“白帽子”是如何煉成的? – 創業故事
方小頓就是白帽黑客中的佼佼者。他是國內著名安全組織80sec的成員。也曾經是百度安全專家,負責對黑客襲擊百度網站的抵禦工作,曾發現多個知名底層和腳本安全漏洞。 隨後他又創立了網路漏洞報告平台——烏雲,作為一個廠商和安全研究者之間的安全問題反饋平台,烏雲提供給網際網路公司很多漏洞及風險報告,說明他們防患於未然。隨著烏雲影響力的提高,旗下白帽子團隊也達到了近5000人,其中核心黑客超過100人。 黑帽子指泛指那些專門利用電腦網路搞破壞或惡作劇的黑客,並通過網路漏洞非法牟利,在英文中這些人叫做cracker。而白帽子指對網路技術防禦的黑客, 他們可以識別電腦系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公佈其漏洞,以便系統可以在被其他人(例如黑帽子)利用之前來修補漏洞。 方小頓留著一頭長髮,看上去頗具有文藝青年范兒,他對白帽子這個職業有著自己的見解。在他看來,白帽子最難的就是堅持自己的理想,不計眼前的利益誘惑,從整個行業著眼為網路安全貢獻自己的力量。在他眼裡,白帽子是一群掙扎在理想和現實邊緣的黑客。 “白帽子”是如何煉成的 2002年,15歲的方小頓便考上了哈爾濱理工大學的化學專業,也是在那一年,他開始接觸網際網路,接觸網路安全。 方小頓稱,由於對化學專業沒有太大的興趣,基本上除去上課、睡覺,大學全部的時間都撲在網路安全研究上。從那時開始,方小頓經常給國內頂尖網路安全雜誌投稿,稿件多被錄用。在大學期間還受聘給某網路安全培訓機構的學生授課。 但他並不認為課堂中會出網路安全人才。“網路安全問題本身就存在於破壞規範中,處理網路安全問題的核心就在於不守規矩,所以在規範的教育體系下,很難出網路安全人才。”方小頓指出,網路安全是一門興趣指引下的學問,他需要黑客親身去鑽研,不能把別人過往的經驗總結成課程來學習。 方小頓自己的經歷完全可以印證這一點。最初他對網路安全產生興趣,源於課餘時間同學之間在網路上的互相攻擊。彼時可借鑒參考的資料基本屬於空白,完全依靠自己的鑽研。隨後他又與大學同學一起黑入一家網站的首頁並善意提醒了這家公司存在漏洞問題。這家公司在2006年也為方小頓提供了他大學畢業後的第一份工作。 2008年,方小頓加盟了百度,負責網路安全。在百度,他獲得了從大平台的角度去學習認知網際網路安全的機會。但百度的主體業務是搜尋引擎,由於其在整個網際網路領功能變數的局限性,對於2010年的方小頓,留給他施展的空間也極為有限。 方小頓稱,離開百度主要還是因為理想,他想利用自己的技術來為更多的網際網路公司解決安全問題。他認為,一名白帽子黑客除了要有這方面興趣之外,另一點就是必須擁有一個正能量的理想。 同樣利用技術發現漏洞,黑帽子黑客往往利用漏洞通過不法手段來取得利益,這部分利益能多到哪種程度呢?方小頓稱,可能是一個並不起眼的黑客,某一天你就會發現他住上了好房,開起了好車。他表示,目前最強的黑帽子和白帽子收入的差距大概是日薪一萬和月薪一萬的差距。 正因如此所有白帽子黑客都是站在了理想和現實邊緣。方小頓認為,白帽子黑客必須認清自己的核心訴求不一樣,在理想和現實中更加重視個人的成長。他同時指 出,以黑帽子黑客賺錢的模式往往會令人變得浮躁,這種心態會不利於自身對技術的學習,從個人技術發展角度講,這並不是一件好事。 網路安全需要更多參與者 離開百度的方小頓,為了自己的理想在2010年5月創立了烏雲。在2011年12月21日,烏雲曝出國內知名技術社區CSDN的600余萬使用者資料被洩露。此後又陸續曝出多玩800萬使用者訊息、7K7K小遊戲的2000萬使用者、網站的1000萬使用者資料,以及人人網、U9網、百合網、開心網、天涯、世紀佳緣等網站資料庫遭遇不同程度的外洩。該事件引起各界人士討論,一時間網友紛紛修改網站密碼,並只呼“修改到手抖”,促使各方更加重視網路安全,烏雲平台也因此名聲大震。 