乌云创始人方小顿:白帽黑客的挣扎

  新浪科技 李何冉

  黑客一词源自英文hacker,最初曾指热心于计算机技术、水平高超的电脑玩家,尤其是程序设计人员,但随着互联网行业的逐渐成熟,黑客的属性也分为白帽子和黑帽子。

  方小顿就是白帽黑客中的佼佼者。他是国内著名安全组织80sec的成员。也曾经是百度安全专家,负责对黑客袭击百度网站的抵御工作,曾发现多个知名底层和脚本安全漏洞。

  随后他又创立了网络漏洞报告平台——乌云,作为一个厂商和安全研究者之间的安全问题反馈平台,乌云提供给互联网公司很多漏洞及风险报告,帮助他们防患于未然。随着乌云影响力的提高,旗下白帽子团队也达到了近5000人,其中核心黑客超过100人。

  黑帽子指泛指那些专门利用电脑网络搞破坏或恶作剧的黑客,并通过网络漏洞非法牟利,在英文中这些人叫做cracker。而白帽子指对网络技术防御的黑客, 他们可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞,以便系统可以在被其他人(例如黑帽子)利用之前来修补漏洞。

  方小顿留着一头长发,看上去颇具有文艺青年范儿,他对白帽子这个职业有着自己的见解。在他看来,白帽子最难的就是坚持自己的理想,不计眼前的利益诱惑,从整个行业着眼为网络安全贡献自己的力量。在他眼里,白帽子是一群挣扎在理想和现实边缘的黑客。

  “白帽子”是如何炼成的

  2002年,15岁的方小顿便考上了哈尔滨理工大学的化学专业,也是在那一年,他开始接触互联网,接触网络安全。

  方小顿称,由于对化学专业没有太大的兴趣,基本上除去上课、睡觉,大学全部的时间都扑在网络安全研究上。从那时开始,方小顿经常给国内顶尖网络安全杂志投稿,稿件多被录用。在大学期间还受聘给某网络安全培训机构的学生授课。

  但他并不认为课堂中会出网络安全人才。“网络安全问题本身就存在于破坏规范中,处理网络安全问题的核心就在于不守规矩,所以在规范的教育体系下,很难出网络安全人才。”方小顿指出,网络安全是一门兴趣指引下的学问,他需要黑客亲身去钻研,不能把别人过往的经验总结成课程来学习。

  方小顿自己的经历完全可以印证这一点。最初他对网络安全产生兴趣,源于课余时间同学之间在网络上的互相攻击。彼时可借鉴参考的资料基本属于空白,完全依靠自己的钻研。随后他又与大学同学一起黑入一家网站的主页并善意提醒了这家公司存在漏洞问题。这家公司在2006年也为方小顿提供了他大学毕业后的第一份工作。

  2008年,方小顿加盟了百度,负责网络安全。在百度,他获得了从大平台的角度去学习认知互联网安全的机会。但百度的主体业务是搜索引擎,由于其在整个互联网领域的局限性,对于2010年的方小顿,留给他施展的空间也极为有限。

  方小顿称,离开百度主要还是因为理想,他想利用自己的技术来为更多的互联网公司解决安全问题。他认为,一名白帽子黑客除了要有这方面兴趣之外,另一点就是必须拥有一个正能量的理想。

  同样利用技术发现漏洞,黑帽子黑客往往利用漏洞通过不法手段来获取利益,这部分利益能多到哪种程度呢?方小顿称,可能是一个并不起眼的黑客,某一天你就会发现他住上了好房,开起了好车。他表示,目前最强的黑帽子和白帽子收入的差距大概是日薪一万和月薪一万的差距。

  正因如此所有白帽子黑客都是站在了理想和现实边缘。方小顿认为,白帽子黑客必须认清自己的核心诉求不一样,在理想和现实中更加重视个人的成长。他同时指 出,以黑帽子黑客赚钱的方式往往会令人变得浮躁,这种心态会不利于自身对技术的学习,从个人技术发展角度讲,这并不是一件好事。

  网络安全需要更多参与者

  离开百度的方小顿,为了自己的理想在2010年5月创立了乌云。在2011年12月21日,乌云曝出国内知名技术社区CSDN的600余万用户资料被泄露。此后又陆续曝出多玩800万用户信息、7K7K小游戏的2000万用户、网站的1000万用户资料,以及人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库遭遇不同程度的外泄。该事件引起各界人士讨论,一时间网友纷纷修改网站密码,并只呼“修改到手抖”,促使各方更加重视网络安全,乌云平台也因此名声大震。

  在此后的这几年,乌云平台不断发布在各个网站发现的漏洞,并且快速成长为一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,同时它也是服务于互联网IT人士技术开发的互动平台。

