怎樣的生活?是否像傳聞中説的那樣動動手指就有大筆收入……記者嘗試走進他們的世界,告訴你白帽子們真實的一面。

  白帽子是誰

  “換個高大上的説法,白帽子就是網路安全的守衛者。”

  武俠的世界有“兵器譜”,駭客江湖也有自己的榜單,趙武就是在“中國駭客榜中榜”上標名的人物。趙武年輕時幹過“荒唐”的事,而現如今他看起來相當沉穩。趙武已過而立,負責著國內最大的漏洞響應平臺補天,這個平臺匯集了近萬名白帽子,趙武是他們的“帶頭大哥”。

  “最初是沒有白帽子這個概念的,當時駭客還是一個褒義詞,後來外界對駭客有了誤解,為了和‘黑産’(利用駭客手段獲取非法收入的人)區分開,才有了白帽子的稱謂。”

  趙武介紹,白帽子們做的事情,就是找到電腦系統和網站中的漏洞,並將之公佈出來,使其在被不法分子利用前被修復。“換個高大上的説法,白帽子就是網路安全的守衛者。”

  在人們想像中,駭客都是在鍵盤上十指舞動如飛、在倒計時讀秒中攻破各種防火牆的世外高人,然而在現實裏,白帽子中固然有不少高手,但更多的還是入門級的初學者。

  趙武介紹,在他進入網路安全領域的時候,國內進行這方面研究的人最多只有幾百人,如今隨著工具下載的便利,成為白帽子的門檻已經相當低了,保守估計,國內具備尋找簡單網路漏洞能力的人,起碼在10萬以上。“只要學會使用漏洞掃描器,你也能當白帽子。”趙武説。

  另一位白帽子錶達更直接,他認為一個“大學電腦二級未通過”的人要學會找簡單的漏洞只需幾天時間,而想具備一個普通白帽子的水準,“如果有人教只需要三個月”。

  趙武認為,現在的白帽子們大體可以分成四個層次:最底層的被稱為“腳本小子”,這些人沒有工具研發能力,只是能夠利用別人寫的腳本去進行攻擊,這部分人佔到了白帽子總體的90%以上。第二個層次是有了自己的安全理念、具備代碼審計和安全攻防能力。第三個層次的人不僅有自己的想法,也具備工程化的能力,可以自己開發工具和深入挖掘漏洞,能達到這一層次的國內也就幾百號人。“從技術上講,第三層次其實已經到頭了,再往上,就是從‘術’到‘道’的飛躍,要能夠思考安全的本質,提出完整的安全解決方案。能到這一層次的都是行業精英,國內能有五十個就不錯了。”

  如何成為一個白帽子

  “白帽子是要講天賦的,但相比天賦,其實興趣更加重要。”

  記者採訪了十多位白帽子,這些人絕大部分都是學電腦方面的專業出身,有幾個學的就是最對口的資訊安全專業,可毫無例外,他們説起自己成為白帽子的經歷,都用了“自學”的説法。

  1990年出生的鄧煥是補天平臺的另一位技術大牛,就連趙武也承認在某些方面鄧煥比自己強。鄧煥的經歷,很好地詮釋了如何能夠成為一名出色的白帽子。

  鄧煥最初接觸駭客技術,始於上初中的時候。當時他的同桌買了一本駭客技術方面的雜誌,鄧煥隨手翻了翻,竟然一下子被裏面的內容吸引了。不久之後,家裏買了第一台電腦,鄧煥開始按照書中教的內容自己摸索搗騰。實際上,記者所採訪的白帽子當中,有好幾個都説自己對駭客技術的興趣是源於此類雜誌。

  到了高中,鄧煥的駭客功夫已經有了相當火候,他進高中不久就入侵了學校的網站。當時被他經常“禍害”的還有校外的網吧,每次到網吧上網,他都會接管整個網吧的管理許可權,不僅讓自己免費上網,還能看到網吧裏每一個人所瀏覽的內容,他甚至會在臨走時把全網吧的電腦重啟,然後在一片驚呼聲中揚長而去。

