您好,歡迎來到58網(wǎng)站目錄!

白帽子是如何煉成的?烏云網(wǎng)創(chuàng)始人如是說

站長「蝙蝠俠」:QQ1251270088  瀏覽:1394次 時間:2014-04-08

虎嗅注:漏洞事件不僅令攜程網(wǎng)深陷漩渦,連最初曝出漏洞的烏云網(wǎng)也成為眾人矚目的焦點,更引起人們對公關(guān)以漏洞作為攻擊目標的憂慮(《烏云的曖昧地帶》)。創(chuàng)始人方小頓有著什么背景?他怎么看國內(nèi)網(wǎng)絡(luò)安全環(huán)境?本文來自新浪科技,虎嗅進行了摘編。


黑客一詞源自英文hacker,最初曾指熱心于計算機技術(shù)、水平高超的電腦玩家,尤其是程序設(shè)計人員,但隨著互聯(lián)網(wǎng)行業(yè)的逐漸成熟,黑客的屬性也分為白帽子和黑帽子。


方小頓就是白帽黑客中的佼佼者。他是國內(nèi)著名安全組織80sec的成員。也曾經(jīng)是百度安全專家,負責對黑客襲擊百度網(wǎng)站的抵御工作,曾發(fā)現(xiàn)多個知名底層和腳本安全漏洞。


隨后他又創(chuàng)立了網(wǎng)絡(luò)漏洞報告平臺——烏云,作為一個廠商和安全研究者之間的安全問題反饋平臺,烏云提供給互聯(lián)網(wǎng)公司很多漏洞及風險報告,幫助他們防患于未然。隨著烏云影響力的提高,旗下白帽子團隊也達到了近5000人,其中核心黑客超過100人。


黑帽子指泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的黑客,并通過網(wǎng)絡(luò)漏洞非法牟利,在英文中這些人叫做cracker。而白帽子指對網(wǎng)絡(luò)技術(shù)防御的黑客, 他們可以識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會惡意去利用,而是公布其漏洞,以便系統(tǒng)可以在被其他人(例如黑帽子)利用之前來修補漏洞。


方小頓對白帽子這個職業(yè)有著自己的見解。在他看來,白帽子最難的就是堅持自己的理想,不計眼前的利益誘惑,從整個行業(yè)著眼為網(wǎng)絡(luò)安全貢獻自己的力量。在他眼里,白帽子是一群掙扎在理想和現(xiàn)實邊緣的黑客。


“白帽子”是如何煉成的


2002年,15歲的方小頓便考上了哈爾濱理工大學(xué)的化學(xué)專業(yè),也是在那一年,他開始接觸互聯(lián)網(wǎng),接觸網(wǎng)絡(luò)安全。


方小頓稱,由于對化學(xué)專業(yè)沒有太大的興趣,基本上除去上課、睡覺,大學(xué)全部的時間都撲在網(wǎng)絡(luò)安全研究上。從那時開始,方小頓經(jīng)常給國內(nèi)頂尖網(wǎng)絡(luò)安全雜志投稿,稿件多被錄用。在大學(xué)期間還受聘給某網(wǎng)絡(luò)安全培訓(xùn)機構(gòu)的學(xué)生授課。


但他并不認為課堂中會出網(wǎng)絡(luò)安全人才?!熬W(wǎng)絡(luò)安全問題本身就存在于破壞規(guī)范中,處理網(wǎng)絡(luò)安全問題的核心就在于不守規(guī)矩,所以在規(guī)范的教育體系下,很難出網(wǎng)絡(luò)安全人才?!狈叫☆D指出,網(wǎng)絡(luò)安全是一門興趣指引下的學(xué)問,他需要黑客親身去鉆研,不能把別人過往的經(jīng)驗總結(jié)成課程來學(xué)習。


方小頓自己的經(jīng)歷完全可以印證這一點。最初他對網(wǎng)絡(luò)安全產(chǎn)生興趣,源于課余時間同學(xué)之間在網(wǎng)絡(luò)上的互相攻擊。彼時可借鑒參考的資料基本屬于空白,完全依靠自己的鉆研。隨后他又與大學(xué)同學(xué)一起黑入一家網(wǎng)站的主頁并善意提醒了這家公司存在漏洞問題。這家公司在2006年也為方小頓提供了他大學(xué)畢業(yè)后的第一份工作。