在此後的這幾年,烏雲平台不斷發布在各個網站發現的漏洞,並且快速成長為一個立足於電腦廠商和安全研究者之間的安全問題反饋及發佈平台,同時它也是服務於網際網路IT人士技術開發的互動平台。 最新的曝光是烏雲核心白帽子“豬豬俠”登出的“攜程某分站原始碼包可直接下載(涉及資料庫配置和支付介面訊息)”以及“攜程安全支付日誌可遍歷下載 導致大量使用者銀行卡訊息洩露(包括持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)”的兩條訊息。 攜程漏洞曝光後,引起極大反響,攜程股價一度下跌近10%。烏雲再次以強勢的姿態衝進人們的視野,並且一次次帶給人們更大的震撼。 方小頓指出,目前安全行業環境不夠好,與網際網路提倡的開放和分享走得很遠,不利於整個社區的成長和行業的發展。他透露,烏雲在把部分廠商的漏洞公開後,會受到來自廠商的一些報復,最嚴重的烏雲伺服器還被拔過線。 他認為,目前訊息安全的問題是行業環境的問題,不夠公開不夠透明的問題導致很難像其他行業一樣被人瞭解和理解,而網際網路安全從業者在不瞭解和不理解的前提下很難將事情做好。 “如果我家裡沒有上鎖,可以說是我自己的事情,無關他人。但如果你是家銀行,你管理的東西都不是你的,那就有必要也有義務讓使用者知道你管理的真實情況。”方小頓解釋道,公開漏洞訊息另一方面的重要原因是,讓同類企業引以為戒,並節省整個行業的安全成本。 他進一步表示,烏雲將堅持開放和分享的核心運營思路,通過訊息的流動帶來社區的活躍,在積累了大量的安全問題基礎資料之後,希望能夠與白帽子一起除發現問題之後還能為企業解決和規避安全問題。 目前,烏雲仍屬於一個非盈利組織,網站的主要經濟來源由Cncert網際網路應急中心和廣東訊息安全評測中心提供。接近5000人的白帽子黑客全部為烏雲義務提供服務。 方小頓認為,網際網路安全行業應該受到更高的重視,還需要像國家、企業、媒體以及第三方平台等參與進來。“來自各行各業的人士會永遠不同的角度分析判斷網路安全問題,從而會更容易發現漏洞,減少損失;另一方面,企業的參與也能夠從一定程度上改善白帽子黑客的生活質量,對其也是一種正確方向的引導。” 搬移安全問題核心不在終端 不過,網路安全參與者的增長速度,顯然沒有麻煩製造者的增長速度快。隨著搬移網際網路的興起,一些由手機等搬移裝置曝出的網路安全問題,已經成為了近兩年3·15晚會的常客。但方小頓認為,搬移網際網路的安全問題核心不在搬移終端,歸根結底還是網際網路服務的漏洞越來越多。 他表示,回歸到安全漏洞的本質,漏洞與資料是相對應的,一個不能影響資料的漏洞只能說是個Bug,無論使用者用什麼手機,它最終只承載了網際網路服務入口的使命。 方小頓稱,搬移安全問題的增多,主要是因為人們越來越頻繁的通過手機等搬移裝置使用網際網路雲服務。“現在的搬移智慧終端都在強調一個資料雲處理的概念,信件、照片、通信錄等使用者資料都在雲端,一旦出了安全問題,還是在雲伺服器中存在漏洞隱患。” 從目前來看,蘋果生態系統的安全性是被普遍認可的。由於iOS系統的封閉性,以及App Store的自有生態體系下,出現任何安全問題,蘋果都會快速做出合理的決策反應,從而保證其品牌利益。 而在安全方面經常被詬病的Android裝置,在方小頓看來與蘋果的安全水平也屬同一層級。他解釋道,目前品牌Android裝置的開放屬於一種相對的開 放,終端廠商為了自己的品牌利益,會對自己產品中內建應用做出嚴格的審核,對待自己品牌的應用分發市場也會採取相同的態度,但對於第三方應用市場的產品,終端廠商還是無法進行審查的。 方小頓認為,基於雲時代的網際網路安全狀況,企業在一定程度上應把資料的控制權交還給使用者,給使用者一個選取權,讓使用者有權利刪除記錄,以保障這部分資料的安全性。另一方面,國家或第三方監管機構加強對終端公司的把控,防止企業在使用者不知情的情況下收集使用者電腦裡的資料、記錄,甚至從雲端下發策略。 |