每經編輯|每經記者 丁舟洋
◎每經記者 丁舟洋
在信息安全領域中�����,所有研究智取計算機安全系統的人員統稱黑客。但在黑客的世界里���,又有“正”與“邪”兩個陣營,分別是以破壞網絡安全來獲取個人利益的“黑帽子”和維護網絡安全的“白帽子”���。
22歲的張瑞冬創建的“白帽子”團隊�,長期居漏洞查找排行榜首位。一次次漏洞曝光��,奠定了張瑞冬團隊在圈內的“牛人”地位。
近日,《每日經濟新聞》記者(以下簡稱NBD)在成都專訪了這名年輕的黑客。在張瑞冬看來�,“白帽子”們最大的優勢����,就是通過模擬惡意黑客的攻擊方法�����,監測網絡系統的實際安全性���,提前發現漏洞或缺陷��,并進行必要的修補。
自學成才的“白帽子”
NBD:能談談您的“白帽子”成長史嗎��?
張瑞冬:我可能不是鉆研程序和代碼的“黑客男”����,玩的更多是邏輯性的東西。13歲去銀行取錢時�,我發現ATM機的程序有一個邏輯漏洞�,可以讓人取錢以后銀行卡的余額不改變��。
比如�����,取1000元,我拿走其中9張留1張,90秒以后系統會顯示超時并把這一張收回去����,但系統在收回去的過程中是沒有做點鈔機制的�����,顯示的余額沒有減少����。這就是典型的業務邏輯漏洞,后來我幫助銀行解決了這個問題。
NBD:“白帽子”們往往非常年輕���,而且大多都不是學計算機的,您怎么理解這一現象?
張瑞冬:的確如此����,以我們團隊為例��,10多個人中,只有兩人有大學以上學歷,一個是生物學博士��,一個是物理碩士�。其余人基本是初中、高中學歷�����,我自己只有初中文憑��。據我了解��,BAT的安全部門中有一半的技術人員都沒有大學文憑。
我們這群人大多從小就對電腦網絡感興趣�����,通過閱讀相關書籍和大量的實踐與思考自學成才�����。高校里的網絡安全培養方式理論性太強�����,而且往往是正向思維�����,缺乏用攻擊思維來防守的實踐課程�����。
NBD:您怎樣理解黑客從事網絡安全的特點���?
張瑞冬:傳統的安全產品����,是用防御類設備對抗攻擊設備�,但畢竟設備的匹配規則是死的,攻擊者可以繞過設備����。所以���,傳統的設備已經攔不住攻擊者�。
我們這群“白帽子”黑客非常熟悉“黑帽子”的行為���,可以完全模擬“黑帽子”的行為���,找到脆弱點����,然后提出一套完整的修補建議�,漏洞修補后再測試。
用戶安全意識差
NBD:人們一提到黑客就會聯想到網絡破壞�����,這種誤解會對網絡安全人才隊伍的發展產生不利影響嗎�?
張瑞冬:公眾對黑客的理解確實有些誤解,黑客本身不是一個負面形象����。在我看來����,黑客就是對技術的極致追求�,發現問題、質疑權威����、充滿好奇����。我喜歡鉆研邏輯問題��,想刨根問底研究系統中有沒有邏輯漏洞�,這就是黑客思維��。黑客這個稱號是對技術的極大肯定�,我非常樂意別人叫我黑客����。
事實上,黑客群體中的網絡安全高手輩出�,高校里的培養方式實用性不夠強����。我們團隊曾做過幾次實踐類型的安全培訓���,白天在烏云網上找一些漏洞案例來講解����,晚上帶大家實戰�����。但這些實戰也不是真正去黑別人����,我們寫一套系統��,導師帶著學員學習攻擊手段�。
不過,后來這個課程被叫停了,理由是涉及“黑客教程”。所以,這是一個悖論����,一方面國家的網絡安全行業缺乏“白帽子”人才���;另一方面黑客的社會身份又很尷尬���。
NBD:我國接入互聯網逾20年����,網絡安全與互聯網發展的程度似乎并不匹配����,您認為網絡安全行業最薄弱的環節是什么?
張瑞冬:我認為最薄弱的環節還是用戶安全意識太薄弱����。我們經常處理一些應急事故,發現真正高難度入侵行為是很少的,導致事故頻發的原因是,用戶密碼設置太簡單或者是操作失誤�����。
我曾幫一家上市公司做網站安全測試�����,他們的系統很安全�����,測了半天也沒有找到問題。后來我發現該公司有內部交流的QQ群��,點擊加入��,立馬就把我放進去了�����。進去后,我發現群共享里有個文件夾,文件夾的名字叫公司各種系統密碼�����。就這樣簡單�,我輕易獲得該公司系統密碼。這是很普遍的問題�����,互聯網用戶的安全意識薄弱����,對安全的管控能力比較差��。
張瑞冬:我認為最薄弱的環節還是用戶安全意識太薄弱��。這是很普遍的問題,互聯網用戶的安全意識薄弱�����,對安全的管控能力比較差��。
