2015-06-26 01:09:18
每經(jīng)編輯 每經(jīng)記者 丁舟洋
◎每經(jīng)記者 丁舟洋
在信息安全領(lǐng)域中,所有研究智取計算機安全系統(tǒng)的人員統(tǒng)稱黑客。但在黑客的世界里,又有“正”與“邪”兩個陣營,分別是以破壞網(wǎng)絡(luò)安全來獲取個人利益的“黑帽子”和維護(hù)網(wǎng)絡(luò)安全的“白帽子”。
22歲的張瑞冬創(chuàng)建的“白帽子”團(tuán)隊,長期居漏洞查找排行榜首位。一次次漏洞曝光,奠定了張瑞冬團(tuán)隊在圈內(nèi)的“牛人”地位。
近日,《每日經(jīng)濟(jì)新聞》記者(以下簡稱NBD)在成都專訪了這名年輕的黑客。在張瑞冬看來,“白帽子”們最大的優(yōu)勢,就是通過模擬惡意黑客的攻擊方法,監(jiān)測網(wǎng)絡(luò)系統(tǒng)的實際安全性,提前發(fā)現(xiàn)漏洞或缺陷,并進(jìn)行必要的修補。
自學(xué)成才的“白帽子”
NBD:能談?wù)勀摹鞍酌弊印背砷L史嗎?
張瑞冬:我可能不是鉆研程序和代碼的“黑客男”,玩的更多是邏輯性的東西。13歲去銀行取錢時,我發(fā)現(xiàn)ATM機的程序有一個邏輯漏洞,可以讓人取錢以后銀行卡的余額不改變。
比如,取1000元,我拿走其中9張留1張,90秒以后系統(tǒng)會顯示超時并把這一張收回去,但系統(tǒng)在收回去的過程中是沒有做點鈔機制的,顯示的余額沒有減少。這就是典型的業(yè)務(wù)邏輯漏洞,后來我?guī)椭y行解決了這個問題。
NBD:“白帽子”們往往非常年輕,而且大多都不是學(xué)計算機的,您怎么理解這一現(xiàn)象?
張瑞冬:的確如此,以我們團(tuán)隊為例,10多個人中,只有兩人有大學(xué)以上學(xué)歷,一個是生物學(xué)博士,一個是物理碩士。其余人基本是初中、高中學(xué)歷,我自己只有初中文憑。據(jù)我了解,BAT的安全部門中有一半的技術(shù)人員都沒有大學(xué)文憑。
我們這群人大多從小就對電腦網(wǎng)絡(luò)感興趣,通過閱讀相關(guān)書籍和大量的實踐與思考自學(xué)成才。高校里的網(wǎng)絡(luò)安全培養(yǎng)方式理論性太強,而且往往是正向思維,缺乏用攻擊思維來防守的實踐課程。
NBD:您怎樣理解黑客從事網(wǎng)絡(luò)安全的特點?
張瑞冬:傳統(tǒng)的安全產(chǎn)品,是用防御類設(shè)備對抗攻擊設(shè)備,但畢竟設(shè)備的匹配規(guī)則是死的,攻擊者可以繞過設(shè)備。所以,傳統(tǒng)的設(shè)備已經(jīng)攔不住攻擊者。
我們這群“白帽子”黑客非常熟悉“黑帽子”的行為,可以完全模擬“黑帽子”的行為,找到脆弱點,然后提出一套完整的修補建議,漏洞修補后再測試。
用戶安全意識差
NBD:人們一提到黑客就會聯(lián)想到網(wǎng)絡(luò)破壞,這種誤解會對網(wǎng)絡(luò)安全人才隊伍的發(fā)展產(chǎn)生不利影響嗎?
張瑞冬:公眾對黑客的理解確實有些誤解,黑客本身不是一個負(fù)面形象。在我看來,黑客就是對技術(shù)的極致追求,發(fā)現(xiàn)問題、質(zhì)疑權(quán)威、充滿好奇。我喜歡鉆研邏輯問題,想刨根問底研究系統(tǒng)中有沒有邏輯漏洞,這就是黑客思維。黑客這個稱號是對技術(shù)的極大肯定,我非常樂意別人叫我黑客。
事實上,黑客群體中的網(wǎng)絡(luò)安全高手輩出,高校里的培養(yǎng)方式實用性不夠強。我們團(tuán)隊曾做過幾次實踐類型的安全培訓(xùn),白天在烏云網(wǎng)上找一些漏洞案例來講解,晚上帶大家實戰(zhàn)。但這些實戰(zhàn)也不是真正去黑別人,我們寫一套系統(tǒng),導(dǎo)師帶著學(xué)員學(xué)習(xí)攻擊手段。
不過,后來這個課程被叫停了,理由是涉及“黑客教程”。所以,這是一個悖論,一方面國家的網(wǎng)絡(luò)安全行業(yè)缺乏“白帽子”人才;另一方面黑客的社會身份又很尷尬。
NBD:我國接入互聯(lián)網(wǎng)逾20年,網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)發(fā)展的程度似乎并不匹配,您認(rèn)為網(wǎng)絡(luò)安全行業(yè)最薄弱的環(huán)節(jié)是什么?
張瑞冬:我認(rèn)為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。我們經(jīng)常處理一些應(yīng)急事故,發(fā)現(xiàn)真正高難度入侵行為是很少的,導(dǎo)致事故頻發(fā)的原因是,用戶密碼設(shè)置太簡單或者是操作失誤。
我曾幫一家上市公司做網(wǎng)站安全測試,他們的系統(tǒng)很安全,測了半天也沒有找到問題。后來我發(fā)現(xiàn)該公司有內(nèi)部交流的QQ群,點擊加入,立馬就把我放進(jìn)去了。進(jìn)去后,我發(fā)現(xiàn)群共享里有個文件夾,文件夾的名字叫公司各種系統(tǒng)密碼。就這樣簡單,我輕易獲得該公司系統(tǒng)密碼。這是很普遍的問題,互聯(lián)網(wǎng)用戶的安全意識薄弱,對安全的管控能力比較差。
張瑞冬:我認(rèn)為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。這是很普遍的問題,互聯(lián)網(wǎng)用戶的安全意識薄弱,對安全的管控能力比較差。
如需轉(zhuǎn)載請與《每日經(jīng)濟(jì)新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟(jì)新聞》報社授權(quán),嚴(yán)禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟(jì)新聞APP