  最新的曝光是乌云核心白帽子“猪猪侠”登出的“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。

  携程漏洞曝光后,引起极大反响,携程股价一度下跌近10%。乌云再次以强势的姿态冲进人们的视野,并且一次次带给人们更大的震撼。

  方小顿指出,目前安全行业环境不够好,与互联网提倡的开放和分享走得很远,不利于整个社区的成长和行业的发展。他透露,乌云在把部分厂商的漏洞公开后,会受到来自厂商的一些报复,最严重的乌云服务器还被拔过线。

  他认为,目前信息安全的问题是行业环境的问题,不够公开不够透明的问题导致很难像其他行业一样被人了解和理解,而互联网安全从业者在不了解和不理解的前提下很难将事情做好。

  “如果我家里没有上锁,可以说是我自己的事情,无关他人。但如果你是家银行,你管理的东西都不是你的,那就有必要也有义务让用户知道你管理的真实情况。”方小顿解释道,公开漏洞信息另一方面的重要原因是,让同类企业引以为戒,并节省整个行业的安全成本。

  他进一步表示,乌云将坚持开放和分享的核心运营思路,通过信息的流动带来社区的活跃,在积累了大量的安全问题基础数据之后,希望能够与白帽子一起除发现问题之后还能为企业解决和规避安全问题。

  目前,乌云仍属于一个非盈利组织,网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。接近5000人的白帽子黑客全部为乌云义务提供服务。

  方小顿认为,互联网安全行业应该受到更高的重视,还需要像国家、企业、媒体以及第三方平台等参与进来。“来自各行各业的人士会从不同的角度分析判断网络安全问题,从而会更容易发现漏洞,减少损失;另一方面,企业的参与也能够从一定程度上改善白帽子黑客的生活质量,对其也是一种正确方向的引导。”

  移动安全问题核心不在终端

  不过,网络安全参与者的增长速度,显然没有麻烦制造者的增长速度快。随着移动互联网的兴起,一些由手机等移动设备曝出的网络安全问题,已经成为了近两年3·15晚会的常客。但方小顿认为,移动互联网的安全问题核心不在移动终端,归根结底还是互联网服务的漏洞越来越多。

  他表示,回归到安全漏洞的本质,漏洞与数据是相对应的,一个不能影响数据的漏洞只能说是个Bug,无论用户用什么手机,它最终只承载了互联网服务入口的使命。

  方小顿称,移动安全问题的增多,主要是因为人们越来越频繁的通过手机等移动设备使用互联网云服务。“现在的移动智能终端都在强调一个数据云处理的概念,邮件、照片、通讯录等用户数据都在云端,一旦出了安全问题,还是在云服务器中存在漏洞隐患。”

  从目前来看,苹果生态系统的安全性是被普遍认可的。由于iOS系统的封闭性,以及App Store的自有生态体系下,出现任何安全问题,苹果都会快速做出合理的决策反应,从而保证其品牌利益。

  而在安全方面经常被诟病的Android设备,在方小顿看来与苹果的安全水平也属同一级别。他解释道,目前品牌Android设备的开放属于一种相对的开 放,终端厂商为了自己的品牌利益,会对自己产品中内置应用做出严格的审核,对待自己品牌的应用分发市场也会采取相同的态度,但对于第三方应用市场的产品,终端厂商还是无法进行审查的。

  方小顿认为,基于云时代的互联网安全状况,企业在一定程度上应把数据的控制权交还给用户,给用户一个选择权,让用户有权利删除记录,以保障这部分数据的安全性。另一方面,国家或第三方监管机构加强对终端公司的把控,防止企业在用户不知情的情况下收集用户电脑里的数据、记录,甚至从云端下发策略。

时间: 2024-12-26 20:49:25

乌云创始人方小顿:白帽黑客的挣扎的相关文章

游走黑白缺乏监管,白帽黑客群体处境堪忧

在互联网上,有这么一群爱好安全技术的"宅男",他们也被称作白帽子. 与"黑帽黑客"相反,白帽子是用黑客技术维护网络安全的力量,他们往往会被各大互联网公司雇佣,通过攻击自己的公司以测试网络和系统的性能.在他们眼中,似乎没有攻不破的系统. ▲图片来源网络 一些曾经轰动社会的泄露事件,如13万条铁路售票网站网站12306用户数据泄露.如家酒店等开房信息泄露.腾讯7000万QQ群用户数据泄露,均最早在乌云网上由白帽子报告并引起平台方的重视. 不过,白帽子平常活跃的国内两大漏

白帽黑客教主 TK 告诉你,黑客的游戏 CTF 究竟是什么 | 硬创公开课总结文+视频

   知乎里曾有一个热门回答"智商被碾压是一种怎样的体验". 由于经常面对异常机智的黑客,雷锋网编辑捂着胸口,表示小心心好痛.但是,如果是看着一群高智商黑客互相"碾压智商",开展一场技术.策略与智商的较量,感觉还是挺爽的! CTF(Capture The Flag)就是这样一种较量,它又被称为"夺旗赛",是网络安全技术人员之间进行技术竞技的一种比赛形式,起源于1996年DEFCON全球黑客大会,以比赛形式代替黑客们之间的真实技术比拼. 也就是说,