  幾乎每個從電腦專業出來的白帽子都幹過入侵自己學校系統的事,鄧煥也是如此。他發現在大學裏上網還要花錢,於是破解了學校的網路計費系統,讓自己可以免費上網,之後一不做二不休,乾脆把學校裏的各個系統都入侵了個遍。鄧煥把他發現的學校系統漏洞總結成一份報告,發給了系主任。不久後,鄧煥在課堂上被系主任和輔導員“請”了出去。最終鄧煥沒有受到任何處分,相反他得到了可以在學校網絡中心辦公室上網的待遇,還順便幫學校做網路維護,之後還代表學校參加了湖南省的資訊安全大賽。

  鄧煥代表了一大批白帽子的經歷,他們雖然學習電腦專業,可駭客技術還都是自學來的。鄧煥告訴記者,這是因為學校裏教授的知識偏重於理論,很少涉及駭客技術方面。事實上,他還在大一的時候,就有學校的老師向他請教問題,到大二時,學校已經為他開了綠燈,他無需再上課,跑到北京來工作,直到畢業時回去參加答辯就可以了。

  “什麼樣的人能夠成為一名出色的白帽子?”面對這樣的提問,有的白帽子認為是要講天賦的,鄧煥則認為,相比天賦,興趣更加重要。“研究技術就是我的遊戲,從中獲得的成就感是其他任何事都達不到的。”鄧煥認為,他之所以能成為白帽子當中的佼佼者,是因為他願意把大量的時間和精力都花在這上面。

  現在還沒有大學畢業的白帽子鮑宇也認同興趣至關重要的觀點。他告訴記者,他大學是學編程的,在他的同學當中,只有他自己對駭客技術感興趣,其他人即便偶爾有了興趣,可都是三分鐘熱度,很快就不願意學了,所以一個班上只出了他這麼一個白帽子。

  優秀女白帽子比大熊貓還稀罕

  “在白帽子這個圈子裏,一個女生的水準高低並不重要,都會被其他人供起來。”

  駭客的世界,一向被認為是男人的世界,而白帽子當中的女生更是鳳毛麟角。按照鄧煥的説法,補天平臺上近萬的註冊白帽子中,他知道的女生只有十幾個,説千里挑一都不誇張。“在這個圈子裏,一個女生水準高低並不重要,都會被其他人供起來。如果是技術又牛,長得又漂亮的女生,那簡直比大熊貓還珍稀,基本上圈子裏沒有人會不知道。”鄧煥笑著説。

  “小惠子”是個剛剛20歲的女白帽子,還在讀大二的她做白帽子才半年時間,用她的話説,“隨便碰到一個白帽子都是我的師父”。當被問到為什麼會做白帽子時,小姑娘給出了這樣的回答:“上大學前很愛玩遊戲,後來考上大學也不知學什麼好,覺得這個(資訊安全)專業挺好玩的,於是就報了。”

  雖然學資訊安全的女生本就不多,但“小惠子”班上54個人裏還是有14個女生的,可做白帽子的只有她一個。“她們都喜歡聊QQ打遊戲什麼的,只有我覺得挖漏洞還挺好玩。”讓她更得意的是,作為一個“女白帽子”,她遇到的其他白帽子對她都很熱情。“班上有男生也想學,可別人都不怎麼願意教他們。”説到這,小姑娘笑得很開心。

  “小惠子”和其他記者接觸過的白帽子還有一點不同,那就是其他白帽子雖然專業技術很牛,可學習成績普遍一般,而這個姑娘可是當之無愧的“學霸”。“我覺得做白帽子對學習還是很有幫助的。”

