發(fā)布時(shí)間 : 2015-05-11 13:29:48 來源 : 金站網(wǎng) 瀏覽次數(shù) :
12306的用戶信息泄露漏洞、攜程用戶信息泄露漏洞……頻發(fā)的系統(tǒng)漏洞隱患也讓網(wǎng)絡(luò)安全問題愈發(fā)受到關(guān)注。發(fā)現(xiàn)這些安全漏洞的,并不是某個(gè)人或者某個(gè)公司,而是一個(gè)被稱為“白帽子”的群體。白帽子屬于黑客,但是又在做著守護(hù)光明的事情,他們是網(wǎng)絡(luò)世界白與黑的交集。他們都是些什么樣的人?過著怎樣的生活?是否像傳聞中說的那樣動(dòng)動(dòng)手指就有大筆收入……記者嘗試走進(jìn)他們的世界,告訴你白帽子們真實(shí)的一面。
白帽子是誰
“換個(gè)高大上的說法,白帽子就是網(wǎng)絡(luò)安全的守衛(wèi)者。”
武俠的世界有“兵器譜”,黑客江湖也有自己的榜單,趙武就是在“中國黑客榜中榜”上標(biāo)名的人物。趙武年輕時(shí)干過“荒唐”的事,而現(xiàn)如今他看起來相當(dāng)沉穩(wěn)。趙武已過而立,負(fù)責(zé)著國內(nèi)最大的漏洞響應(yīng)平臺(tái)補(bǔ)天,這個(gè)平臺(tái)匯集了近萬名白帽子,趙武是他們的“帶頭大哥”。
“最初是沒有白帽子這個(gè)概念的,當(dāng)時(shí)黑客還是一個(gè)褒義詞,后來外界對(duì)黑客有了誤解,為了和‘黑產(chǎn)’(利用黑客手段獲取非法收入的人)區(qū)分開,才有了白帽子的稱謂。”
趙武介紹,白帽子們做的事情,就是找到電腦系統(tǒng)和網(wǎng)站中的漏洞,并將之公布出來,使其在被不法分子利用前被修復(fù)。“換個(gè)高大上的說法,白帽子就是網(wǎng)絡(luò)安全的守衛(wèi)者。”
在人們想象中,黑客都是在鍵盤上十指舞動(dòng)如飛、在倒計(jì)時(shí)讀秒中攻破各種防火墻的世外高人,然而在現(xiàn)實(shí)里,白帽子中固然有不少高手,但更多的還是入門級(jí)的初學(xué)者。
趙武介紹,在他進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的時(shí)候,國內(nèi)進(jìn)行這方面研究的人最多只有幾百人,如今隨著工具下載的便利,成為白帽子的門檻已經(jīng)相當(dāng)?shù)土?,保守估?jì),國內(nèi)具備尋找簡(jiǎn)單網(wǎng)絡(luò)漏洞能力的人,起碼在10萬以上。“只要學(xué)會(huì)使用漏洞掃描器,你也能當(dāng)白帽子。”趙武說。
另一位白帽子表達(dá)更直接,他認(rèn)為一個(gè)“大學(xué)計(jì)算機(jī)二級(jí)未通過”的人要學(xué)會(huì)找簡(jiǎn)單的漏洞只需幾天時(shí)間,而想具備一個(gè)普通白帽子的水平,“如果有人教只需要三個(gè)月”。
趙武認(rèn)為,現(xiàn)在的白帽子們大體可以分成四個(gè)層次:最底層的被稱為“腳本小子”,這些人沒有工具研發(fā)能力,只是能夠利用別人寫的腳本去進(jìn)行攻擊,這部分人占到了白帽子總體的90%以上。第二個(gè)層次是有了自己的安全理念、具備代碼審計(jì)和安全攻防能力。第三個(gè)層次的人不僅有自己的想法,也具備工程化的能力,可以自己開發(fā)工具和深入挖掘漏洞,能達(dá)到這一層次的國內(nèi)也就幾百號(hào)人。“從技術(shù)上講,第三層次其實(shí)已經(jīng)到頭了,再往上,就是從‘術(shù)’到‘道’的飛躍,要能夠思考安全的本質(zhì),提出完整的安全解決方案。能到這一層次的都是行業(yè)精英,國內(nèi)能有五十個(gè)就不錯(cuò)了。”
