������ 每經編輯|每經記者 丁舟洋 &������nbsp;
◎每經記者 丁舟洋
在信息安(an)全(quan)領域(yu)中,所有(you)研究智取計算機(ji)安(an)全(quan)系統的人(ren)員統稱黑客。但在黑客的世(shi)界里,又有(you)“正”與“邪”兩個陣營(ying),分別是以破壞網絡(luo)安(an)全(quan�������)來獲取個人(ren)利益的“黑帽(mao)(mao)子”和維護網絡(luo)安(an)全(quan)的“白帽(mao)(mao)子”。
22歲的(de)張瑞�������冬(dong)(dong)創建(jian)的(de)“白帽子(zi)”團(tuan)隊,長期居漏洞查找排行榜首位。一(yi)次次漏洞曝光,奠定了張瑞冬(dong)(dong)團(tuan)隊在圈(quan)內的(de)“牛人(ren)”地(di)位。
近(jin)日,《每日經(jing)濟新聞》記者(以下簡(jian)稱NBD)在成都專訪了這名(ming)年輕的黑客。在張瑞冬看來,“白帽(mao)子”們最大的��������優(you)勢,就是(shi)通過模擬惡意黑客的攻擊(ji)��������方法,監測網絡系統(tong)的實(shi)際安全(quan)性(xing),提(ti)前發(fa)現漏洞或缺陷,并(bing)進行必要的修補。
自學成(cheng)才的(de)“白帽子”
NBD:能談(tan)談(tan)您的“白帽子”成(cheng)長史嗎?
張(zhang)瑞冬:我(wo)可能不是鉆研程(cheng)序和代碼(ma)的“黑客(ke)男(nan)”,玩的更(geng)多(duo)是邏輯性的東西。13歲去銀行(xing)取錢時,我(wo)發現ATM機的程������(cheng)序有一個邏輯漏洞,可�������以讓人取錢以后銀行(xing)卡的余(yu)額不改(gai)變。
比如,取1000元(yuan),我拿(na)走其中9張������(zhang)留1張(zhang),90秒以后系統(tong)會(hui)顯示超時并把這(zhe)一張(zhang)收(shou)回(hui)(hui)去(qu),但系統(tong)在收(shou)回(hui)(hui)去(qu)的(de)(de)過(guo)程(cheng)中是沒有(you)做點(dian)鈔(chao)機制(zhi)的(de)(de),顯示的(de)(de)余額沒有(you)減少。這(zhe)就是典型(xing)的(de)(de)業(ye)務邏輯漏(lou)洞(dong),后來我幫(bang)助銀(yin)行解決了這(zhe)個問題(ti)。
NBD:“白帽子(zi)”們往往非常(chang)年(nian)輕(q�������ing),而且大多都不是學計����算機的(de),您怎么理解這一現(xian)象(xiang)?
張(zhang)瑞冬:的確如此(ci),以(yi)我(wo)們團隊(dui)為例,10多個(ge)人(ren)(ren)中(zhong),只(zhi)有(you)(you)兩人(ren)(ren)有(you)(you)大(da)學(xue)以(yi)上學(xue)歷,一(yi)個(ge)是生物(wu)學(xue)博士,一(yi)個(ge)是物(wu)理碩士。其余人(re������n)(ren)基本(ben)是初(chu)中(zhong)、高中(zhong)學(xue)歷,我(wo)自己只(zhi)有(you)(you)初(chu)中(zhong)文憑。據(ju)我(wo)了(le)解,BAT的安(an)全部門(men)中(zhong)有(you)(you)一(yi)半的技術人(ren)(ren)員都沒(mei)有(you)(you)大(da)學(xue)文憑。
我(wo)們(men)這群(qun)人大多從(cong)小(xiao)就對電腦網(wang)絡感興(xing)趣,通過閱讀相關書(shu)籍(ji)和大量的(de)實踐(jian)與思(si)考自學成才。高校里的(de)網(wang)絡安(an)全(quan)培(pei)養������方(fang)式(shi)理論性(xing)太強,而且(qie)往往是正向思(si)維,缺(que)乏(fa)用攻擊思(si)維來(lai)防守的(de)實踐(jian)課程。
NBD:您怎樣(yang)理(li)解黑客(ke)從事網絡安全(quan)的特點(dian)?
張瑞������冬:傳(chuan)統(tong)的(de)(de)(de)安全產(chan)品(pin),是(shi)用防(fang)御類設(she)(she)備(bei)對抗攻(gong)擊設(she)(she)備(bei),但(dan)畢竟(jing)設(she)(she)備(bei)的(�����de)(de)(de)匹(pi)配規則是(shi)死的(de)(de)(de),攻(gong)擊者(zhe)可以(yi)繞(rao)過設(she)(she)備(bei)。所以(yi),傳(chuan)統(tong)的(de)(de)(de)設(she)(she)備(bei)已經攔(lan)不(bu)住攻(gong)擊者(zhe)。
我(wo)們這群(qun)“白(bai)帽(mao)(mao)(mao)子”黑(hei)(hei)(hei)客非常熟悉“黑(hei)(hei)(hei)帽(mao)(mao)(mao)子”的(de)(de)行為(wei),可(ke)以(yi)完全模擬(ni)“黑(hei)(hei)(hei)帽(mao)(mao)(mao)子”的(de)(de)行為(wei),找(zhao)到脆弱點,然后提出(chu)一套(tao)完整(zheng)的(de)(de)修(xiu)補建議,漏(�������lou)洞修(xiu)補后再測試。
用戶安全意識差
NBD:人們一提到黑客就會(hui)聯(lian)想到網(wang)絡(luo)破(po)壞,這(zhe)種誤解會(hui)對(dui)網(wang)絡(luo)安全(quan)人才隊伍的發(������fa)展產(chan)生不利影響�����嗎?