  在國內安全圈裏鼎鼎大名的“碳基體”則是鄧煥口中“技術牛、長得漂亮”的“大熊貓”級的女白帽子,雖然她的網路ID很難讓人和一位美女聯想到一起。和“小惠子”這樣的初學女白帽子備受“寵愛”不同,到了“碳基體”這個級別,除了她老公偶爾在人前誇耀“我老婆可是個駭客”,其他時候,女性身份根本不會給她帶來什麼便利。

  “碳基體”是一家安全企業的技術人員,她告訴記者,在她的工作環境中,人們看重的只有能力和技術。“我入職面試的時候,被問的都是技術問題,答得上來留下,答不上來走人。”和其他女生一樣,“碳基體”也愛逛街打扮,可一旦進入工作狀態,“該吼就吼,根本不顧什麼形象。”

  “碳基體”告訴記者,女性在安全行業當中的人數雖然少,但是並沒有外界想像中的那麼稀罕,而且隨著就業環境越來越好,從事這個行業的女生也越來越多了。但是她也承認,很多女生在做過幾年技術工作後,也會轉到管理崗位上,“不過我是希望一直在技術一線工作,因為我確實喜歡研究技術。”

  收入最高者年入百萬

  “網路安全事件頻發,資訊安全的概念開始深入人心,企業都開始設立專門的網路安全崗位,這方面的人才一下子成為了稀缺資源。”

  白帽子這個行業真正火起來,也就是最近兩三年的事情,而最直接的因素就是收入情況的好轉。

  在三年前,白帽子們掙錢只有幾條道:成立安全公司或者團隊,開發産品,為企業提供這方面的服務,不過這只限于少數真正的技術大牛;接一些網站或者廠商産品眾測的活兒,不過這種活兒都是臨時性的;再不就只能做普通的程式員,每月掙四五千元,這些白帽子在網路安全方面的特長根本無用武之地。最近幾年,這一情況發生了極大的改善。一方面,由於網路安全事件頻發,資訊安全的概念開始深入人心,一些企業開始設立專門的網路安全崗位,這方面的人才一下子成為了稀缺資源,企業開出的價碼也水漲船高,不少白帽子都投身到“豪門”;另外一方面,像補天這樣的漏洞提交平臺的建立,也給白帽子們創造了一個平臺,找漏洞不再是義務勞動。

  據了解,如今國內頂級安全人才的年收入可以達到百萬元水準;高水準的白帽子,加入網際網路公司的,一年掙個十幾萬幾十萬也屬平常;即便是那些依舊散兵遊勇的白帽子,通過在平臺上提交漏洞,有的也可以月入數萬元。

  李寅是補天平臺上收入最高的白帽子。據他介紹,他平均一個月在補天上獲得的獎金在2萬元左右,而最多的時候,他一個月就拿到了超過6萬元的獎金。要知道,補天提交一個漏洞獲得的獎金也就幾百元,最多不過一兩千元,可見他每月提交的漏洞數量有多少。

  “最初我找漏洞就純粹是個人的業餘愛好,後來到補天上發現既能找漏洞又能提高技術水準,何樂而不為啊!所以我在補天上發漏洞的積極性就比較高。”李寅對記者表示,與之前相比,他現在更加注重提交漏洞的品質,而不是再一味求數量,加上目前他正在籌備自己的創業項目精力有限,現在他在補天上的收入也沒有之前那麼高了。

  李寅這樣的白帽子畢竟是少數,不過每月能從補天平臺上拿到幾千元獎金的白帽子還不在少數。趙武介紹,目前補天平臺每月向白帽子們發放的獎金和物質獎勵加起來能有四五十萬元,其中一部分是被發現漏洞企業出的獎金,而大部分還是補天平臺自己支付的。

  收入條件的好轉,帶來的直接影響就是願意投身白帽子的人越來越多了。今年7月才大學畢業的鮑宇對記者説,之前他也動員過其他同學來學習白帽子技術,可他們都不感興趣。不過當別人發現他簽下的工作收入要明顯高於一般的程式員工作後,還是對他很羨慕的。“就業條件好了,現在剛進大學的人對於做白帽子的興趣就比我那個時候更大了,人數也多了,不像我當時那樣孤軍奮戰了。”鮑宇説道。

