12306的用户信息泄露漏洞、携程用户信息泄露漏洞……频发的系统漏洞隐患也让网络安全问题愈发受到关注。发现这些安全漏洞的,并不是某个人或者某个公司,而是一个被称为“白帽子”的群体。白帽子属于黑客,但是又在做着守护光明的事情,他们是网络世界白与黑的交集。他们都是些什么样的人?过着怎样的生活?是否像传闻中说的那样动动手指就有大笔收入……记者尝试走进他们的世界,告诉你白帽子们真实的一面。
白帽子是谁
“换个高大上的说法,白帽子就是网络安全的守卫者。”
武侠的世界有“兵器谱”,黑客江湖也有自己的榜单,赵武就是在“中国黑客榜中榜”上标名的人物。赵武年轻时干过“荒唐”的事,而现如今他看起来相当沉稳。赵武已过而立,负责着国内最大的漏洞响应平台补天,这个平台汇集了近万名白帽子,赵武是他们的“带头大哥”。
“最初是没有白帽子这个概念的,当时黑客还是一个褒义词,后来外界对黑客有了误解,为了和‘黑产’(利用黑客手段获取非法收入的人)区分开,才有了白帽子的称谓。”
赵武介绍,白帽子们做的事情,就是找到电脑系统和网站中的漏洞,并将之公布出来,使其在被不法分子利用前被修复。“换个高大上的说法,白帽子就是网络安全的守卫者。”
在人们想象中,黑客都是在键盘上十指舞动如飞、在倒计时读秒中攻破各种防火墙的世外高人,然而在现实里,白帽子中固然有不少高手,但更多的还是入门级的初学者。
赵武介绍,在他进入网络安全领域的时候,国内进行这方面研究的人最多只有几百人,如今随着工具下载的便利,成为白帽子的门槛已经相当低了,保守估计,国内具备寻找简单网络漏洞能力的人,起码在10万以上。“只要学会使用漏洞扫描器,你也能当白帽子。”赵武说。
另一位白帽子表达更直接,他认为一个“大学计算机二级未通过”的人要学会找简单的漏洞只需几天时间,而想具备一个普通白帽子的水平,“如果有人教只需要三个月”。
赵武认为,现在的白帽子们大体可以分成四个层次:最底层的被称为“脚本小子”,这些人没有工具研发能力,只是能够利用别人写的脚本去进行攻击,这部分人占到了白帽子总体的90%以上。第二个层次是有了自己的安全理念、具备代码审计和安全攻防能力。第三个层次的人不仅有自己的想法,也具备工程化的能力,可以自己开发工具和深入挖掘漏洞,能达到这一层次的国内也就几百号人。“从技术上讲,第三层次其实已经到头了,再往上,就是从‘术’到‘道’的飞跃,要能够思考安全的本质,提出完整的安全解决方案。能到这一层次的都是行业精英,国内能有五十个就不错了。”
如何成为一个白帽子
“白帽子是要讲天赋的,但相比天赋,其实兴趣更加重要。”
记者采访了十多位白帽子,这些人绝大部分都是学计算机方面的专业出身,有几个学的就是最对口的信息安全专业,可毫无例外,他们说起自己成为白帽子的经历,都用了“自学”的说法。
1990年出生的邓焕是补天平台的另一位技术大牛,就连赵武也承认在某些方面邓焕比自己强。邓焕的经历,很好地诠释了如何能够成为一名出色的白帽子。
邓焕最初接触黑客技术,始于上初中的时候。当时他的同桌买了一本黑客技术方面的杂志,邓焕随手翻了翻,竟然一下子被里面的内容吸引了。不久之后,家里买了第一台电脑,邓焕开始按照书中教的内容自己摸索捣腾。实际上,记者所采访的白帽子当中,有好几个都说自己对黑客技术的兴趣是源于此类杂志。
到了高中,邓焕的黑客功夫已经有了相当火候,他进高中不久就入侵了学校的网站。当时被他经常“祸害”的还有校外的网吧,每次到网吧上网,他都会接管整个网吧的管理权限,不仅让自己免费上网,还能看到网吧里每一个人所浏览的内容,他甚至会在临走时把全网吧的电脑重启,然后在一片惊呼声中扬长而去。
几乎每个从计算机专业出来的白帽子都干过入侵自己学校系统的事,邓焕也是如此。他发现在大学里上网还要花钱,于是破解了学校的网络计费系统,让自己可以免费上网,之后一不做二不休,干脆把学校里的各个系统都入侵了个遍。邓焕把他发现的学校系统漏洞总结成一份报告,发给了系主任。不久后,邓焕在课堂上被系主任和辅导员“请”了出去。最终邓焕没有受到任何处分,相反他得到了可以在学校网络中心办公室上网的待遇,还顺便帮学校做网络维护,之后还代表学校参加了湖南省的信息安全大赛。
