物聯傳媒 旗下網站
登錄 注冊
RFID世界網 >  新聞中心  >  物聯網新聞  >  正文

"白帽子"黑客張瑞冬:互聯網用戶安全意識薄弱是最大風險

作者:丁舟洋
來源:每經網-每日經濟新聞
日期:2015-06-29 11:10:52
摘要:近日,記者在成都專訪了這名年輕的黑客張瑞冬。在他看來,“白帽子”們最大的優(yōu)勢,就是通過模擬惡意黑客的攻擊方法,監(jiān)測網絡系統(tǒng)的實際安全性,提前發(fā)現漏洞或缺陷,并進行必要的修補。


  在信息安全領域中,所有研究智取計算機安全系統(tǒng)的人員統(tǒng)稱黑客。但在黑客的世界里,又有“正”與“邪”兩個陣營,分別是以破壞網絡安全來獲取個人利益的“黑帽子”和維護網絡安全的“白帽子”。

  22歲的張瑞冬創(chuàng)建的“白帽子”團隊,長期居漏洞查找排行榜首位。一次次漏洞曝光,奠定了張瑞冬團隊在圈內的“牛人”地位。

  近日,《每日經濟新聞》記者(以下簡稱NBD)在成都專訪了這名年輕的黑客。在張瑞冬看來,“白帽子”們最大的優(yōu)勢,就是通過模擬惡意黑客的攻擊方法,監(jiān)測網絡系統(tǒng)的實際安全性,提前發(fā)現漏洞或缺陷,并進行必要的修補。

  自學成才的“白帽子”

  NBD:能談談您的“白帽子”成長史嗎?

  張瑞冬:我可能不是鉆研程序和代碼的“黑客男”,玩的更多是邏輯性的東西。13歲去銀行取錢時,我發(fā)現ATM機的程序有一個邏輯漏洞,可以讓人取錢以后銀行卡的余額不改變。

  比如,取1000元,我拿走其中9張留1張,90秒以后系統(tǒng)會顯示超時并把這一張收回去,但系統(tǒng)在收回去的過程中是沒有做點鈔機制的,顯示的余額沒有減少。這就是典型的業(yè)務邏輯漏洞,后來我?guī)椭y行解決了這個問題。

  NBD:“白帽子”們往往非常年輕,而且大多都不是學計算機的,您怎么理解這一現象?

  張瑞冬:的確如此,以我們團隊為例,10多個人中,只有兩人有大學以上學歷,一個是生物學博士,一個是物理碩士。其余人基本是初中、高中學歷,我自己只有初中文憑。據我了解,BAT的安全部門中有一半的技術人員都沒有大學文憑。

  我們這群人大多從小就對電腦網絡感興趣,通過閱讀相關書籍和大量的實踐與思考自學成才。高校里的網絡安全培養(yǎng)方式理論性太強,而且往往是正向思維,缺乏用攻擊思維來防守的實踐課程。

  NBD:您怎樣理解黑客從事網絡安全的特點?

  張瑞冬:傳統(tǒng)的安全產品,是用防御類設備對抗攻擊設備,但畢竟設備的匹配規(guī)則是死的,攻擊者可以繞過設備。所以,傳統(tǒng)的設備已經攔不住攻擊者。

  我們這群“白帽子”黑客非常熟悉“黑帽子”的行為,可以完全模擬“黑帽子”的行為,找到脆弱點,然后提出一套完整的修補建議,漏洞修補后再測試。

  用戶安全意識差

  NBD:人們一提到黑客就會聯想到網絡破壞,這種誤解會對網絡安全人才隊伍的發(fā)展產生不利影響嗎?

  張瑞冬:公眾對黑客的理解確實有些誤解,黑客本身不是一個負面形象。在我看來,黑客就是對技術的極致追求,發(fā)現問題、質疑權威、充滿好奇。我喜歡鉆研邏輯問題,想刨根問底研究系統(tǒng)中有沒有邏輯漏洞,這就是黑客思維。黑客這個稱號是對技術的極大肯定,我非常樂意別人叫我黑客。

  事實上,黑客群體中的網絡安全高手輩出,高校里的培養(yǎng)方式實用性不夠強。我們團隊曾做過幾次實踐類型的安全培訓,白天在烏云網上找一些漏洞案例來講解,晚上帶大家實戰(zhàn)。但這些實戰(zhàn)也不是真正去黑別人,我們寫一套系統(tǒng),導師帶著學員學習攻擊手段。

  不過,后來這個課程被叫停了,理由是涉及“黑客教程”。所以,這是一個悖論,一方面國家的網絡安全行業(yè)缺乏“白帽子”人才;另一方面黑客的社會身份又很尷尬。

  NBD:我國接入互聯網逾20年,網絡安全與互聯網發(fā)展的程度似乎并不匹配,您認為網絡安全行業(yè)最薄弱的環(huán)節(jié)是什么?

  張瑞冬:我認為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。我們經常處理一些應急事故,發(fā)現真正高難度入侵行為是很少的,導致事故頻發(fā)的原因是,用戶密碼設置太簡單或者是操作失誤。

  我曾幫一家上市公司做網站安全測試,他們的系統(tǒng)很安全,測了半天也沒有找到問題。后來我發(fā)現該公司有內部交流的QQ群,點擊加入,立馬就把我放進去了。進去后,我發(fā)現群共享里有個文件夾,文件夾的名字叫公司各種系統(tǒng)密碼。就這樣簡單,我輕易獲得該公司系統(tǒng)密碼。這是很普遍的問題,互聯網用戶的安全意識薄弱,對安全的管控能力比較差。

  張瑞冬:我認為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。這是很普遍的問題,互聯網用戶的安全意識薄弱,對安全的管控能力比較差。