20世纪90年代后,随着计算机技术的发展,黑客群体逐渐被区分为“白帽子”和“黑帽子”,前者发现网络漏洞后,提出修改方案维护网络安全,后者则利用网络漏洞牟利。Tyy和黄正便是黑客群体里的“白帽子”。
不久前在一项“白帽”黑客的竞赛中,毕业于浙江大学计算机专业的“Tyy”利用漏洞获取了评委的共享单车账号、余额、骑行记录等隐私信息,还通过场外连线,成功让评委瞬间“穿越”到了上海街头骑车。另一位“白帽”黑客黄正则利用门锁通信协议漏洞,获得了智能门锁的开锁密码。Tyy和黄正告诉记者,在发现漏洞后,他们会立刻提交给厂商,而此次共享单车和智能锁的漏洞,他们在赛前就已通知了厂商。
充满神秘色彩的“白帽”黑客到底过着怎样的生活?近日,广州日报记者对他们进行了专访。
科班出身的白帽黑客并不占多数,“江湖”上流传着不少少年天才甚至小学生黑客的传说,大学就读于西安电子科技大学微电子专业的黄正就是其中一员。
来自乡镇的游戏少年
晚上下班后,乌泱泱的人群挤进北京西二旗地铁站。这些人装扮各异,有的背着双肩包、衣着朴素,有的还穿着人字拖。戴着眼镜长相斯文的黄正从人群中冒了出来。他目前是百度安全实验室 “X-Team” 团队的负责人,也是微软 “MSRC Top 100”榜单排名第8的白帽子。“白帽子”,就是“白帽”黑客。
黄正出生于湖南郴州,童年的记忆里,满是散着植物香气的田野和低头吃草的老牛。幼时,好好读书,离开乡土,到城里找个好工作便是父母对他的全部期望。黄正学习很努力,尽管那时他并不羡慕父母眼中的好工作。
初中,黄正来到县城开始了寄宿生活。在县城接触到网络的黄正一下子被这个虚拟世界给迷住了。触手可及的海量信息,新鲜有趣的网络游戏,他一头扑进了网络世界。下课或者周末放假,黄正都会准时出现在网吧,为此,他常常和寝室检查员斗智斗勇。
尽管如此,但黄正依然常拿年级第一,这让知道他沉迷游戏的老师也无可奈何。初三的一天,黄正到了网吧点开游戏,以为能如往常一样刷装备升级,但一登录黄正就发现,他的账号被盗了,游戏装备全被洗劫一空!一瞬间黄正变得无比沮丧,辛辛苦苦练级、刷装备最后却一无所有,他感觉自己在游戏里成了一个裸身的人,这让他开始抗拒玩游戏。
直至如今,黄正还会开玩笑地说,建议家长在电脑上装一个键盘记录软件,盗走孩子的游戏账号,以戒除孩子的游戏瘾。
黄正在破解智能门锁。
黑客不存在天才一说
不再玩游戏的黄正开始转移自己的注意力,账号被盗的痛苦让他关注起了黑客。一次,去逛书店时黄正留意到了一本黑客类杂志,即使那时候的他并不明白代码是什么,甚至很多文章压根看不懂,但对新知识的渴望让黄正攒下了每一期杂志,这习惯一直持续到了大学。
上了高中,黄正依旧常会去网吧,不过他可不是去玩游戏。通过看杂志,黄正开始学习利用黑客工具,实践杂志上提到的技术。不久,还不到18岁的黄正俨然已是一个小黑客,他甚至觉得杂志上的内容对他而言已没有什么技术含量。
尽管在小县城里,懂得写代码的黄正是一个异类,但直到如今,黄正依然觉得黑客领域出现“少年天才”并不稀奇,因为Web漏洞“门槛非常低”,“假如我们去培养一个十岁的小孩子,一周内就能让他学会编程,两周内就能够上手,入门真的很简单,不存在天才不天才一说。”
他掌握了“超能力”
在渴望用技术冒险的高中生黄正心里,原本大学信息安全专业是一个不错的选择,然而,高考前夕,黄正在杂志上看到一个新闻——“熊猫烧香”电脑病毒制造者李俊在武汉落网。对“熊猫烧香”病毒,他曾经不无好奇,但现在,黄正有些心惊。他第一次意识到,做“黑帽子”黑客有风险,保不准有一天会失业或者被抓。
