从补天白帽大会看网络世界那些“挖洞”的人

因为比特币的兴起,我们渐渐熟知在网络的世界中有一群“挖矿”的人和这个词的涵义。不过还有一个与之相近的词同样脱胎于网络世界——“挖洞”,它的背后同样围绕了一个群体——“白帽子”。

如果说黑客是人们眼中经常进行网络攻击的那群人,那么白帽子则是与之对立的一个群体,他们在网络的世界中做的事情就是“挖洞”。

你也许好奇“挖洞”究竟代表什么,其实它是挖掘漏洞的简称。用360企业安全集团董事长齐向东的话说,计算机网络由程序员用一种语言开发,就像人类用语言进行演说、表述一样,语言表述的过程当中经常出现语法性的错误,这些错误容易引起语义上的差别或者差异。计算机领域把这些说话时考虑不周全或逻辑性的错误等称作漏洞,这些漏洞容易被人拿来进行网络攻击,就像我们说话不注意出现瑕疵之后被人抓住把柄攻击我们一样。

白帽子在网络中挖掘漏洞的目的并非进行攻击,而是将漏洞信息提交给产生漏洞的网络开发和运营主体,进而对漏洞进行修补、打补丁等,从而让网络世界变得更安全。近日,由360主办的补天白帽大会在深圳召开,数百名白帽齐聚一堂,会议向外界传达的信息很简单,即调动全社会白帽精英力量,建立企业与白帽子的协同机制,从而全方位解决网络安全隐患。

白帽子是谁?

白帽子是热爱于钻研网络安全技术的一群人,他们大多是90后,不但年轻,甚至学历并不高,自由职业,部分也有本职工作。在整个社会的大集体中,他们是一个新兴群体,法律对于他们挖洞的行为基本上也处于空白状态。因为挖洞和黑客攻击行为仅一线之隔,但目的却截然相反,所以在法律面前并无明确的细则界定和监管。

正因为如此,在去年曾出现影响较大的白帽被抓事件,国家网络与信息安全信息通报中心副处长张秀东在补天白帽大会上就指出,漏洞分析工作是一把“双刃剑”,既可以用来发现安全问题、消除安全隐患,如果管理不到位、被别有用心的人利用,也可以作为网络敲诈、窃取数据甚至实施攻击破坏活动的“敲门砖”。

所以,很多白帽子更喜欢挖掘一些非常重视安全的企业漏洞,他们对白帽子的成果非常赞同,并与白帽建立了良好的互动。白帽往往还会得到这些大企业的奖金报酬,但和黑客在黑产中所得到的收入相差甚远。补天漏洞响应平台上的白帽“U神”说,黑客在黑产中一天赚的钱要比白帽挖一个月漏洞得到的收入还多。

但黑产明显是触犯法律的,白帽在挖洞过程中往往也小心翼翼,比如要证明某个漏洞会影响企业的多少数据,正确的做法是读取几条数据或做一个统计,但一旦对整个数据进行了下载,即面临法律风险,即使目的并不是为了攻击或私利。

假如缺了白帽子

上面说到白帽子是与黑客相对立的一个群体,假如没有白帽子,网络中的漏洞不会因为他们不挖而不存在。相反,大量的漏洞会掌握在黑客手里,从而会对网络安全产生更大威胁。

以国内最大的OTA服务商携程来说,开发人员3000多人,安全人员只有四十人,在不少互联网公司中这个安全团队的人数还算比较大的。“但四十个人要去保障三千多个人开发出来的程序是安全的,毫无疑问人不够用的。”携程信息安全总监凌云直言。

一个网站攻击可能有几百上千个点,防御者要求几百上千个点做的一样好,挑战巨大,因为攻击者是占上风的。所以,对携程来说,希望借助外力也就是白帽子的力量让其系统更安全。过去一年,携程支付给包括补天平台的白帽子差不多一百万元,这也体现了其对白帽的认可。

从另一个层面来讲,网络威胁的态势愈加严重,补天平台大会期间发布了一份《2016年网站泄漏个人信息形势分析报告》,《报告》指出,2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个,总计可能泄露个人信息60.5亿条。如果没有白帽子挖洞进而促进企业补洞,网络安全形势会更糟糕。

