白帽子是如何煉成的？烏云網(wǎng)創(chuàng)始人如是說(shuō)

虎嗅注：漏洞事件不僅令攜程網(wǎng)深陷漩渦，連最初曝出漏洞的烏云網(wǎng)也成為眾人矚目的焦點(diǎn)，更引起人們對(duì)公關(guān)以漏洞作為攻擊目標(biāo)的憂慮（《烏云的曖昧地帶》）。創(chuàng)始人方小頓有著什么背景？他怎么看國(guó)內(nèi)網(wǎng)絡(luò)安全環(huán)境？本文來(lái)自新浪科技，虎嗅進(jìn)行了摘編。


黑客一詞源自英文hacker，最初曾指熱心于計(jì)算機(jī)技術(shù)、水平高超的電腦玩家，尤其是程序設(shè)計(jì)人員，但隨著互聯(lián)網(wǎng)行業(yè)的逐漸成熟，黑客的屬性也分為白帽子和黑帽子。


方小頓就是白帽黑客中的佼佼者。他是國(guó)內(nèi)著名安全組織80sec的成員。也曾經(jīng)是百度安全專家，負(fù)責(zé)對(duì)黑客襲擊百度網(wǎng)站的抵御工作，曾發(fā)現(xiàn)多個(gè)知名底層和腳本安全漏洞。


隨后他又創(chuàng)立了網(wǎng)絡(luò)漏洞報(bào)告平臺(tái)——烏云，作為一個(gè)廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái)，烏云提供給互聯(lián)網(wǎng)公司很多漏洞及風(fēng)險(xiǎn)報(bào)告，幫助他們防患于未然。隨著烏云影響力的提高，旗下白帽子團(tuán)隊(duì)也達(dá)到了近5000人，其中核心黑客超過(guò)100人。


黑帽子指泛指那些專門(mén)利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的黑客，并通過(guò)網(wǎng)絡(luò)漏洞非法牟利，在英文中這些人叫做cracker。而白帽子指對(duì)網(wǎng)絡(luò)技術(shù)防御的黑客， 他們可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞，以便系統(tǒng)可以在被其他人（例如黑帽子）利用之前來(lái)修補(bǔ)漏洞。


方小頓對(duì)白帽子這個(gè)職業(yè)有著自己的見(jiàn)解。在他看來(lái)，白帽子最難的就是堅(jiān)持自己的理想，不計(jì)眼前的利益誘惑，從整個(gè)行業(yè)著眼為網(wǎng)絡(luò)安全貢獻(xiàn)自己的力量。在他眼里，白帽子是一群掙扎在理想和現(xiàn)實(shí)邊緣的黑客。


“白帽子”是如何煉成的


2002年，15歲的方小頓便考上了哈爾濱理工大學(xué)的化學(xué)專業(yè)，也是在那一年，他開(kāi)始接觸互聯(lián)網(wǎng)，接觸網(wǎng)絡(luò)安全。


方小頓稱，由于對(duì)化學(xué)專業(yè)沒(méi)有太大的興趣，基本上除去上課、睡覺(jué)，大學(xué)全部的時(shí)間都撲在網(wǎng)絡(luò)安全研究上。從那時(shí)開(kāi)始，方小頓經(jīng)常給國(guó)內(nèi)頂尖網(wǎng)絡(luò)安全雜志投稿，稿件多被錄用。在大學(xué)期間還受聘給某網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)的學(xué)生授課。


但他并不認(rèn)為課堂中會(huì)出網(wǎng)絡(luò)安全人才?！熬W(wǎng)絡(luò)安全問(wèn)題本身就存在于破壞規(guī)范中，處理網(wǎng)絡(luò)安全問(wèn)題的核心就在于不守規(guī)矩，所以在規(guī)范的教育體系下，很難出網(wǎng)絡(luò)安全人才?！狈叫☆D指出，網(wǎng)絡(luò)安全是一門(mén)興趣指引下的學(xué)問(wèn)，他需要黑客親身去鉆研，不能把別人過(guò)往的經(jīng)驗(yàn)總結(jié)成課程來(lái)學(xué)習(xí)。


方小頓自己的經(jīng)歷完全可以印證這一點(diǎn)。最初他對(duì)網(wǎng)絡(luò)安全產(chǎn)生興趣，源于課余時(shí)間同學(xué)之間在網(wǎng)絡(luò)上的互相攻擊。彼時(shí)可借鑒參考的資料基本屬于空白，完全依靠自己的鉆研。隨后他又與大學(xué)同學(xué)一起黑入一家網(wǎng)站的主頁(yè)并善意提醒了這家公司存在漏洞問(wèn)題。這家公司在2006年也為方小頓提供了他大學(xué)畢業(yè)后的第一份工作。


