12306的用户信息泄露漏洞、携程用户信息泄露漏洞……频发的系统漏洞隐患也让网络安全问题愈发受到关注。发现这些安全漏洞的,并不是某个人或者某个公司,而是一个被称为“白帽子”的群体。白帽子属于黑客,但是又在做着守护光明的事情,他们是网络世界白与黑的交集。他们都是些什么样的人?过着怎样的生活?是否像传闻中说的那样动动手指就有大笔收入……记者尝试走进他们的世界,告诉你白帽子们真实的一面。
白帽子是谁
“换个高大上的说法,白帽子就是网络安全的守卫者。”
武侠的世界有“兵器谱”,黑客江湖也有自己的榜单,赵武就是在“中国黑客榜中榜”上标名的人物。赵武年轻时干过“荒唐”的事,而现如今他看起来相当沉稳。赵武已过而立,负责着国内最大的漏洞响应平台补天,这个平台汇集了近万名白帽子,赵武是他们的“带头大哥”。
“最初是没有白帽子这个概念的,当时黑客还是一个褒义词,后来外界对黑客有了误解,为了和‘黑产’(利用黑客手段获取非法收入的人)区分开,才有了白帽子的称谓。”
赵武介绍,白帽子们做的事情,就是找到电脑系统和网站中的漏洞,并将之公布出来,使其在被不法分子利用前被修复。“换个高大上的说法,白帽子就是网络安全的守卫者。”
在人们想象中,黑客都是在键盘上十指舞动如飞、在倒计时读秒中攻破各种防火墙的世外高人,然而在现实里,白帽子中固然有不少高手,但更多的还是入门级的初学者。
赵武介绍,在他进入网络安全领域的时候,国内进行这方面研究的人最多只有几百人,如今随着工具下载的便利,成为白帽子的门槛已经相当低了,保守估计,国内具备寻找简单网络漏洞能力的人,起码在10万以上。“只要学会使用漏洞扫描器,你也能当白帽子。”赵武说。
另一位白帽子表达更直接,他认为一个“大学计算机二级未通过”的人要学会找简单的漏洞只需几天时间,而想具备一个普通白帽子的水平,“如果有人教只需要三个月”。
赵武认为,现在的白帽子们大体可以分成四个层次:最底层的被称为“脚本小子”,这些人没有工具研发能力,只是能够利用别人写的脚本去进行攻击,这部分人占到了白帽子总体的90%以上。第二个层次是有了自己的安全理念、具备代码审计和安全攻防能力。第三个层次的人不仅有自己的想法,也具备工程化的能力,可以自己开发工具和深入挖掘漏洞,能达到这一层次的国内也就几百号人。“从技术上讲,第三层次其实已经到头了,再往上,就是从‘术’到‘道’的飞跃,要能够思考安全的本质,提出完整的安全解决方案。能到这一层次的都是行业精英,国内能有五十个就不错了。”
如何成为一个白帽子
“白帽子是要讲天赋的,但相比天赋,其实兴趣更加重要。”
记者采访了十多位白帽子,这些人绝大部分都是学计算机方面的专业出身,有几个学的就是最对口的信息安全专业,可毫无例外,他们说起自己成为白帽子的经历,都用了“自学”的说法。
1990年出生的邓焕是补天平台的另一位技术大牛,就连赵武也承认在某些方面邓焕比自己强。邓焕的经历,很好地诠释了如何能够成为一名出色的白帽子。
邓焕最初接触黑客技术,始于上初中的时候。当时他的同桌买了一本黑客技术方面的杂志,邓焕随手翻了翻,竟然一下子被里面的内容吸引了。不久之后,家里买了第一台电脑,邓焕开始按照书中教的内容自己摸索捣腾。实际上,记者所采访的白帽子当中,有好几个都说自己对黑客技术的兴趣是源于此类杂志。
到了高中,邓焕的黑客功夫已经有了相当火候,他进高中不久就入侵了学校的网站。当时被他经常“祸害”的还有校外的网吧,每次到网吧上网,他都会接管整个网吧的管理权限,不仅让自己免费上网,还能看到网吧里每一个人所浏览的内容,他甚至会在临走时把全网吧的电脑重启,然后在一片惊呼声中扬长而去。
