每經(jīng)編輯|每經(jīng)記者 丁舟洋
◎每經(jīng)記者 丁舟洋
在信息安全領(lǐng)域中�,所有研究智取計(jì)算機(jī)安全系統(tǒng)的人員統(tǒng)稱黑客���。但在黑客的世界里���,又有“正”與“邪”兩個(gè)陣營(yíng),分別是以破壞網(wǎng)絡(luò)安全來(lái)獲取個(gè)人利益的“黑帽子”和維護(hù)網(wǎng)絡(luò)安全的“白帽子”�。
22歲的張瑞冬創(chuàng)建的“白帽子”團(tuán)隊(duì),長(zhǎng)期居漏洞查找排行榜首位���。一次次漏洞曝光����,奠定了張瑞冬團(tuán)隊(duì)在圈內(nèi)的“牛人”地位�。
近日,《每日經(jīng)濟(jì)新聞》記者(以下簡(jiǎn)稱NBD)在成都專訪了這名年輕的黑客����。在張瑞冬看來(lái),“白帽子”們最大的優(yōu)勢(shì)���,就是通過(guò)模擬惡意黑客的攻擊方法�����,監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全性�����,提前發(fā)現(xiàn)漏洞或缺陷�����,并進(jìn)行必要的修補(bǔ)�����。
自學(xué)成才的“白帽子”
NBD:能談?wù)勀摹鞍酌弊印背砷L(zhǎng)史嗎����?
張瑞冬:我可能不是鉆研程序和代碼的“黑客男”,玩的更多是邏輯性的東西�。13歲去銀行取錢時(shí),我發(fā)現(xiàn)ATM機(jī)的程序有一個(gè)邏輯漏洞��,可以讓人取錢以后銀行卡的余額不改變�。
比如,取1000元����,我拿走其中9張留1張�,90秒以后系統(tǒng)會(huì)顯示超時(shí)并把這一張收回去�,但系統(tǒng)在收回去的過(guò)程中是沒有做點(diǎn)鈔機(jī)制的,顯示的余額沒有減少����。這就是典型的業(yè)務(wù)邏輯漏洞��,后來(lái)我?guī)椭y行解決了這個(gè)問(wèn)題�。
NBD:“白帽子”們往往非常年輕,而且大多都不是學(xué)計(jì)算機(jī)的�,您怎么理解這一現(xiàn)象?
張瑞冬:的確如此�����,以我們團(tuán)隊(duì)為例����,10多個(gè)人中,只有兩人有大學(xué)以上學(xué)歷���,一個(gè)是生物學(xué)博士���,一個(gè)是物理碩士���。其余人基本是初中、高中學(xué)歷����,我自己只有初中文憑。據(jù)我了解����,BAT的安全部門中有一半的技術(shù)人員都沒有大學(xué)文憑。
我們這群人大多從小就對(duì)電腦網(wǎng)絡(luò)感興趣����,通過(guò)閱讀相關(guān)書籍和大量的實(shí)踐與思考自學(xué)成才。高校里的網(wǎng)絡(luò)安全培養(yǎng)方式理論性太強(qiáng)��,而且往往是正向思維����,缺乏用攻擊思維來(lái)防守的實(shí)踐課程。
NBD:您怎樣理解黑客從事網(wǎng)絡(luò)安全的特點(diǎn)����?
張瑞冬:傳統(tǒng)的安全產(chǎn)品,是用防御類設(shè)備對(duì)抗攻擊設(shè)備,但畢竟設(shè)備的匹配規(guī)則是死的��,攻擊者可以繞過(guò)設(shè)備��。所以��,傳統(tǒng)的設(shè)備已經(jīng)攔不住攻擊者�����。
我們這群“白帽子”黑客非常熟悉“黑帽子”的行為��,可以完全模擬“黑帽子”的行為���,找到脆弱點(diǎn),然后提出一套完整的修補(bǔ)建議����,漏洞修補(bǔ)后再測(cè)試。
用戶安全意識(shí)差
NBD:人們一提到黑客就會(huì)聯(lián)想到網(wǎng)絡(luò)破壞�,這種誤解會(huì)對(duì)網(wǎng)絡(luò)安全人才隊(duì)伍的發(fā)展產(chǎn)生不利影響嗎?
張瑞冬:公眾對(duì)黑客的理解確實(shí)有些誤解��,黑客本身不是一個(gè)負(fù)面形象���。在我看來(lái)��,黑客就是對(duì)技術(shù)的極致追求���,發(fā)現(xiàn)問(wèn)題��、質(zhì)疑權(quán)威�����、充滿好奇��。我喜歡鉆研邏輯問(wèn)題����,想刨根問(wèn)底研究系統(tǒng)中有沒有邏輯漏洞�,這就是黑客思維。黑客這個(gè)稱號(hào)是對(duì)技術(shù)的極大肯定��,我非常樂(lè)意別人叫我黑客�����。
事實(shí)上�,黑客群體中的網(wǎng)絡(luò)安全高手輩出,高校里的培養(yǎng)方式實(shí)用性不夠強(qiáng)。我們團(tuán)隊(duì)曾做過(guò)幾次實(shí)踐類型的安全培訓(xùn)�,白天在烏云網(wǎng)上找一些漏洞案例來(lái)講解,晚上帶大家實(shí)戰(zhàn)�。但這些實(shí)戰(zhàn)也不是真正去黑別人,我們寫一套系統(tǒng)����,導(dǎo)師帶著學(xué)員學(xué)習(xí)攻擊手段。
不過(guò)��,后來(lái)這個(gè)課程被叫停了��,理由是涉及“黑客教程”�����。所以�����,這是一個(gè)悖論�,一方面國(guó)家的網(wǎng)絡(luò)安全行業(yè)缺乏“白帽子”人才���;另一方面黑客的社會(huì)身份又很尷尬���。
NBD:我國(guó)接入互聯(lián)網(wǎng)逾20年��,網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)發(fā)展的程度似乎并不匹配���,您認(rèn)為網(wǎng)絡(luò)安全行業(yè)最薄弱的環(huán)節(jié)是什么?
張瑞冬:我認(rèn)為最薄弱的環(huán)節(jié)還是用戶安全意識(shí)太薄弱�。我們經(jīng)常處理一些應(yīng)急事故,發(fā)現(xiàn)真正高難度入侵行為是很少的����,導(dǎo)致事故頻發(fā)的原因是,用戶密碼設(shè)置太簡(jiǎn)單或者是操作失誤�����。
我曾幫一家上市公司做網(wǎng)站安全測(cè)試�,他們的系統(tǒng)很安全,測(cè)了半天也沒有找到問(wèn)題���。后來(lái)我發(fā)現(xiàn)該公司有內(nèi)部交流的QQ群�,點(diǎn)擊加入�,立馬就把我放進(jìn)去了。進(jìn)去后����,我發(fā)現(xiàn)群共享里有個(gè)文件夾�,文件夾的名字叫公司各種系統(tǒng)密碼�。就這樣簡(jiǎn)單,我輕易獲得該公司系統(tǒng)密碼�����。這是很普遍的問(wèn)題��,互聯(lián)網(wǎng)用戶的安全意識(shí)薄弱���,對(duì)安全的管控能力比較差��。
張瑞冬:我認(rèn)為最薄弱的環(huán)節(jié)還是用戶安全意識(shí)太薄弱�����。這是很普遍的問(wèn)題,互聯(lián)網(wǎng)用戶的安全意識(shí)薄弱��,對(duì)安全的管控能力比較差�。