2008年,方小頓加盟了百度,負責網(wǎng)絡(luò)安全。在百度,他獲得了從大平臺的角度去學(xué)習認知互聯(lián)網(wǎng)安全的機會。但百度的主體業(yè)務(wù)是搜索引擎,由于其在整個互聯(lián)網(wǎng)領(lǐng)域的局限性,對于2010年的方小頓,留給他施展的空間也極為有限。


方小頓稱,離開百度主要還是因為理想,他想利用自己的技術(shù)來為更多的互聯(lián)網(wǎng)公司解決安全問題。他認為,一名白帽子黑客除了要有這方面興趣之外,另一點就是必須擁有一個正能量的理想。


同樣利用技術(shù)發(fā)現(xiàn)漏洞,黑帽子黑客往往利用漏洞通過不法手段來獲取利益,這部分利益能多到哪種程度呢?方小頓稱,可能是一個并不起眼的黑客,某一天你就會發(fā)現(xiàn)他住上了好房,開起了好車。他表示,目前最強的黑帽子和白帽子收入的差距大概是日薪一萬和月薪一萬的差距。


正因如此所有白帽子黑客都是站在了理想和現(xiàn)實邊緣。方小頓認為,白帽子黑客必須認清自己的核心訴求不一樣,在理想和現(xiàn)實中更加重視個人的成長。他同時指 出,以黑帽子黑客賺錢的方式往往會令人變得浮躁,這種心態(tài)會不利于自身對技術(shù)的學(xué)習,從個人技術(shù)發(fā)展角度講,這并不是一件好事。


網(wǎng)絡(luò)安全需要更多參與者


離開百度的方小頓,為了自己的理想在2010年5月創(chuàng)立了烏云。在2011年12月21日,烏云曝出國內(nèi)知名技術(shù)社區(qū)CSDN的600余萬用戶資料被泄露。此后又陸續(xù)曝出多玩800萬用戶信息、7K7K小游戲的2000萬用戶、網(wǎng)站的1000萬用戶資料,以及人人網(wǎng)、U9網(wǎng)、百合網(wǎng)、開心網(wǎng)、天涯、世紀佳緣等網(wǎng)站數(shù)據(jù)庫遭遇不同程度的外泄。該事件引起各界人士討論,一時間網(wǎng)友紛紛修改網(wǎng)站密碼,并直呼“修改到手抖”,促使各方更加重視網(wǎng)絡(luò)安全,烏云平臺也因此名聲大震。


在此后的這幾年,烏云平臺不斷發(fā)布在各個網(wǎng)站發(fā)現(xiàn)的漏洞,并且快速成長為一個立足于計算機廠商和安全研究者之間的安全問題反饋及發(fā)布平臺,同時它也是服務(wù)于互聯(lián)網(wǎng)IT人士技術(shù)開發(fā)的互動平臺。


最近的攜程漏洞曝光后,引起極大反響,攜程股價一度下跌近10%。烏云再次以強勢的姿態(tài)沖進人們的視野,并且一次次帶給人們更大的震撼。


方小頓指出,目前安全行業(yè)環(huán)境不夠好,與互聯(lián)網(wǎng)提倡的開放和分享走得很遠,不利于整個社區(qū)的成長和行業(yè)的發(fā)展。他透露,烏云在把部分廠商的漏洞公開后,會受到來自廠商的一些報復(fù),最嚴重的烏云服務(wù)器還被拔過線。


他認為,目前信息安全的問題是行業(yè)環(huán)境的問題,不夠公開不夠透明的問題導(dǎo)致很難像其他行業(yè)一樣被人了解和理解,而互聯(lián)網(wǎng)安全從業(yè)者在不了解和不理解的前提下很難將事情做好。


“如果我家里沒有上鎖,可以說是我自己的事情,無關(guān)他人。但如果你是家銀行,你管理的東西都不是你的,那就有必要也有義務(wù)讓用戶知道你管理的真實情況?!狈叫☆D解釋道,公開漏洞信息另一方面的重要原因是,讓同類企業(yè)引以為戒,并節(jié)省整個行業(yè)的安全成本。