几乎每个从计算机专业出来的白帽子都干过入侵自己学校系统的事,邓焕也是如此。他发现在大学里上网还要花钱,于是破解了学校的网络计费系统,让自己可以免费上网,之后一不做二不休,干脆把学校里的各个系统都入侵了个遍。邓焕把他发现的学校系统漏洞总结成一份报告,发给了系主任。不久后,邓焕在课堂上被系主任和辅导员“请”了出去。最终邓焕没有受到任何处分,相反他得到了可以在学校网络中心办公室上网的待遇,还顺便帮学校做网络维护,之后还代表学校参加了湖南省的信息安全大赛。
邓焕代表了一大批白帽子的经历,他们虽然学习计算机专业,可黑客技术还都是自学来的。邓焕告诉记者,这是因为学校里教授的知识偏重于理论,很少涉及黑客技术方面。事实上,他还在大一的时候,就有学校的老师向他请教问题,到大二时,学校已经为他开了绿灯,他无需再上课,跑到北京来工作,直到毕业时回去参加答辩就可以了。
“什么样的人能够成为一名出色的白帽子?”面对这样的提问,有的白帽子认为是要讲天赋的,邓焕则认为,相比天赋,兴趣更加重要。“研究技术就是我的游戏,从中获得的成就感是其他任何事都达不到的。”邓焕认为,他之所以能成为白帽子当中的佼佼者,是因为他愿意把大量的时间和精力都花在这上面。
现在还没有大学毕业的白帽子鲍宇也认同兴趣至关重要的观点。他告诉记者,他大学是学编程的,在他的同学当中,只有他自己对黑客技术感兴趣,其他人即便偶尔有了兴趣,可都是三分钟热度,很快就不愿意学了,所以一个班上只出了他这么一个白帽子。
优秀女白帽子比大熊猫还稀罕
“在白帽子这个圈子里,一个女生的水平高低并不重要,都会被其他人供起来。”
黑客的世界,一向被认为是男人的世界,而白帽子当中的女生更是凤毛麟角。按照邓焕的说法,补天平台上近万的注册白帽子中,他知道的女生只有十几个,说千里挑一都不夸张。“在这个圈子里,一个女生水平高低并不重要,都会被其他人供起来。如果是技术又牛,长得又漂亮的女生,那简直比大熊猫还珍稀,基本上圈子里没有人会不知道。”邓焕笑着说。
“小惠子”是个刚刚20岁的女白帽子,还在读大二的她做白帽子才半年时间,用她的话说,“随便碰到一个白帽子都是我的师父”。当被问到为什么会做白帽子时,小姑娘给出了这样的回答:“上大学前很爱玩游戏,后来考上大学也不知学什么好,觉得这个(信息安全)专业挺好玩的,于是就报了。”
虽然学信息安全的女生本就不多,但“小惠子”班上54个人里还是有14个女生的,可做白帽子的只有她一个。“她们都喜欢聊QQ打游戏什么的,只有我觉得挖漏洞还挺好玩。”让她更得意的是,作为一个“女白帽子”,她遇到的其他白帽子对她都很热情。“班上有男生也想学,可别人都不怎么愿意教他们。”说到这,小姑娘笑得很开心。
“小惠子”和其他记者接触过的白帽子还有一点不同,那就是其他白帽子虽然专业技术很牛,可学习成绩普遍一般,而这个姑娘可是当之无愧的“学霸”。“我觉得做白帽子对学习还是很有帮助的。”
在国内安全圈里鼎鼎大名的“碳基体”则是邓焕口中“技术牛、长得漂亮”的“大熊猫”级的女白帽子,虽然她的网络ID很难让人和一位美女联想到一起。和 “小惠子”这样的初学女白帽子备受“宠爱”不同,到了“碳基体”这个级别,除了她老公偶尔在人前夸耀“我老婆可是个黑客”,其他时候,女性身份根本不会给她带来什么便利。
“碳基体”是一家安全企业的技术人员,她告诉记者,在她的工作环境中,人们看重的只有能力和技术。“我入职面试的时候,被问的都是技术问题,答得上来留下,答不上来走人。”和其他女生一样,“碳基体”也爱逛街打扮,可一旦进入工作状态,“该吼就吼,根本不顾什么形象。”
“碳基体”告诉记者,女性在安全行业当中的人数虽然少,但是并没有外界想象中的那么稀罕,而且随着就业环境越来越好,从事这个行业的女生也越来越多了。但是她也承认,很多女生在做过几年技术工作后,也会转到管理岗位上,“不过我是希望一直在技术一线工作,因为我确实喜欢研究技术。”加拿大华人网 http://www.sinoca.com/