如何成為一個(gè)白帽子
“白帽子是要講天賦的,但相比天賦,其實(shí)興趣更加重要。”
記者采訪了十多位白帽子,這些人絕大部分都是學(xué)計(jì)算機(jī)方面的專業(yè)出身,有幾個(gè)學(xué)的就是最對(duì)口的信息安全專業(yè),可毫無例外,他們說起自己成為白帽子的經(jīng)歷,都用了“自學(xué)”的說法。
1990年出生的鄧煥是補(bǔ)天平臺(tái)的另一位技術(shù)大牛,就連趙武也承認(rèn)在某些方面鄧煥比自己強(qiáng)。鄧煥的經(jīng)歷,很好地詮釋了如何能夠成為一名出色的白帽子。
鄧煥最初接觸黑客技術(shù),始于上初中的時(shí)候。當(dāng)時(shí)他的同桌買了一本黑客技術(shù)方面的雜志,鄧煥隨手翻了翻,竟然一下子被里面的內(nèi)容吸引了。不久之后,家里買了第一臺(tái)電腦,鄧煥開始按照書中教的內(nèi)容自己摸索搗騰。實(shí)際上,記者所采訪的白帽子當(dāng)中,有好幾個(gè)都說自己對(duì)黑客技術(shù)的興趣是源于此類雜志。
到了高中,鄧煥的黑客功夫已經(jīng)有了相當(dāng)火候,他進(jìn)高中不久就入侵了學(xué)校的網(wǎng)站。當(dāng)時(shí)被他經(jīng)常“禍害”的還有校外的網(wǎng)吧,每次到網(wǎng)吧上網(wǎng),他都會(huì)接管整個(gè)網(wǎng)吧的管理權(quán)限,不僅讓自己免費(fèi)上網(wǎng),還能看到網(wǎng)吧里每一個(gè)人所瀏覽的內(nèi)容,他甚至?xí)谂R走時(shí)把全網(wǎng)吧的電腦重啟,然后在一片驚呼聲中揚(yáng)長而去。
幾乎每個(gè)從計(jì)算機(jī)專業(yè)出來的白帽子都干過入侵自己學(xué)校系統(tǒng)的事,鄧煥也是如此。他發(fā)現(xiàn)在大學(xué)里上網(wǎng)還要花錢,于是破解了學(xué)校的網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng),讓自己可以免費(fèi)上網(wǎng),之后一不做二不休,干脆把學(xué)校里的各個(gè)系統(tǒng)都入侵了個(gè)遍。鄧煥把他發(fā)現(xiàn)的學(xué)校系統(tǒng)漏洞總結(jié)成一份報(bào)告,發(fā)給了系主任。不久后,鄧煥在課堂上被系主任和輔導(dǎo)員“請(qǐng)”了出去。最終鄧煥沒有受到任何處分,相反他得到了可以在學(xué)校網(wǎng)絡(luò)中心辦公室上網(wǎng)的待遇,還順便幫學(xué)校做網(wǎng)絡(luò)維護(hù),之后還代表學(xué)校參加了湖南省的信息安全大賽。
鄧煥代表了一大批白帽子的經(jīng)歷,他們雖然學(xué)習(xí)計(jì)算機(jī)專業(yè),可黑客技術(shù)還都是自學(xué)來的。鄧煥告訴記者,這是因?yàn)閷W(xué)校里教授的知識(shí)偏重于理論,很少涉及黑客技術(shù)方面。事實(shí)上,他還在大一的時(shí)候,就有學(xué)校的老師向他請(qǐng)教問題,到大二時(shí),學(xué)校已經(jīng)為他開了綠燈,他無需再上課,跑到北京來工作,直到畢業(yè)時(shí)回去參加答辯就可以了。