他進一步表示,烏云將堅持開放和分享的核心運營思路,通過信息的流動帶來社區(qū)的活躍,在積累了大量的安全問題基礎(chǔ)數(shù)據(jù)之后,希望能夠與白帽子一起除發(fā)現(xiàn)問題之后還能為企業(yè)解決和規(guī)避安全問題。


目前,烏云仍屬于一個非盈利組織,網(wǎng)站的主要經(jīng)濟來源由Cncert互聯(lián)網(wǎng)應(yīng)急中心和廣東信息安全評測中心提供。接近5000人的白帽子黑客全部為烏云義務(wù)提供服務(wù)。


方小頓認為,互聯(lián)網(wǎng)安全行業(yè)應(yīng)該受到更高的重視,還需要像國家、企業(yè)、媒體以及第三方平臺等參與進來。“來自各行各業(yè)的人士會從不同的角度分析判斷網(wǎng)絡(luò)安全問題,從而會更容易發(fā)現(xiàn)漏洞,減少損失;另一方面,企業(yè)的參與也能夠從一定程度上改善白帽子黑客的生活質(zhì)量,對其也是一種正確方向的引導(dǎo)?!?br />

移動安全問題核心不在終端


不過,網(wǎng)絡(luò)安全參與者的增長速度,顯然沒有麻煩制造者的增長速度快。隨著移動互聯(lián)網(wǎng)的興起,一些由手機等移動設(shè)備曝出的網(wǎng)絡(luò)安全問題,已經(jīng)成為了近兩年3·15晚會的???。但方小頓認為,移動互聯(lián)網(wǎng)的安全問題核心不在移動終端,歸根結(jié)底還是互聯(lián)網(wǎng)服務(wù)的漏洞越來越多。


他表示,回歸到安全漏洞的本質(zhì),漏洞與數(shù)據(jù)是相對應(yīng)的,一個不能影響數(shù)據(jù)的漏洞只能說是個Bug,無論用戶用什么手機,它最終只承載了互聯(lián)網(wǎng)服務(wù)入口的使命。


方小頓稱,移動安全問題的增多,主要是因為人們越來越頻繁的通過手機等移動設(shè)備使用互聯(lián)網(wǎng)云服務(wù)?!艾F(xiàn)在的移動智能終端都在強調(diào)一個數(shù)據(jù)云處理的概念,郵件、照片、通訊錄等用戶數(shù)據(jù)都在云端,一旦出了安全問題,還是在云服務(wù)器中存在漏洞隱患?!?br />

從目前來看,蘋果生態(tài)系統(tǒng)的安全性是被普遍認可的。由于iOS系統(tǒng)的封閉性,以及App Store的自有生態(tài)體系下,出現(xiàn)任何安全問題,蘋果都會快速做出合理的決策反應(yīng),從而保證其品牌利益。


而在安全方面經(jīng)常被詬病的Android設(shè)備,在方小頓看來與蘋果的安全水平也屬同一級別。他解釋道,目前品牌Android設(shè)備的開放屬于一種相對的開放,終端廠商為了自己的品牌利益,會對自己產(chǎn)品中內(nèi)置應(yīng)用做出嚴格的審核,對待自己品牌的應(yīng)用分發(fā)市場也會采取相同的態(tài)度,但對于第三方應(yīng)用市場的產(chǎn)品,終端廠商還是無法進行審查的。


方小頓認為,基于云時代的互聯(lián)網(wǎng)安全狀況,企業(yè)在一定程度上應(yīng)把數(shù)據(jù)的控制權(quán)交還給用戶,給用戶一個選擇權(quán),讓用戶有權(quán)利刪除記錄,以保障這部分數(shù)據(jù)的安全性。另一方面,國家或第三方監(jiān)管機構(gòu)加強對終端公司的把控,防止企業(yè)在用戶不知情的情況下收集用戶電腦里的數(shù)據(jù)、記錄,甚至從云端下發(fā)策略。


本文地址:http://m.quema.com.cn/artinfo/260.html
?