張瑞冬:公眾對(dui)黑(hei)客的理解確實有些(xie)誤(wu)解,黑(hei)客本身不(bu)是一個負(fu)面形(xing)象(xiang)。在我(wo)看來,黑(hei)客就是對(dui)技(ji)術的極致追(zhui)求(qiu),發現(xian)問(wen)題、質疑權威、充(chong)滿好(hao)奇。我(wo)喜歡鉆(zhan)研邏輯(ji)(ji)��������問(wen)題,想(xiang)刨根問(wen)底研究系(xi)統中有沒有邏輯(ji)(ji)漏(lou)洞(dong),這(zhe)就是黑(hei)客思維。黑(hei)客這(zhe)個稱號是對(dui)技(ji)術的極大肯定(ding),我(wo)非常樂意別人叫(jiao)我(wo)黑(hei)客。
事實上(shang),黑客群體中的網絡安(an)全(quan)高手輩出(chu)�����,高校里(li)的培養方式實用性(xing)不夠強。我(wo)們團隊曾做過幾(ji)次實踐類型的安(an)全(quan)培訓(xun),白天在烏云(yun)網上(shang)找一(yi)些(xie)(xie)漏洞案例(li)來講解,晚(wan)上(shang)帶大家實戰。但這些(xie)(xie)實戰也不是真(zhen)正去黑別人,我(wo)們寫一(yi)套(tao)系統(tong),導師帶著學員學習攻(gong)擊手段。
不(bu)過,后來這個課程被叫停了,理(li)由是(shi)涉及“黑(hei)(hei)客教程”。所以,這是(shi)一�������(yi)個悖論,一(yi)方(fang)(fang)面國(guo)家(jia)的網(wang)絡安全行業缺(que)乏“白帽子”人才(cai);另一(yi)方(fang)(fang)面黑(hei)(hei)客的社會身份(fen)又很(he������n)尷尬。
NBD:我國(guo)接(jie)入(ru)互(hu)聯(lian)網(wang)(wan����g)(wang)逾20年,網(wang)(wang)(wang)絡(luo)安全(quan)與互(������hu)聯(lian)網(wang)(wang)(wang)發展的程度似乎并不匹配,您認為網(wang)(wang)(wang)絡(luo)安全(quan)行業最薄(bo)弱的環節是什么?
張瑞冬(dong):�������我認為最薄(bo)(bo)弱的環(huan)節還(huan)是(shi)用(yong)戶安全意(yi)識太(tai)薄(bo)(bo)弱。我們經常處理����(li)一些應急(ji)事故,發現真(zhen)正(zheng)高難度入侵行為是(shi)很少的,導(dao)致(zhi)事故頻發的原因(yin)是(shi),用(yong)戶密(mi)碼設(she)置太(tai)簡單或者是(shi)操作失誤。
我曾幫(bang)一家上市公(gong)(gong)司(si)(si)做網站(zhan)安全(quan)(quan)(quan)測試,他(ta)們的(de)(de)������系統(tong)很安全(quan)(quan)(quan),測了(le)半天(tian)也沒有(you)(you)找(zhao)到問(wen)題。后來我發現(xian)該�������(gai)公(gong)(gong)司(si)(si)有(you)(you)內部交流的(de)(de)QQ群,點(dian)擊(ji)加入(ru),立馬就把我放進去了(le)。進去后,我發現(xian)群共享里(li)有(you)(you)個文件夾,文件夾的(de)(de)名字叫公(gong)(gong)司(si)(si)各(ge)種(zhong)系統(tong)密碼(ma)。就這樣簡單,我輕易獲(huo)得該(gai)公(gong)(gong)司(si)(si)系統(tong)密碼(ma)。這是很普遍的(de)(de)問(wen)題,互聯網用戶(hu)的(de)(de)安全(quan)(quan)(quan)意(yi)識薄弱,對(dui)安全(quan)(quan)(quan)的(de)(de)管控(kong)能力比較差。
張(zhang)瑞冬(dong):我認(ren)為(wei)最薄弱的(de)環節(jie)還是(shi)用戶安全(quan)意識(shi)(shi)太(tai)薄弱。這是(shi)很(hen�������)普遍的(de)問題,互聯網(wang)用戶的(de)安�������全(quan)意識(shi)(shi)薄弱,對安全(quan)的(de)管控能力(li)比較(jiao)差。