邓焕代表了一大批白帽子的经历,他们虽然学习计算机专业,可黑客技术还都是自学来的。邓焕告诉记者,这是因为学校里教授的知识偏重于理论,很少涉及黑客技术方面。事实上,他还在大一的时候,就有学校的老师向他请教问题,到大二时,学校已经为他开了绿灯,他无需再上课,跑到北京来工作,直到毕业时回去参加答辩就可以了。
“什么样的人能够成为一名出色的白帽子?”面对这样的提问,有的白帽子认为是要讲天赋的,邓焕则认为,相比天赋,兴趣更加重要。“研究技术就是我的游戏,从中获得的成就感是其他任何事都达不到的。”邓焕认为,他之所以能成为白帽子当中的佼佼者,是因为他愿意把大量的时间和精力都花在这上面。
现在还没有大学毕业的白帽子鲍宇也认同兴趣至关重要的观点。他告诉记者,他大学是学编程的,在他的同学当中,只有他自己对黑客技术感兴趣,其他人即便偶尔有了兴趣,可都是三分钟热度,很快就不愿意学了,所以一个班上只出了他这么一个白帽子。
优秀女白帽子比大熊猫还稀罕
“在白帽子这个圈子里,一个女生的水平高低并不重要,都会被其他人供起来。”
黑客的世界,一向被认为是男人的世界,而白帽子当中的女生更是凤毛麟角。按照邓焕的说法,补天平台上近万的注册白帽子中,他知道的女生只有十几个,说千里挑一都不夸张。“在这个圈子里,一个女生水平高低并不重要,都会被其他人供起来。如果是技术又牛,长得又漂亮的女生,那简直比大熊猫还珍稀,基本上圈子里没有人会不知道。”邓焕笑着说。
“小惠子”是个刚刚20岁的女白帽子,还在读大二的她做白帽子才半年时间,用她的话说,“随便碰到一个白帽子都是我的师父”。当被问到为什么会做白帽子时,小姑娘给出了这样的回答:“上大学前很爱玩游戏,后来考上大学也不知学什么好,觉得这个(信息安全)专业挺好玩的,于是就报了。”
虽然学信息安全的女生本就不多,但“小惠子”班上54个人里还是有14个女生的,可做白帽子的只有她一个。“她们都喜欢聊QQ打游戏什么的,只有我觉得挖漏洞还挺好玩。”让她更得意的是,作为一个“女白帽子”,她遇到的其他白帽子对她都很热情。“班上有男生也想学,可别人都不怎么愿意教他们。”说到这,小姑娘笑得很开心。
“小惠子”和其他记者接触过的白帽子还有一点不同,那就是其他白帽子虽然专业技术很牛,可学习成绩普遍一般,而这个姑娘可是当之无愧的“学霸”。“我觉得做白帽子对学习还是很有帮助的。”
在国内安全圈里鼎鼎大名的“碳基体”则是邓焕口中“技术牛、长得漂亮”的“大熊猫”级的女白帽子,虽然她的网络ID很难让人和一位美女联想到一起。和“小惠子”这样的初学女白帽子备受“宠爱”不同,到了“碳基体”这个级别,除了她老公偶尔在人前夸耀“我老婆可是个黑客”,其他时候,女性身份根本不会给她带来什么便利。
“碳基体”是一家安全企业的技术人员,她告诉记者,在她的工作环境中,人们看重的只有能力和技术。“我入职面试的时候,被问的都是技术问题,答得上来留下,答不上来走人。”和其他女生一样,“碳基体”也爱逛街打扮,可一旦进入工作状态,“该吼就吼,根本不顾什么形象。”
“碳基体”告诉记者,女性在安全行业当中的人数虽然少,但是并没有外界想象中的那么稀罕,而且随着就业环境越来越好,从事这个行业的女生也越来越多了。但是她也承认,很多女生在做过几年技术工作后,也会转到管理岗位上,“不过我是希望一直在技术一线工作,因为我确实喜欢研究技术。”
收入最高者年入百万
“网络安全事件频发,信息安全的概念开始深入人心,企业都开始设立专门的网络安全岗位,这方面的人才一下子成为了稀缺资源。”
白帽子这个行业真正火起来,也就是最近两三年的事情,而最直接的因素就是收入情况的好转。
在三年前,白帽子们挣钱只有几条道:成立安全公司或者团队,开发产品,为企业提供这方面的服务,不过这只限于少数真正的技术大牛;接一些网站或者厂商产品众测的活儿,不过这种活儿都是临时性的;再不就只能做普通的程序员,每月挣四五千元,这些白帽子在网络安全方面的特长根本无用武之地。最近几年,这一情况发生了极大的改善。一方面,由于网络安全事件频发,信息安全的概念开始深入人心,一些企业开始设立专门的网络安全岗位,这方面的人才一下子成为了稀缺资源,企业开出的价码也水涨船高,不少白帽子都投身到“豪门”;另外一方面,像补天这样的漏洞提交平台的建立,也给白帽子们创造了一个平台,找漏洞不再是义务劳动。