黄正开始有了新的想法——学习微电子。他设想得很美好:电脑的核心部件是芯片通过微电子、集成电路制作而成,如果选择微电子专业,就可以学习到制造计算机的核心技术,他依然可以学习到高精尖的技术。
然而上大学之后,一次学院老师来做讲座,分享他们的最新研究成果——他们造出了一种半导体器件,提高了LED灯的光电转化效率,并达到世界顶尖水平。这让黄正开始怀疑自己的专业选择,他原本想要造的是电脑的核心处理器,而不是LED灯。对技术的渴望让黄正再次开始自学黑客技术。
捡起了自己的老本行,技术狂黄正再一次让同学们刮目相看。黄正有时甚至还会用自己的技术“造福”同学。当时的他已掌握了学校教务系统的漏洞,能够破解教师账号、登录教务系统,因此他能够提前看到同学的考试分数,这对期末考试后人心惶惶的同学来说,不啻为天大的福音。
甚至只要他愿意,他还能修改分数。黄正心里知道,自己已经掌握了“超能力”,能够随心所欲地打破网络的护盾。但他最后还是忍住了,并没有对学校的教务系统做任何修改。
如今,黄正提起当年的事依然会有后怕,“万一学校追责了呢?”
一个月挖出10个微软漏洞
大三暑假,黄正进入百度实习。原本只熟悉脚本、Web系统的他意识到,若要进入安全行业,自己便需要转型,要学新的编程语言,了解杀毒软件、Windows内核。有两个月,黄正没有去上过课,从早上8时到晚上11时,甚至通宵,他都在学习编程、看代码,学习到了走火入魔的状态。
顺利进入百度后,黄正主要负责检测挂马网页,屏蔽挂有木马可能会导致用户电脑中毒的网页。他要利用公司有限的服务器和带宽,在有限的时间内检测完几亿个甚至是十几亿个网页,还要保证检出率。
如今,黄正喜欢和下属说“不革自己的命,你可能永远都不知道自己有多牛”。2014年,喜欢挑战新事物的黄正又逼了自己一把,他从安全开发转到去做安全研究,做漏洞挖掘,这对从小做着黑客梦的黄正来说,充满魅力。
然而,最初工作并不顺利。黄正半年里只找到一个漏洞。这让他很挫败,有时下了班回家之后他依然会找资料学习,不停的实践让他进步很快,之后一个月内,他便挖掘出了10个微软的漏洞,而这些漏洞可能导致用户计算机被控制。如今在漏洞挖掘领域,黄正已经罕有敌手,在2016年微软的“MSRC Top100”黑客贡献榜上,黄正位列中国第一。
不仅逼自己,黄正还逼自己的女友,让女朋友和自己一样也成为白帽黑客。
于是每天晚上,两人便开始线上教学,学C语言、PHP、Sql注入……经过努力,七八个月后,女朋友便顺利地在北京找到了一份与网络安全相关的工作。但喜爱“逼自己一把”的黄正还觉得女朋友学得不够快,“如果是一个真正想转型、改变自己生活的人,一个月就能搞定。”
他从来不用杀毒软件
工作之外,黄正并非是个邋里邋遢的程序员。他买了几个镜头,认真学习摄影,誓要给女朋友拍出美照。他也养鸟、养鱼、种花种草,对每一株花草,他都拿出挖漏洞的精神,弄清楚花草病虫害的原因。
做了多年安全开发工程师,黄正养成了很多习惯,不同的网站用不同的密码,及时更新系统。他也不用安全软件和杀毒软件,自己测试电脑安全与否。对于如今十分火热的智能家居,黄正也很谨慎,“见过了太多的智能家居存在安全问题,要用也是用我自己开发的”。
黄正能做到的,就是在自己的领域将网络安全做到最好,做到“用户感知不到网络护盾的存在”。“我希望我的团队除了处理浏览器、操作系统的漏洞,还能处理别的漏洞,就像这次我们发现智能锁的漏洞一样。在未来其他场景下,需要我们的时候我们也能派上用场。”
本文转自d1net(转载)