"白帽子"黑客张瑞冬:互联网用户安全意识薄弱是最大风险
在信息安全领域中,所有研究智取计算机安全系统的人员统称黑客。但在黑客的世界里,又有“正”与“邪”两个阵营,分别是以破坏网络安全来获取个人利益的“黑帽子”和维护网络安全的“白帽子”。
22岁的张瑞冬创建的“白帽子”团队,长期居漏洞查找排行榜首位。一次次漏洞曝光,奠定了张瑞冬团队在圈内的“牛人”地位。
近日,《每日经济新闻》记者(以下简称NBD)在成都专访了这名年轻的黑客。在张瑞冬看来,“白帽子”们最大的优势,就是通过模拟恶意黑客的攻击方法,监测网络系统的实际安全性,提前发现漏洞或缺陷,并进行必要的修补。
自学成才的“白帽子”
NBD:能谈谈您的“白帽子”成长史吗?
张瑞冬:我可能不是钻研程序和代码的“黑客男”,玩的更多是逻辑性的东西。13岁去银行取钱时,我发现ATM机的程序有一个逻辑漏洞,可以让人取钱以后银行卡的余额不改变。
比如,取1000元,我拿走其中9张留1张,90秒以后系统会显示超时并把这一张收回去,但系统在收回去的过程中是没有做点钞机制的,显示的余额没有减少。这就是典型的业务逻辑漏洞,后来我帮助银行解决了这个问题。
NBD:“白帽子”们往往非常年轻,而且大多都不是学计算机的,您怎么理解这一现象?
张瑞冬:的确如此,以我们团队为例,10多个人中,只有两人有大学以上学历,一个是生物学博士,一个是物理硕士。其余人基本是初中、高中学历,我自己只有初中文凭。据我了解,BAT的安全部门中有一半的技术人员都没有大学文凭。
我们这群人大多从小就对电脑网络感兴趣,通过阅读相关书籍和大量的实践与思考自学成才。高校里的网络安全培养方式理论性太强,而且往往是正向思维,缺乏用攻击思维来防守的实践课程。
NBD:您怎样理解黑客从事网络安全的特点?
张瑞冬:传统的安全产品,是用防御类设备对抗攻击设备,但毕竟设备的匹配规则是死的,攻击者可以绕过设备。所以,传统的设备已经拦不住攻击者。
我们这群“白帽子”黑客非常熟悉“黑帽子”的行为,可以完全模拟“黑帽子”的行为,找到脆弱点,然后提出一套完整的修补建议,漏洞修补后再测试。
用户安全意识差
NBD:人们一提到黑客就会联想到网络破坏,这种误解会对网络安全人才队伍的发展产生不利影响吗?
张瑞冬:公众对黑客的理解确实有些误解,黑客本身不是一个负面形象。在我看来,黑客就是对技术的极致追求,发现问题、质疑权威、充满好奇。我喜欢钻研逻辑问题,想刨根问底研究系统中有没有逻辑漏洞,这就是黑客思维。黑客这个称号是对技术的极大肯定,我非常乐意别人叫我黑客。
事实上,黑客群体中的网络安全高手辈出,高校里的培养方式实用性不够强。我们团队曾做过几次实践类型的安全培训,白天在乌云网上找一些漏洞案例来讲解,晚上带大家实战。但这些实战也不是真正去黑别人,我们写一套系统,导师带着学员学习攻击手段。
不过,后来这个课程被叫停了,理由是涉及“黑客教程”。所以,这是一个悖论,一方面国家的网络安全行业缺乏“白帽子”人才;另一方面黑客的社会身份又很尴尬。
NBD:我国接入互联网逾20年,网络安全与互联网发展的程度似乎并不匹配,您认为网络安全行业最薄弱的环节是什么?
张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。我们经常处理一些应急事故,发现真正高难度入侵行为是很少的,导致事故频发的原因是,用户密码设置太简单或者是操作失误。
我曾帮一家上市公司做网站安全测试,他们的系统很安全,测了半天也没有找到问题。后来我发现该公司有内部交流的QQ群,点击加入,立马就把我放进去了。进去后,我发现群共享里有个文件夹,文件夹的名字叫公司各种系统密码。就这样简单,我轻易获得该公司系统密码。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。
张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。