“什么樣的人能夠成為一名出色的白帽子?”面對(duì)這樣的提問,有的白帽子認(rèn)為是要講天賦的,鄧煥則認(rèn)為,相比天賦,興趣更加重要。“研究技術(shù)就是我的游戲,從中獲得的成就感是其他任何事都達(dá)不到的。”鄧煥認(rèn)為,他之所以能成為白帽子當(dāng)中的佼佼者,是因?yàn)樗敢獍汛罅康臅r(shí)間和精力都花在這上面。
現(xiàn)在還沒有大學(xué)畢業(yè)的白帽子鮑宇也認(rèn)同興趣至關(guān)重要的觀點(diǎn)。他告訴記者,他大學(xué)是學(xué)編程的,在他的同學(xué)當(dāng)中,只有他自己對(duì)黑客技術(shù)感興趣,其他人即便偶爾有了興趣,可都是三分鐘熱度,很快就不愿意學(xué)了,所以一個(gè)班上只出了他這么一個(gè)白帽子。
優(yōu)秀女白帽子比大熊貓還稀罕
“在白帽子這個(gè)圈子里,一個(gè)女生的水平高低并不重要,都會(huì)被其他人供起來。”
黑客的世界,一向被認(rèn)為是男人的世界,而白帽子當(dāng)中的女生更是鳳毛麟角。按照鄧煥的說法,補(bǔ)天平臺(tái)上近萬的注冊(cè)白帽子中,他知道的女生只有十幾個(gè),說千里挑一都不夸張。“在這個(gè)圈子里,一個(gè)女生水平高低并不重要,都會(huì)被其他人供起來。如果是技術(shù)又牛,長得又漂亮的女生,那簡(jiǎn)直比大熊貓還珍稀,基本上圈子里沒有人會(huì)不知道。”鄧煥笑著說。
“小惠子”是個(gè)剛剛20歲的女白帽子,還在讀大二的她做白帽子才半年時(shí)間,用她的話說,“隨便碰到一個(gè)白帽子都是我的師父”。當(dāng)被問到為什么會(huì)做白帽子時(shí),小姑娘給出了這樣的回答:“上大學(xué)前很愛玩游戲,后來考上大學(xué)也不知學(xué)什么好,覺得這個(gè)(信息安全)專業(yè)挺好玩的,于是就報(bào)了。”
雖然學(xué)信息安全的女生本就不多,但“小惠子”班上54個(gè)人里還是有14個(gè)女生的,可做白帽子的只有她一個(gè)。“她們都喜歡聊QQ打游戲什么的,只有我覺得挖漏洞還挺好玩。”讓她更得意的是,作為一個(gè)“女白帽子”,她遇到的其他白帽子對(duì)她都很熱情。“班上有男生也想學(xué),可別人都不怎么愿意教他們。”說到這,小姑娘笑得很開心。
“小惠子”和其他記者接觸過的白帽子還有一點(diǎn)不同,那就是其他白帽子雖然專業(yè)技術(shù)很牛,可學(xué)習(xí)成績(jī)普遍一般,而這個(gè)姑娘可是當(dāng)之無愧的“學(xué)霸”。“我覺得做白帽子對(duì)學(xué)習(xí)還是很有幫助的。”
在國內(nèi)安全圈里鼎鼎大名的“碳基體”則是鄧煥口中“技術(shù)牛、長得漂亮”的“大熊貓”級(jí)的女白帽子,雖然她的網(wǎng)絡(luò)ID很難讓人和一位美女聯(lián)想到一起。和“小惠子”這樣的初學(xué)女白帽子備受“寵愛”不同,到了“碳基體”這個(gè)級(jí)別,除了她老公偶爾在人前夸耀“我老婆可是個(gè)黑客”,其他時(shí)候,女性身份根本不會(huì)給她帶來什么便利。