据了解,如今国内顶级安全人才的年收入可以达到百万元水平;高水平的白帽子,加入互联网公司的,一年挣个十几万几十万也属平常;即便是那些依旧散兵游勇的白帽子,通过在平台上提交漏洞,有的也可以月入数万元。
李寅是补天平台上收入最高的白帽子。据他介绍,他平均一个月在补天上获得的奖金在2万元左右,而最多的时候,他一个月就拿到了超过6万元的奖金。要知道,补天提交一个漏洞获得的奖金也就几百元,最多不过一两千元,可见他每月提交的漏洞数量有多少。
“最初我找漏洞就纯粹是个人的业余爱好,后来到补天上发现既能找漏洞又能提高技术水平,何乐而不为啊!所以我在补天上发漏洞的积极性就比较高。”李寅对记者表示,与之前相比,他现在更加注重提交漏洞的质量,而不是再一味求数量,加上目前他正在筹备自己的创业项目精力有限,现在他在补天上的收入也没有之前那么高了。
李寅这样的白帽子毕竟是少数,不过每月能从补天平台上拿到几千元奖金的白帽子还不在少数。赵武介绍,目前补天平台每月向白帽子们发放的奖金和物质奖励加起来能有四五十万元,其中一部分是被发现漏洞企业出的奖金,而大部分还是补天平台自己支付的。
收入条件的好转,带来的直接影响就是愿意投身白帽子的人越来越多了。今年7月才大学毕业的鲍宇对记者说,之前他也动员过其他同学来学习白帽子技术,可他们都不感兴趣。不过当别人发现他签下的工作收入要明显高于一般的程序员工作后,还是对他很羡慕的。“就业条件好了,现在刚进大学的人对于做白帽子的兴趣就比我那个时候更大了,人数也多了,不像我当时那样孤军奋战了。”鲍宇说道。
来自黑暗的诱惑
“我所接触过的圈里的前辈都告诫我一定不要触线,因为一旦做了黑产,再想洗白就很难了。”
虽说如今白帽子的收入情况已经明显改善了,但是和做“黑产”的比起来,依然是天壤之别。“有的黑产一天就能挣几万元,哪家公司会给员工开这么高的薪水?”邓焕说。
那些被白帽子们称为“黑产”的黑客又是怎么获得如此惊人的收入呢?邓焕介绍,黑产们赚钱的方式多种多样,最普通的就是利用漏洞获得网站或者系统内的用户资料,出售他人信息以获利;还有利用获得的用户信息,从事诈骗、盗刷信用卡等。例如,补天平台上的白帽子就曾经发现了一个完整的伪基站诈骗链条。诈骗者利用伪基站向附近的手机发送诈骗短信,诈骗短信的号码显示为中国移动(微博)的客服号码“10086”,短信称用户手机积分已经满足兑换现金礼包的条件,并给出了一个兑换链接;点击此链接,会进入一个名为“中国移动掌上门户”的网站,并要求用户提交收款信息,如银行卡或信用卡的卡号、密码、用户身份证信息、手机号码等。“白帽子”在攻破该网站的服务器之后发现,这是一个“钓鱼网站”,在这个钓鱼网站的后台,赫然能够看到超过400位用户的详细信息,包括用户姓名、银行卡或者信用卡号、开户行、密码、身份证、手机号码、信用卡有效期、CVV码等。在获取了这些用户信息之后,诈骗者完全可以利用受骗者的银行卡、信用卡进行转账或者盗刷。从已经超过400人的受骗规模来看,该钓鱼网站的诈骗金额估计能超过千万元。
记者在采访中发现,几乎每个水平较高的白帽子,都受到过来自黑产的诱惑。在补天漏洞平台上收入最高的李寅,一次挖到了一个很多门户网站都在使用的知名程序的漏洞,如果能利用会带来很严重的危害。因为这个漏洞,补天平台奖励了他3500元,而这已经是大大超过正常漏洞奖金标准的破例金额了,但是就有黑产开价数万购买这个漏洞的细节。邓焕更是透露,有黑产许诺几十万甚至上百万的报酬,雇他去攻破某些网站。“从事这个行业的人估计90%都受到过黑产的各种诱惑。”邓焕说。
巨额的金钱诱惑,就像潘多拉的魔盒,一旦白帽子抵御不住诱惑,就会滑入罪恶的深渊。确实有白帽子禁受不了金钱的引诱加入黑产的阵营,不过大多数白帽子还是能坚守住底线,一方面是因为法律,一方面也是因为道德的约束。