2008年，方小頓加盟了百度，負(fù)責(zé)網(wǎng)絡(luò)安全。在百度，他獲得了從大平臺(tái)的角度去學(xué)習(xí)認(rèn)知互聯(lián)網(wǎng)安全的機(jī)會(huì)。但百度的主體業(yè)務(wù)是搜索引擎，由于其在整個(gè)互聯(lián)網(wǎng)領(lǐng)域的局限性，對(duì)于2010年的方小頓，留給他施展的空間也極為有限。


方小頓稱，離開(kāi)百度主要還是因?yàn)槔硐耄肜米约旱募夹g(shù)來(lái)為更多的互聯(lián)網(wǎng)公司解決安全問(wèn)題。他認(rèn)為，一名白帽子黑客除了要有這方面興趣之外，另一點(diǎn)就是必須擁有一個(gè)正能量的理想。


同樣利用技術(shù)發(fā)現(xiàn)漏洞，黑帽子黑客往往利用漏洞通過(guò)不法手段來(lái)獲取利益，這部分利益能多到哪種程度呢？方小頓稱，可能是一個(gè)并不起眼的黑客，某一天你就會(huì)發(fā)現(xiàn)他住上了好房，開(kāi)起了好車。他表示，目前最強(qiáng)的黑帽子和白帽子收入的差距大概是日薪一萬(wàn)和月薪一萬(wàn)的差距。


正因如此所有白帽子黑客都是站在了理想和現(xiàn)實(shí)邊緣。方小頓認(rèn)為，白帽子黑客必須認(rèn)清自己的核心訴求不一樣，在理想和現(xiàn)實(shí)中更加重視個(gè)人的成長(zhǎng)。他同時(shí)指 出，以黑帽子黑客賺錢(qián)的方式往往會(huì)令人變得浮躁，這種心態(tài)會(huì)不利于自身對(duì)技術(shù)的學(xué)習(xí)，從個(gè)人技術(shù)發(fā)展角度講，這并不是一件好事。


網(wǎng)絡(luò)安全需要更多參與者


離開(kāi)百度的方小頓，為了自己的理想在2010年5月創(chuàng)立了烏云。在2011年12月21日，烏云曝出國(guó)內(nèi)知名技術(shù)社區(qū)CSDN的600余萬(wàn)用戶資料被泄露。此后又陸續(xù)曝出多玩800萬(wàn)用戶信息、7K7K小游戲的2000萬(wàn)用戶、網(wǎng)站的1000萬(wàn)用戶資料，以及人人網(wǎng)、U9網(wǎng)、百合網(wǎng)、開(kāi)心網(wǎng)、天涯、世紀(jì)佳緣等網(wǎng)站數(shù)據(jù)庫(kù)遭遇不同程度的外泄。該事件引起各界人士討論，一時(shí)間網(wǎng)友紛紛修改網(wǎng)站密碼，并直呼“修改到手抖”，促使各方更加重視網(wǎng)絡(luò)安全，烏云平臺(tái)也因此名聲大震。


在此后的這幾年，烏云平臺(tái)不斷發(fā)布在各個(gè)網(wǎng)站發(fā)現(xiàn)的漏洞，并且快速成長(zhǎng)為一個(gè)立足于計(jì)算機(jī)廠商和安全研究者之間的安全問(wèn)題反饋及發(fā)布平臺(tái)，同時(shí)它也是服務(wù)于互聯(lián)網(wǎng)IT人士技術(shù)開(kāi)發(fā)的互動(dòng)平臺(tái)。


最近的攜程漏洞曝光后，引起極大反響，攜程股價(jià)一度下跌近10%。烏云再次以強(qiáng)勢(shì)的姿態(tài)沖進(jìn)人們的視野，并且一次次帶給人們更大的震撼。


方小頓指出，目前安全行業(yè)環(huán)境不夠好，與互聯(lián)網(wǎng)提倡的開(kāi)放和分享走得很遠(yuǎn)，不利于整個(gè)社區(qū)的成長(zhǎng)和行業(yè)的發(fā)展。他透露，烏云在把部分廠商的漏洞公開(kāi)后，會(huì)受到來(lái)自廠商的一些報(bào)復(fù)，最嚴(yán)重的烏云服務(wù)器還被拔過(guò)線。


他認(rèn)為，目前信息安全的問(wèn)題是行業(yè)環(huán)境的問(wèn)題，不夠公開(kāi)不夠透明的問(wèn)題導(dǎo)致很難像其他行業(yè)一樣被人了解和理解，而互聯(lián)網(wǎng)安全從業(yè)者在不了解和不理解的前提下很難將事情做好。


“如果我家里沒(méi)有上鎖，可以說(shuō)是我自己的事情，無(wú)關(guān)他人。但如果你是家銀行，你管理的東西都不是你的，那就有必要也有義務(wù)讓用戶知道你管理的真實(shí)情況?！狈叫☆D解釋道，公開(kāi)漏洞信息另一方面的重要原因是，讓同類企業(yè)引以為戒，并節(jié)省整個(gè)行業(yè)的安全成本。