“碳基體”是一家安全企業(yè)的技術(shù)人員,她告訴記者,在她的工作環(huán)境中,人們看重的只有能力和技術(shù)。“我入職面試的時(shí)候,被問的都是技術(shù)問題,答得上來留下,答不上來走人。”和其他女生一樣,“碳基體”也愛逛街打扮,可一旦進(jìn)入工作狀態(tài),“該吼就吼,根本不顧什么形象。”
“碳基體”告訴記者,女性在安全行業(yè)當(dāng)中的人數(shù)雖然少,但是并沒有外界想象中的那么稀罕,而且隨著就業(yè)環(huán)境越來越好,從事這個(gè)行業(yè)的女生也越來越多了。但是她也承認(rèn),很多女生在做過幾年技術(shù)工作后,也會(huì)轉(zhuǎn)到管理崗位上,“不過我是希望一直在技術(shù)一線工作,因?yàn)槲掖_實(shí)喜歡研究技術(shù)。”
收入最高者年入百萬
“網(wǎng)絡(luò)安全事件頻發(fā),信息安全的概念開始深入人心,企業(yè)都開始設(shè)立專門的網(wǎng)絡(luò)安全崗位,這方面的人才一下子成為了稀缺資源。”
白帽子這個(gè)行業(yè)真正火起來,也就是最近兩三年的事情,而最直接的因素就是收入情況的好轉(zhuǎn)。
在三年前,白帽子們掙錢只有幾條道:成立安全公司或者團(tuán)隊(duì),開發(fā)產(chǎn)品,為企業(yè)提供這方面的服務(wù),不過這只限于少數(shù)真正的技術(shù)大牛;接一些網(wǎng)站或者廠商產(chǎn)品眾測(cè)的活兒,不過這種活兒都是臨時(shí)性的;再不就只能做普通的程序員,每月掙四五千元,這些白帽子在網(wǎng)絡(luò)安全方面的特長根本無用武之地。最近幾年,這一情況發(fā)生了極大的改善。一方面,由于網(wǎng)絡(luò)安全事件頻發(fā),信息安全的概念開始深入人心,一些企業(yè)開始設(shè)立專門的網(wǎng)絡(luò)安全崗位,這方面的人才一下子成為了稀缺資源,企業(yè)開出的價(jià)碼也水漲船高,不少白帽子都投身到“豪門”;另外一方面,像補(bǔ)天這樣的漏洞提交平臺(tái)的建立,也給白帽子們創(chuàng)造了一個(gè)平臺(tái),找漏洞不再是義務(wù)勞動(dòng)。
據(jù)了解,如今國內(nèi)頂級(jí)安全人才的年收入可以達(dá)到百萬元水平;高水平的白帽子,加入互聯(lián)網(wǎng)公司的,一年掙個(gè)十幾萬幾十萬也屬平常;即便是那些依舊散兵游勇的白帽子,通過在平臺(tái)上提交漏洞,有的也可以月入數(shù)萬元。
李寅是補(bǔ)天平臺(tái)上收入最高的白帽子。據(jù)他介紹,他平均一個(gè)月在補(bǔ)天上獲得的獎(jiǎng)金在2萬元左右,而最多的時(shí)候,他一個(gè)月就拿到了超過6萬元的獎(jiǎng)金。要知道,補(bǔ)天提交一個(gè)漏洞獲得的獎(jiǎng)金也就幾百元,最多不過一兩千元,可見他每月提交的漏洞數(shù)量有多少。
“最初我找漏洞就純粹是個(gè)人的業(yè)余愛好,后來到補(bǔ)天上發(fā)現(xiàn)既能找漏洞又能提高技術(shù)水平,何樂而不為??!所以我在補(bǔ)天上發(fā)漏洞的積極性就比較高。”李寅對(duì)記者表示,與之前相比,他現(xiàn)在更加注重提交漏洞的質(zhì)量,而不是再一味求數(shù)量,加上目前他正在籌備自己的創(chuàng)業(yè)項(xiàng)目精力有限,現(xiàn)在他在補(bǔ)天上的收入也沒有之前那么高了。