某白帽子携带的密码破解锁

白帽挖洞之路

毫无疑问,白帽和黑客的身份转变仅在一念之间,所以为了对白帽进行积极引导,整个社会和法律需要做更多工作。与会嘉宾呼吁建立白帽子身份认证体系,让白帽子在法律法规的指引下,更有效率地挖掘漏洞,为维护网络安全贡献才智。

类似于补天漏洞响应平台提供了一个很好的平台,通过建立起厂商与白帽子之间的桥梁,积极推动互联网安全行业的发展。就像齐向东所说,白帽子的研究方法实际上是用网络攻击的方法,和做坏事的黑客从研究方法上来说没有本质的区别,如果是没有良好的沟通平台,白帽子和厂家之间就没有良好的沟通渠道,厂家也没有办法辨别一个网络安全的研究者对产品的“攻击性”的研究是出于黑的目的还是白的目的,进而不利于推进安全产业发展。

补天漏洞响应平台负责人白健介绍,补天作为一个第三方的漏洞发现和报告平台,一方面鼓励白帽子及时发现漏洞提交到补天平台,另一方面平台及时把这些漏洞推送到企业和机构。

据了解,2016年补天平台的注册白帽子超过3万名,注册企业超过4千家,累计发放奖金近900万元。从一定程度上来讲,奖金激励的方式也在促进更多的白帽子正确的运用网络安全技术和他们挖洞之路。

而且,不少大型互联网公司或企业也在建立SRC(安全应急响应中心),这同样是给白帽子的发挥舞台和对他们的价值认可。以此看来,随着越来越多的企业不断对安全重视和投入,中国的网络安全产业的发展进程和环境正在加速发展和改善中。

原文发布时间为: 2017年4月5日

本文作者:陈广成 

时间: 2024-11-10 01:20:25

从补天白帽大会看网络世界那些“挖洞”的人的相关文章

补天白帽大会五大热点前瞻

据悉,3月30日,补天白帽大会将在深圳开幕.本次大会由中国最大的漏洞检测与响应平台"补天"主办,国内外知名白帽.技术精英.安全爱好者.网络安全相关主管机构和知名企业的CISO齐聚一堂,共同解读当前网络安全形势和安全威胁,探讨漏洞响应与防范方案,分享交流漏洞挖掘与安全攻防等前沿议题. 热点关注之----漏洞挖掘的法律边界 在网络安全领域,白帽子是一个特殊的群体.因为他们使用黑客攻击技术,和非法入侵之间界限模糊,加之国内并没有专门针对白帽子的相关政策,这也让白帽子常常处在法律风险中.所以,

补天白帽大会:建企业与白帽协同机制,全方位解决网络安全隐患

2017年3月30日,国内外知名白帽.技术精英.安全爱好者,与国内网络安全主管机构.知名企业CISO因补天白帽大会在深圳首次齐聚一堂,共同解读当前网络安全形势和安全威胁. 本届大会由补天漏洞响应平台主办,指导单位包括国家网络与信息安全信息通报中心.国家计算机网络应急技术处理协调中心.中国信息安全测评中心和国家信息技术安全研究中心.360互联网安全中心.hacker one. 联想SRC,百度SRC等30多家企业和机构均派出代表参加.与会嘉宾一致认为:调动全社会白帽精英力量,建立企业与白帽子的协同

除了WiFi 泄密、破解门禁卡,无线电攻击居然还能用来打飞机 | 补天白帽大会 2017

  提到"无形之刃"这个词,许多人会想起武侠小说中"六脉神剑"那样的绝学,或是科幻电影里对超能力.念力的场景.然而在几天前的补天白帽大会上,杨卿的一场议题演讲却让人们意识到,无形之刃并不只是存在于电影之中,它就存在于我们身边--无线电攻击. 第一把无形之刃:WiFi WiFi 钓鱼这几年一说再说,已是老生常谈的内容,不过这一次360的无线电安全专家杨卿讲了些不一样的内容. 你的WiFi暴露你的踪迹 在现场,杨卿给大家讲了个老段子:"一个女生拿着男朋友的手机