他進(jìn)一步表示，烏云將堅(jiān)持開(kāi)放和分享的核心運(yùn)營(yíng)思路，通過(guò)信息的流動(dòng)帶來(lái)社區(qū)的活躍，在積累了大量的安全問(wèn)題基礎(chǔ)數(shù)據(jù)之后，希望能夠與白帽子一起除發(fā)現(xiàn)問(wèn)題之后還能為企業(yè)解決和規(guī)避安全問(wèn)題。


目前，烏云仍屬于一個(gè)非盈利組織，網(wǎng)站的主要經(jīng)濟(jì)來(lái)源由Cncert互聯(lián)網(wǎng)應(yīng)急中心和廣東信息安全評(píng)測(cè)中心提供。接近5000人的白帽子黑客全部為烏云義務(wù)提供服務(wù)。


方小頓認(rèn)為，互聯(lián)網(wǎng)安全行業(yè)應(yīng)該受到更高的重視，還需要像國(guó)家、企業(yè)、媒體以及第三方平臺(tái)等參與進(jìn)來(lái)?！皝?lái)自各行各業(yè)的人士會(huì)從不同的角度分析判斷網(wǎng)絡(luò)安全問(wèn)題，從而會(huì)更容易發(fā)現(xiàn)漏洞，減少損失；另一方面，企業(yè)的參與也能夠從一定程度上改善白帽子黑客的生活質(zhì)量，對(duì)其也是一種正確方向的引導(dǎo)?！?br />

移動(dòng)安全問(wèn)題核心不在終端


不過(guò)，網(wǎng)絡(luò)安全參與者的增長(zhǎng)速度，顯然沒(méi)有麻煩制造者的增長(zhǎng)速度快。隨著移動(dòng)互聯(lián)網(wǎng)的興起，一些由手機(jī)等移動(dòng)設(shè)備曝出的網(wǎng)絡(luò)安全問(wèn)題，已經(jīng)成為了近兩年3·15晚會(huì)的?？汀５叫☆D認(rèn)為，移動(dòng)互聯(lián)網(wǎng)的安全問(wèn)題核心不在移動(dòng)終端，歸根結(jié)底還是互聯(lián)網(wǎng)服務(wù)的漏洞越來(lái)越多。


他表示，回歸到安全漏洞的本質(zhì)，漏洞與數(shù)據(jù)是相對(duì)應(yīng)的，一個(gè)不能影響數(shù)據(jù)的漏洞只能說(shuō)是個(gè)Bug，無(wú)論用戶用什么手機(jī)，它最終只承載了互聯(lián)網(wǎng)服務(wù)入口的使命。


方小頓稱，移動(dòng)安全問(wèn)題的增多，主要是因?yàn)槿藗冊(cè)絹?lái)越頻繁的通過(guò)手機(jī)等移動(dòng)設(shè)備使用互聯(lián)網(wǎng)云服務(wù)?！艾F(xiàn)在的移動(dòng)智能終端都在強(qiáng)調(diào)一個(gè)數(shù)據(jù)云處理的概念，郵件、照片、通訊錄等用戶數(shù)據(jù)都在云端，一旦出了安全問(wèn)題，還是在云服務(wù)器中存在漏洞隱患?！?br />

從目前來(lái)看，蘋(píng)果生態(tài)系統(tǒng)的安全性是被普遍認(rèn)可的。由于iOS系統(tǒng)的封閉性，以及App Store的自有生態(tài)體系下，出現(xiàn)任何安全問(wèn)題，蘋(píng)果都會(huì)快速做出合理的決策反應(yīng)，從而保證其品牌利益。


而在安全方面經(jīng)常被詬病的Android設(shè)備，在方小頓看來(lái)與蘋(píng)果的安全水平也屬同一級(jí)別。他解釋道，目前品牌Android設(shè)備的開(kāi)放屬于一種相對(duì)的開(kāi)放，終端廠商為了自己的品牌利益，會(huì)對(duì)自己產(chǎn)品中內(nèi)置應(yīng)用做出嚴(yán)格的審核，對(duì)待自己品牌的應(yīng)用分發(fā)市場(chǎng)也會(huì)采取相同的態(tài)度，但對(duì)于第三方應(yīng)用市場(chǎng)的產(chǎn)品，終端廠商還是無(wú)法進(jìn)行審查的。


方小頓認(rèn)為，基于云時(shí)代的互聯(lián)網(wǎng)安全狀況，企業(yè)在一定程度上應(yīng)把數(shù)據(jù)的控制權(quán)交還給用戶，給用戶一個(gè)選擇權(quán)，讓用戶有權(quán)利刪除記錄，以保障這部分?jǐn)?shù)據(jù)的安全性。另一方面，國(guó)家或第三方監(jiān)管機(jī)構(gòu)加強(qiáng)對(duì)終端公司的把控，防止企業(yè)在用戶不知情的情況下收集用戶電腦里的數(shù)據(jù)、記錄，甚至從云端下發(fā)策略。


本文地址:http://www.quema.com.cn/artinfo/260.html