李寅這樣的白帽子畢竟是少數(shù),不過每月能從補(bǔ)天平臺(tái)上拿到幾千元獎(jiǎng)金的白帽子還不在少數(shù)。趙武介紹,目前補(bǔ)天平臺(tái)每月向白帽子們發(fā)放的獎(jiǎng)金和物質(zhì)獎(jiǎng)勵(lì)加起來能有四五十萬元,其中一部分是被發(fā)現(xiàn)漏洞企業(yè)出的獎(jiǎng)金,而大部分還是補(bǔ)天平臺(tái)自己支付的。
收入條件的好轉(zhuǎn),帶來的直接影響就是愿意投身白帽子的人越來越多了。今年7月才大學(xué)畢業(yè)的鮑宇對(duì)記者說,之前他也動(dòng)員過其他同學(xué)來學(xué)習(xí)白帽子技術(shù),可他們都不感興趣。不過當(dāng)別人發(fā)現(xiàn)他簽下的工作收入要明顯高于一般的程序員工作后,還是對(duì)他很羨慕的。“就業(yè)條件好了,現(xiàn)在剛進(jìn)大學(xué)的人對(duì)于做白帽子的興趣就比我那個(gè)時(shí)候更大了,人數(shù)也多了,不像我當(dāng)時(shí)那樣孤軍奮戰(zhàn)了。”鮑宇說道。
來自黑暗的誘惑
“我所接觸過的圈里的前輩都告誡我一定不要觸線,因?yàn)橐坏┳隽撕诋a(chǎn),再想洗白就很難了。”
雖說如今白帽子的收入情況已經(jīng)明顯改善了,但是和做“黑產(chǎn)”的比起來,依然是天壤之別。“有的黑產(chǎn)一天就能掙幾萬元,哪家公司會(huì)給員工開這么高的薪水?”鄧煥說。
那些被白帽子們稱為“黑產(chǎn)”的黑客又是怎么獲得如此驚人的收入呢?鄧煥介紹,黑產(chǎn)們賺錢的方式多種多樣,最普通的就是利用漏洞獲得網(wǎng)站或者系統(tǒng)內(nèi)的用戶資料,出售他人信息以獲利;還有利用獲得的用戶信息,從事詐騙、盜刷信用卡等。例如,補(bǔ)天平臺(tái)上的白帽子就曾經(jīng)發(fā)現(xiàn)了一個(gè)完整的偽基站詐騙鏈條。詐騙者利用偽基站向附近的手機(jī)發(fā)送詐騙短信,詐騙短信的號(hào)碼顯示為中國移動(dòng)的客服號(hào)碼“10086”,短信稱用戶手機(jī)積分已經(jīng)滿足兌換現(xiàn)金禮包的條件,并給出了一個(gè)兌換鏈接;點(diǎn)擊此鏈接,會(huì)進(jìn)入一個(gè)名為“中國移動(dòng)掌上門戶”的網(wǎng)站,并要求用戶提交收款信息,如銀行卡或信用卡的卡號(hào)、密碼、用戶身份證信息、手機(jī)號(hào)碼等。“白帽子”在攻破該網(wǎng)站的服務(wù)器之后發(fā)現(xiàn),這是一個(gè)“釣魚網(wǎng)站”,在這個(gè)釣魚網(wǎng)站的后臺(tái),赫然能夠看到超過400位用戶的詳細(xì)信息,包括用戶姓名、銀行卡或者信用卡號(hào)、開戶行、密碼、身份證、手機(jī)號(hào)碼、信用卡有效期、CVV碼等。在獲取了這些用戶信息之后,詐騙者完全可以利用受騙者的銀行卡、信用卡進(jìn)行轉(zhuǎn)賬或者盜刷。從已經(jīng)超過400人的受騙規(guī)模來看,該釣魚網(wǎng)站的詐騙金額估計(jì)能超過千萬元。