  來自黑暗的誘惑

  “我所接觸過的圈裏的前輩都告誡我一定不要觸線,因為一旦做了黑産,再想洗白就很難了。”

  雖説如今白帽子的收入情況已經明顯改善了,但是和做“黑産”的比起來,依然是天壤之別。“有的黑産一天就能掙幾萬元,哪家公司會給員工開這麼高的薪水?”鄧煥説。

  那些被白帽子們稱為“黑産”的駭客又是怎麼獲得如此驚人的收入呢?鄧煥介紹,黑産們賺錢的方式多種多樣,最普通的就是利用漏洞獲得網站或者系統內的用戶資料,出售他人資訊以獲利;還有利用獲得的用戶資訊,從事詐騙、盜刷信用卡等。例如,補天平臺上的白帽子就曾經發現了一個完整的偽基站詐騙鏈條。詐騙者利用偽基站向附近的手機發送詐騙短信,詐騙短信的號碼顯示為中國移動的客服號碼“10086”,短信稱用戶手機積分已經滿足兌換現金禮包的條件,並給出了一個兌換連結;點擊此連結,會進入一個名為“中國移動掌到府戶”的網站,並要求用戶提交收款資訊,如銀行卡或信用卡的卡號、密碼、用戶身份證資訊、手機號碼等。“白帽子”在攻破該網站的伺服器之後發現,這是一個“釣魚網站”,在這個釣魚網站的後臺,赫然能夠看到超過400位用戶的詳細資訊,包括用戶姓名、銀行卡或者信用卡號、開戶行、密碼、身份證、手機號碼、信用卡有效期、CVV碼等。在獲取了這些用戶資訊之後,詐騙者完全可以利用受騙者的銀行卡、信用卡進行轉賬或者盜刷。從已經超過400人的受騙規模來看,該釣魚網站的詐騙金額估計能超過千萬元。

  記者在採訪中發現,幾乎每個水準較高的白帽子,都受到過來自黑産的誘惑。在補天漏洞平臺上收入最高的李寅,一次挖到了一個很多門戶網站都在使用的知名程式的漏洞,如果能利用會帶來很嚴重的危害。因為這個漏洞,補天平臺獎勵了他3500元,而這已經是大大超過正常漏洞獎金標準的破例金額了,但是就有黑産開價數萬購買這個漏洞的細節。鄧煥更是透露,有黑産許諾幾十萬甚至上百萬的報酬,雇他去攻破某些網站。“從事這個行業的人估計90%都受到過黑産的各種誘惑。”鄧煥説。

  鉅額的金錢誘惑,就像潘多拉的魔盒,一旦白帽子抵禦不住誘惑,就會滑入罪惡的深淵。確實有白帽子禁受不了金錢的引誘加入黑産的陣營,不過大多數白帽子還是能堅守住底線,一方面是因為法律,一方面也是因為道德的約束。

  1991年出生的“小白”也是一位資深的白帽子,但是面對不是安全圈的朋友,他很少提起自己白帽子的身份。“之前就有一些人知道我是駭客後,讓我幫他們盜別人的QQ號。”“小白”從心裏很反感這種要求,“我的父母都是老實本分的農民,雖然他們不太清楚我從事的究竟是什麼,但從小他們對我的要求就一句話‘不要做壞事’,這也是我做白帽子的底線。”

  “我所接觸過的圈裏的前輩都告誡我一定不要觸線,因為一旦做了黑産,再想洗白就很難了。”李寅説道。

  很多時候不被理解

  “多數情況下,自己主動聯繫漏洞方,對方都會懷疑我的目的是不是想要錢。”