1991年出生的“小白”也是一位资深的白帽子,但是面对不是安全圈的朋友,他很少提起自己白帽子的身份。“之前就有一些人知道我是黑客后,让我帮他们盗别人的QQ号。”“小白”从心里很反感这种要求,“我的父母都是老实本分的农民,虽然他们不太清楚我从事的究竟是什么,但从小他们对我的要求就一句话‘不要做坏事’,这也是我做白帽子的底线。”
“我所接触过的圈里的前辈都告诫我一定不要触线,因为一旦做了黑产,再想洗白就很难了。”李寅说道。
很多时候不被理解
“多数情况下,自己主动联系漏洞方,对方都会怀疑我的目的是不是想要钱。”
在白帽子们看来,自己挖漏洞的行为,一者是兴趣使然,另外也是在为网络安全做贡献,发现哪家网站或者哪个企业的系统漏洞,可以提醒它们及时修复,避免被黑产们利用造成损失,然而一个尴尬的现实是,被发现漏洞的企业,往往对白帽子们的好意抱以怀疑的态度。
赵武当年因为在黑客领域的名气,被华为公司招进了全球安全实验室,成为了华为第一个从事安全研究的员工。在工作当中,赵武用自己研发的漏洞工具对系统的安全性进行测试,刚好广东某运营商和华为业务联系较多,他就顺手拿该运营商的运营系统做了测试,结果竟然在该运营商的系统中发现了几百个漏洞,这些漏洞涉及计费系统、短信、彩信等业务系统。
当时还年轻气盛的赵武选择了一种恶作剧的方式提醒该运营商注意系统漏洞。他利用该运营商的系统漏洞,给当时的运营商总经理手机上发送了一条短信,告诉他自己的身份以及自己发现的漏洞情况,最绝的是,短信显示的发送方居然是运营商的党组书记。
这一下子捅了马蜂窝,运营商马上找到了华为公司,核实赵武的身份,并要求他去运营商说明情况。在运营商的一间会议室里,赵武向对方的负责人详细介绍了自己发现的漏洞情况。在回去的路上,陪他一起去的华为同事才和赵武交了底,在他讲漏洞的办公室隔壁房间,就等着警方的人员,一旦赵武在对方面前表露出一点索取好处的意思,警察就会马上过来抓人。或者当时运营商的人都没有想到,赵武的用意完全就是善意的提醒。
在像补天这样的漏洞提交平台出现前,白帽子发现了漏洞,如果想提醒对方,需要自己写一份报告,并主动与对方联系。或者是不相信,或者是对白帽子动机的怀疑,表示感谢的只占到少部分。
邓焕干过更疯狂的事情,他抱着被特招成为网络警察的幻想,居然攻破了当地警察局的网站,在向系统中留的联系人发送漏洞报告后,对方第一反应是怀疑他通过其他方式找到的联系方式。
“小白”也说,多数情况下,自己主动联系的漏洞方都会怀疑其目的性,“是不是想要钱?”是被问得最多的。“确实有人利用漏洞去找企业要钱,人家也会想,你费那么大劲儿找个漏洞就是为了提醒一下?可能吗?”他表示,实际上白帽子们找漏洞,主要还是为了在实践中不断提高自己的水平。
在补天平台成立后,这一局面好了很多,白帽子只需要把漏洞提交给补天,补天会出面与漏洞方进行联系。“有的企业很重视,也会主动注册并提供奖金给发现者,但也有很多企业对系统安全的重视程度很低。”邓焕表示,经常是把漏洞情况反映给他们,却如石沉大海没有任何消息。
记者手记
一群简单热情的年轻人
一次在饭桌上,有人向我介绍两个新朋友:“他们是特别牛的白帽子!”我当时吃了一惊,这两个人和其他80后、90后年轻人看起来没有任何区别,完全不是想像中高冷骄傲或者不修边幅的黑客形象。这两个人就是赵武和邓焕,他们也勾起了我对白帽子这个神秘群体的好奇心。
“这些人千奇百怪,个性都很强,但是都不难打交道。”陆续接触了十几个白帽子后,我认同了赵武对白帽子群体的评价。这些人普遍年龄不大,80后已是“老人”,90后已成主力;他们当中有的很在意自己的隐私,如小白曾经戴着面具接受过央视采访,一个年纪很小的白帽子担心记者会通过手机对他进行定位;有的不善言辞,说起专业知识滔滔不绝,介绍起自己的经历就词不达意。但是他们又有一个共同点,那就是简单热情,一旦说服他们接受采访,都愿意和我分享他们最真实的生活和经历。
http://tech.qq.com/a/20150511/013058.htm