全球最牛白帽黑客汇聚全民黑客盛会GeekPwn2017

全球顶尖黑客大赛GeekPwn2017将于10月24日及11月13日分别在中国上海及美国硅谷举办.作为黑客比赛的奥运会,GeekPwn2017将邀请全球顶级科学家和尖端科研机构资深专家加盟,构成"独一无二"的嘉宾组委阵容.在GeekPwn2017的现场,这些黑客界的"最强大脑"将带来哪些前瞻话题与顶尖科技展示? GeekPwn 自2014年创办以来,每年都有重量级的安全研究成果涌现,受到了业界大咖的关注和认可.2017年,GeekPwn将邀请包括腾讯副总裁丁珂.加州

白帽黑客的黑白人生:很富有?很有趣?

澳门,知名安全团队KEEN主办的黑客大赛GeekPwn(极棒大赛)正在进行,这是黑客界的"星光大道".穿梭往来的游客们一定不会想到,身边匆匆走过的T恤牛仔裤男子,完全有能力通过技术手段完成电影中入侵系统的桥段,迅速破解系统密码,甚至劫持几台机器,只要这些机器都接入在互联网环境下. 可惜,赌场对于他们中的绝大多数人都毫无吸引力,他们寻求的刺激,并不是运气带来的财富,而是依靠严密的逻辑和计算能力,用一行行枯燥至极的代码,换取而来的攻防刺激,直至屏幕上出现"Pwned".

史上五大最光明的白帽黑客介绍 都有很大技术贡献

黑客的定义是崇尚自由与挑战的计算机狂热者,可以征服计算机的一类人.从这个意义上说,能够称之为黑客的人屈指可数,正当使用黑客技术的人,例如受雇于安全公司,完全合法情况下攻击某一系统等,他们通常被称为"白帽黑客",他们不触犯法律做着一些非常酷的事情,以下是五位伟大的拥有创新科技的黑客.  1. 渥兹涅克(Stephen Wozniak)    沃兹涅克是苹果公司的另一位创始人,一个计算机天才,他的黑客生涯开始于"蓝匣子"(blue boxes),这种手提电子匣子可以通过

“白帽”黑客:一个月挖出十个微软漏洞,网络安全的神秘保安

20世纪90年代后,随着计算机技术的发展,黑客群体逐渐被区分为"白帽子"和"黑帽子",前者发现网络漏洞后,提出修改方案维护网络安全,后者则利用网络漏洞牟利.Tyy和黄正便是黑客群体里的"白帽子". 不久前在一项"白帽"黑客的竞赛中,毕业于浙江大学计算机专业的"Tyy"利用漏洞获取了评委的共享单车账号.余额.骑行记录等隐私信息,还通过场外连线,成功让评委瞬间"穿越"到了上海街头骑车.另一位

从学渣到白帽黑客掌门 他到底经历了什么

今天讲一个"学渣"的故事. 蚂蚁金服的技术同学善攻,从一个几乎没有部门想要的新兵,到蚂蚁金服白帽黑客掌门,他说,起点不重要,重要的是,你自己. 时间给我的答案 我是我家亲戚小孩里面,学习成绩最渣的,踩线上了是一家没名气的二本. 高考前一天,我翻墙去网吧,被老爸逮到了.他并没有骂我,但他的眼神,我这辈子都忘不了. 念大学时,我收敛了许多,就是不想再让他失望了. 大四边考研边找工作,有家公司给我开了1888块钱一个月,但对方老板提了一个要求,我学的是VB,却要我用C++写一段程序,好在我自

白帽黑客必备 60款Web安全工具合集

本文讲的是 :  白帽黑客必备 60款Web安全工具合集  , [IT168 技术]推荐60款Web安全工具,包涵渗透.审计.框架.扫描.SQL注入.漏洞扫描.社会工程工具包等等工具.小编耗尽洪荒之力收集而来. 原文发布时间为:2015年7月6日 本文作者:陈毅东 原文标题 :白帽黑客必备 60款Web安全工具合集

那些被关闭的漏洞平台和那些被抓的白帽黑客:这不是第一次,恐怕也不是

今年6月下旬,第四届中国网络安全大会期间,一封来自某"白帽黑客"父亲的公开信在网络信息安全业内流传.这位"黑客父亲"称,其子袁炜是一名白帽黑客,去年12月初,白帽黑客袁炜通过乌云平台提交了一份关于世纪佳缘的漏洞报告,随后世纪佳缘确认并修复了该漏洞,并致谢乌云网和袁炜.但随后,世纪佳缘发现900条数据泄露并报案,3月8日,袁炜被警方带走,外界纷纷质疑是世纪佳缘"钓鱼",而世纪佳缘回应称,袁炜与数据泄露有关.事后,袁炜妻子委屈且不平地跟记者哭诉:&q