  在白帽子們看來,自己挖漏洞的行為,一者是興趣使然,另外也是在為網路安全做貢獻,發現哪家網站或者哪個企業的系統漏洞,可以提醒它們及時修復,避免被黑産們利用造成損失,然而一個尷尬的現實是,被發現漏洞的企業,往往對白帽子們的好意抱以懷疑的態度。

  趙武當年因為在駭客領域的名氣,被華為公司招進了全球安全實驗室,成為了華為第一個從事安全研究的員工。在工作當中,趙武用自己研發的漏洞工具對系統的安全性進行測試,剛好廣東某運營商和華為業務聯繫較多,他就順手拿該運營商的運營系統做了測試,結果竟然在該運營商的系統中發現了幾百個漏洞,這些漏洞涉及計費系統、短信、彩信等業務系統。

  當時還年輕氣盛的趙武選擇了一種惡作劇的方式提醒該運營商注意系統漏洞。他利用該運營商的系統漏洞,給當時的運營商總經理手機上發送了一條短信,告訴他自己的身份以及自己發現的漏洞情況,最絕的是,短信顯示的發送方居然是運營商的黨組書記。

  這一下子捅了馬蜂窩,運營商馬上找到了華為公司,核實趙武的身份,並要求他去運營商説明情況。在運營商的一間會議室裏,趙武向對方的負責人詳細介紹了自己發現的漏洞情況。在回去的路上,陪他一起去的華為同事才和趙武交了底,在他講漏洞的辦公室隔壁房間,就等著警方的人員,一旦趙武在對方面前表露出一點索取好處的意思,警察就會馬上過來抓人。或者當時運營商的人都沒有想到,趙武的用意完全就是善意的提醒。

  在像補天這樣的漏洞提交平臺出現前,白帽子發現了漏洞,如果想提醒對方,需要自己寫一份報告,並主動與對方聯繫。或者是不相信,或者是對白帽子動機的懷疑,表示感謝的只佔到少部分。

  鄧煥幹過更瘋狂的事情,他抱著被特招成為網路警察的幻想,居然攻破了當地警察局的網站,在向系統中留的聯繫人發送漏洞報告後,對方第一反應是懷疑他通過其他方式找到的聯繫方式。

  “小白”也説,多數情況下,自己主動聯繫的漏洞方都會懷疑其目的性,“是不是想要錢?”是被問得最多的。“確實有人利用漏洞去找企業要錢,人家也會想,你費那麼大勁兒找個漏洞就是為了提醒一下?可能嗎?”他表示,實際上白帽子們找漏洞,主要還是為了在實踐中不斷提高自己的水準。

  在補天平臺成立後,這一局面好了很多,白帽子只需要把漏洞提交給補天,補天會出面與漏洞方進行聯繫。“有的企業很重視,也會主動註冊並提供獎金給發現者,但也有很多企業對系統安全的重視程度很低。”鄧煥表示,經常是把漏洞情況反映給他們,卻如石沉大海沒有任何消息。

  □記者手記

  一群簡單熱情的年輕人

  一次在飯桌上,有人向我介紹兩個新朋友:“他們是特別牛的白帽子!”我當時吃了一驚,這兩個人和其他80後、90後年輕人看起來沒有任何區別,完全不是想像中高冷驕傲或者不修邊幅的駭客形象。這兩個人就是趙武和鄧煥,他們也勾起了我對白帽子這個神秘群體的好奇心。

  “這些人千奇百怪,個性都很強,但是都不難打交道。”陸續接觸了十幾個白帽子後,我認同了趙武對白帽子群體的評價。這些人普遍年齡不大,80後已是“老人”,90後已成主力;他們當中有的很在意自己的隱私,如小白曾經戴著面具接受過央視採訪,一個年紀很小的白帽子擔心記者會通過手機對他進行定位;有的不善言辭,説起專業知識滔滔不絕,介紹起自己的經歷就詞不達意。但是他們又有一個共同點,那就是簡單熱情,一旦説服他們接受採訪,都願意和我分享他們最真實的生活和經歷。

  京華時報記者古曉宇

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