补天白帽大会:无处不在的无线电攻击

首个面向全球白帽和技术精英开放的.专注于漏洞响应和防护的全球性安全行业大会--补天白帽大会在深圳举行,360无线电安全研究部负责人杨卿发表主题演讲,并分享了在无线攻防领域的主要研究成果. 360无线电安全研究部负责人杨卿 杨卿表示,"一张门禁卡.一把无线钥匙.一个无线遥控器.一部手机.一辆汽车.一台无线呼吸监测仪.一架飞机.甚至一辆坦克.一颗卫星.只要我们的攻击对象使用了无线介质进行数据交互,那么这条无线链路就有可能被监听.解密.重放.欺骗.劫持甚至被入侵被控制.看似不可能直接接触的目标,往往在

补天白帽大会:交通医疗和工业系统成黑客新目标

3月30日,2017补天白帽大会在深圳举行,国际前瞻信息安全会议SyScan创始人,新加坡华裔Thomas Lim在演讲时介绍,最近全球黑客都热衷于攻击汽车.轮船.飞机等交通系统,医疗设备和工业系统,这些攻击给世界带来的影响是灾难性的.   SyScan创始人 Thomas Lims Thomas是华裔新加坡人,2004年创办了COSEINC技术公司,专门帮客户挖掘管理上的漏洞,做一些针对恶意行为的分析,并在2004年创办了新加坡第一届国际黑客会议,2012年开始跟360合办成为SyScan 3

补天白帽大会:白帽子是企业能力最重要的补充

3月30日,2017补天白帽大会在深圳举行,多家企业的SRC负责人与白帽子.安全安好者进行了交流,来自360SRC负责人张玉在会上演讲时称,SRC上的白帽子是360内部安全研究人员之外最重要的能力补充.   360 SRC负责人张玉 张玉在会上分享了360作为一家安全公司运营SRC经验.据她介绍,360公司内部将安全作为底线,360所有产品在发布前一定是要经过安全部门的审核,只有经过安全审核之后才可以发布上线:360还注重日常安全的监测,对于业界通用型漏洞第一时间修补.张玉称,很多白帽子反映36

补天白帽大会:安全不只是防御 是持续运营的过程

3月30日,首个面向全球白帽和技术精英开放的.专注于漏洞响应和防护的全球性安全行业大会--补天白帽大会在深圳举行,富有传奇经历的补天精英白帽子华不再扬表示,"安全是一个持续运营的过程,需要跟随企业IT资产变化,来实时监控发现黑客行为,及时响应威胁事件的发生,将企业面临的损失减到最小." 补天精英白帽子 华不再扬 据<2016年中国网站安全漏洞形势分析报告>数据显示,360网站安全检测平台2016全年共扫描各类网站197.9万个,其中存在漏洞的网站91.7万个,占比为46.3

补天白帽大会:安全爱好者和创业公司需要情怀

近日,2017补天白帽大会在深圳举行,近千名来自全球多个知名安全平台.白帽子.安全爱好者和企业SRC负责人参加了会议.来自四叶草安全的杨静在会上分享了公司的创业故事,称情怀支撑着四叶草这样的安全创业企业不断前行. 四叶草是一家安全创业公司,以安全服务为基础,自主研发安全产品,成立于2012年,2015年拿到了Pre-A轮融资.在会上杨静分享了两个充满情怀的创业故事.   四叶草安全 杨静 第一个故事的主角是陕西一所学校的一位男生,在大二的时候就开始关注到四叶草,为进入公司,在大学期间花了两年时间

GOMX大会看网络营销新趋势:搜索营销已是王者

中介交易 SEO诊断 淘宝客 云主机 技术大厅 2013年5月29-30日,2013年GOMX全球网络营销大会(以下简称GOMX)将在无锡隆重举行.其中,5月30日举办的搜索引擎营销专场,来自夏易网络.天拓.Netconcepts.珍岛.文军信息等国内知名网络营销服务商将分别就搜索营销的KPI.SEO如何有效赢得大量客户.SEO与SEM如何有机结合.搜索关键词和社交数据的挖掘等一系列关于搜索营销的话题做精彩的主题演讲和经验分享.这是继赢时代在4月份的杭州举办搜索引擎营销大会后的又一次搜索营销领域