記者在采訪中發(fā)現(xiàn),幾乎每個(gè)水平較高的白帽子,都受到過來自黑產(chǎn)的誘惑。在補(bǔ)天漏洞平臺(tái)上收入最高的李寅,一次挖到了一個(gè)很多門戶網(wǎng)站都在使用的知名程序的漏洞,如果能利用會(huì)帶來很嚴(yán)重的危害。因?yàn)檫@個(gè)漏洞,補(bǔ)天平臺(tái)獎(jiǎng)勵(lì)了他3500元,而這已經(jīng)是大大超過正常漏洞獎(jiǎng)金標(biāo)準(zhǔn)的破例金額了,但是就有黑產(chǎn)開價(jià)數(shù)萬購買這個(gè)漏洞的細(xì)節(jié)。鄧煥更是透露,有黑產(chǎn)許諾幾十萬甚至上百萬的報(bào)酬,雇他去攻破某些網(wǎng)站。“從事這個(gè)行業(yè)的人估計(jì)90%都受到過黑產(chǎn)的各種誘惑。”鄧煥說。
巨額的金錢誘惑,就像潘多拉的魔盒,一旦白帽子抵御不住誘惑,就會(huì)滑入罪惡的深淵。確實(shí)有白帽子禁受不了金錢的引誘加入黑產(chǎn)的陣營,不過大多數(shù)白帽子還是能堅(jiān)守住底線,一方面是因?yàn)榉?,一方面也是因?yàn)榈赖碌募s束。
1991年出生的“小白”也是一位資深的白帽子,但是面對(duì)不是安全圈的朋友,他很少提起自己白帽子的身份。“之前就有一些人知道我是黑客后,讓我?guī)退麄儽I別人的QQ號(hào)。”“小白”從心里很反感這種要求,“我的父母都是老實(shí)本分的農(nóng)民,雖然他們不太清楚我從事的究竟是什么,但從小他們對(duì)我的要求就一句話‘不要做壞事’,這也是我做白帽子的底線。”
“我所接觸過的圈里的前輩都告誡我一定不要觸線,因?yàn)橐坏┳隽撕诋a(chǎn),再想洗白就很難了。”李寅說道。
很多時(shí)候不被理解
“多數(shù)情況下,自己主動(dòng)聯(lián)系漏洞方,對(duì)方都會(huì)懷疑我的目的是不是想要錢。”
在白帽子們看來,自己挖漏洞的行為,一者是興趣使然,另外也是在為網(wǎng)絡(luò)安全做貢獻(xiàn),發(fā)現(xiàn)哪家網(wǎng)站或者哪個(gè)企業(yè)的系統(tǒng)漏洞,可以提醒它們及時(shí)修復(fù),避免被黑產(chǎn)們利用造成損失,然而一個(gè)尷尬的現(xiàn)實(shí)是,被發(fā)現(xiàn)漏洞的企業(yè),往往對(duì)白帽子們的好意抱以懷疑的態(tài)度。
趙武當(dāng)年因?yàn)樵诤诳皖I(lǐng)域的名氣,被華為公司招進(jìn)了全球安全實(shí)驗(yàn)室,成為了華為第一個(gè)從事安全研究的員工。在工作當(dāng)中,趙武用自己研發(fā)的漏洞工具對(duì)系統(tǒng)的安全性進(jìn)行測(cè)試,剛好廣東某運(yùn)營商和華為業(yè)務(wù)聯(lián)系較多,他就順手拿該運(yùn)營商的運(yùn)營系統(tǒng)做了測(cè)試,結(jié)果竟然在該運(yùn)營商的系統(tǒng)中發(fā)現(xiàn)了幾百個(gè)漏洞,這些漏洞涉及計(jì)費(fèi)系統(tǒng)、短信、彩信等業(yè)務(wù)系統(tǒng)。
當(dāng)時(shí)還年輕氣盛的趙武選擇了一種惡作劇的方式提醒該運(yùn)營商注意系統(tǒng)漏洞。他利用該運(yùn)營商的系統(tǒng)漏洞,給當(dāng)時(shí)的運(yùn)營商總經(jīng)理手機(jī)上發(fā)送了一條短信,告訴他自己的身份以及自己發(fā)現(xiàn)的漏洞情況,最絕的是,短信顯示的發(fā)送方居然是運(yùn)營商的黨組書記。
這一下子捅了馬蜂窩,運(yùn)營商馬上找到了華為公司,核實(shí)趙武的身份,并要求他去運(yùn)營商說明情況。在運(yùn)營商的一間會(huì)議室里,趙武向?qū)Ψ降呢?fù)責(zé)人詳細(xì)介紹了自己發(fā)現(xiàn)的漏洞情況。在回去的路上,陪他一起去的華為同事才和趙武交了底,在他講漏洞的辦公室隔壁房間,就等著警方的人員,一旦趙武在對(duì)方面前表露出一點(diǎn)索取好處的意思,警察就會(huì)馬上過來抓人?;蛘弋?dāng)時(shí)運(yùn)營商的人都沒有想到,趙武的用意完全就是善意的提醒。
在像補(bǔ)天這樣的漏洞提交平臺(tái)出現(xiàn)前,白帽子發(fā)現(xiàn)了漏洞,如果想提醒對(duì)方,需要自己寫一份報(bào)告,并主動(dòng)與對(duì)方聯(lián)系?;蛘呤遣幌嘈?,或者是對(duì)白帽子動(dòng)機(jī)的懷疑,表示感謝的只占到少部分。
鄧煥干過更瘋狂的事情,他抱著被特招成為網(wǎng)絡(luò)警察的幻想,居然攻破了當(dāng)?shù)鼐炀值木W(wǎng)站,在向系統(tǒng)中留的聯(lián)系人發(fā)送漏洞報(bào)告后,對(duì)方第一反應(yīng)是懷疑他通過其他方式找到的聯(lián)系方式。
“小白”也說,多數(shù)情況下,自己主動(dòng)聯(lián)系的漏洞方都會(huì)懷疑其目的性,“是不是想要錢?”是被問得最多的。“確實(shí)有人利用漏洞去找企業(yè)要錢,人家也會(huì)想,你費(fèi)那么大勁兒找個(gè)漏洞就是為了提醒一下?可能嗎?”他表示,實(shí)際上白帽子們找漏洞,主要還是為了在實(shí)踐中不斷提高自己的水平。
在補(bǔ)天平臺(tái)成立后,這一局面好了很多,白帽子只需要把漏洞提交給補(bǔ)天,補(bǔ)天會(huì)出面與漏洞方進(jìn)行聯(lián)系。“有的企業(yè)很重視,也會(huì)主動(dòng)注冊(cè)并提供獎(jiǎng)金給發(fā)現(xiàn)者,但也有很多企業(yè)對(duì)系統(tǒng)安全的重視程度很低。”鄧煥表示,經(jīng)常是把漏洞情況反映給他們,卻如石沉大海沒有任何消息。
記者手記
一群簡(jiǎn)單熱情的年輕人
一次在飯桌上,有人向我介紹兩個(gè)新朋友:“他們是特別牛的白帽子!”我當(dāng)時(shí)吃了一驚,這兩個(gè)人和其他80后、90后年輕人看起來沒有任何區(qū)別,完全不是想像中高冷驕傲或者不修邊幅的黑客形象。這兩個(gè)人就是趙武和鄧煥,他們也勾起了我對(duì)白帽子這個(gè)神秘群體的好奇心。
“這些人千奇百怪,個(gè)性都很強(qiáng),但是都不難打交道。”陸續(xù)接觸了十幾個(gè)白帽子后,我認(rèn)同了趙武對(duì)白帽子群體的評(píng)價(jià)。這些人普遍年齡不大,80后已是“老人”,90后已成主力;他們當(dāng)中有的很在意自己的隱私,如小白曾經(jīng)戴著面具接受過央視采訪,一個(gè)年紀(jì)很小的白帽子擔(dān)心記者會(huì)通過手機(jī)對(duì)他進(jìn)行定位;有的不善言辭,說起專業(yè)知識(shí)滔滔不絕,介紹起自己的經(jīng)歷就詞不達(dá)意。但是他們又有一個(gè)共同點(diǎn),那就是簡(jiǎn)單熱情,一旦說服他們接受采訪,都愿意和我分享他們最真實(shí)的生活和經(jīng)歷。