12306的用戶信息泄露漏洞、攜程用戶信息泄露漏洞……頻發的系統漏洞隱患也讓網絡安全問題愈發受到關注。發現這些安全漏洞的,并不是某個人或者某個公司,而是一個被稱為“白帽子”的群體。白帽子屬于黑客,但是又在做著守護光明的事情,他們是網絡世界白與黑的交集。他們都是些什么樣的人?過著怎樣的生活?是否像傳聞中說的那樣動動手指就有大筆收入……記者嘗試走進他們的世界,告訴你白帽子們真實的一面。
白帽子是誰
“換個高大上的說法,白帽子就是網絡安全的守衛者。”
武俠的世界有“兵器譜”,黑客江湖也有自己的榜單,趙武就是在“中國黑客榜中榜”上標名的人物。趙武年輕時干過“荒唐”的事,而現如今他看起來相當沉穩。趙武已過而立,負責著國內最大的漏洞響應平臺補天,這個平臺匯集了近萬名白帽子,趙武是他們的“帶頭大哥”。
“最初是沒有白帽子這個概念的,當時黑客還是一個褒義詞,后來外界對黑客有了誤解,為了和‘黑產’(利用黑客手段獲取非法收入的人)區分開,才有了白帽子的稱謂。”
趙武介紹,白帽子們做的事情,就是找到電腦系統和網站中的漏洞,并將之公布出來,使其在被不法分子利用前被修復。“換個高大上的說法,白帽子就是網絡安全的守衛者。”
在人們想象中,黑客都是在鍵盤上十指舞動如飛、在倒計時讀秒中攻破各種防火墻的世外高人,然而在現實里,白帽子中固然有不少高手,但更多的還是入門級的初學者。
趙武介紹,在他進入網絡安全領域的時候,國內進行這方面研究的人最多只有幾百人,如今隨著工具下載的便利,成為白帽子的門檻已經相當低了,保守估計,國內具備尋找簡單網絡漏洞能力的人,起碼在10萬以上。“只要學會使用漏洞掃描器,你也能當白帽子。”趙武說。
另一位白帽子表達更直接,他認為一個“大學計算機二級未通過”的人要學會找簡單的漏洞只需幾天時間,而想具備一個普通白帽子的水平,“如果有人教只需要三個月”。
趙武認為,現在的白帽子們大體可以分成四個層次:最底層的被稱為“腳本小子”,這些人沒有工具研發能力,只是能夠利用別人寫的腳本去進行攻擊,這部分人占到了白帽子總體的90%以上。第二個層次是有了自己的安全理念、具備代碼審計和安全攻防能力。第三個層次的人不僅有自己的想法,也具備工程化的能力,可以自己開發工具和深入挖掘漏洞,能達到這一層次的國內也就幾百號人。“從技術上講,第三層次其實已經到頭了,再往上,就是從‘術’到‘道’的飛躍,要能夠思考安全的本質,提出完整的安全解決方案。能到這一層次的都是行業精英,國內能有五十個就不錯了。”
如何成為一個白帽子
“白帽子是要講天賦的,但相比天賦,其實興趣更加重要。”
記者采訪了十多位白帽子,這些人絕大部分都是學計算機方面的專業出身,有幾個學的就是最對口的信息安全專業,可毫無例外,他們說起自己成為白帽子的經歷,都用了“自學”的說法。
1990年出生的鄧煥是補天平臺的另一位技術大牛,就連趙武也承認在某些方面鄧煥比自己強。鄧煥的經歷,很好地詮釋了如何能夠成為一名出色的白帽子。
鄧煥最初接觸黑客技術,始于上初中的時候。當時他的同桌買了一本黑客技術方面的雜志,鄧煥隨手翻了翻,竟然一下子被里面的內容吸引了。不久之后,家里買了第一臺電腦,鄧煥開始按照書中教的內容自己摸索搗騰。實際上,記者所采訪的白帽子當中,有好幾個都說自己對黑客技術的興趣是源于此類雜志。
到了高中,鄧煥的黑客功夫已經有了相當火候,他進高中不久就入侵了學校的網站。當時被他經常“禍害”的還有校外的網吧,每次到網吧上網,他都會接管整個網吧的管理權限,不僅讓自己免費上網,還能看到網吧里每一個人所瀏覽的內容,他甚至會在臨走時把全網吧的電腦重啟,然后在一片驚呼聲中揚長而去。
幾乎每個從計算機專業出來的白帽子都干過入侵自己學校系統的事,鄧煥也是如此。他發現在大學里上網還要花錢,于是破解了學校的網絡計費系統,讓自己可以免費上網,之后一不做二不休,干脆把學校里的各個系統都入侵了個遍。鄧煥把他發現的學校系統漏洞總結成一份報告,發給了系主任。不久后,鄧煥在課堂上被系主任和輔導員“請”了出去。最終鄧煥沒有受到任何處分,相反他得到了可以在學校網絡中心辦公室上網的待遇,還順便幫學校做網絡維護,之后還代表學校參加了湖南省的信息安全大賽。
鄧煥代表了一大批白帽子的經歷,他們雖然學習計算機專業,可黑客技術還都是自學來的。鄧煥告訴記者,這是因為學校里教授的知識偏重于理論,很少涉及黑客技術方面。事實上,他還在大一的時候,就有學校的老師向他請教問題,到大二時,學校已經為他開了綠燈,他無需再上課,跑到北京來工作,直到畢業時回去參加答辯就可以了。
“什么樣的人能夠成為一名出色的白帽子?”面對這樣的提問,有的白帽子認為是要講天賦的,鄧煥則認為,相比天賦,興趣更加重要。“研究技術就是我的游戲,從中獲得的成就感是其他任何事都達不到的。”鄧煥認為,他之所以能成為白帽子當中的佼佼者,是因為他愿意把大量的時間和精力都花在這上面。
現在還沒有大學畢業的白帽子鮑宇也認同興趣至關重要的觀點。他告訴記者,他大學是學編程的,在他的同學當中,只有他自己對黑客技術感興趣,其他人即便偶爾有了興趣,可都是三分鐘熱度,很快就不愿意學了,所以一個班上只出了他這么一個白帽子。
優秀女白帽子比大熊貓還稀罕
“在白帽子這個圈子里,一個女生的水平高低并不重要,都會被其他人供起來。”
黑客的世界,一向被認為是男人的世界,而白帽子當中的女生更是鳳毛麟角。按照鄧煥的說法,補天平臺上近萬的注冊白帽子中,他知道的女生只有十幾個,說千里挑一都不夸張。“在這個圈子里,一個女生水平高低并不重要,都會被其他人供起來。如果是技術又牛,長得又漂亮的女生,那簡直比大熊貓還珍稀,基本上圈子里沒有人會不知道。”鄧煥笑著說。
“小惠子”是個剛剛20歲的女白帽子,還在讀大二的她做白帽子才半年時間,用她的話說,“隨便碰到一個白帽子都是我的師父”。當被問到為什么會做白帽子時,小姑娘給出了這樣的回答:“上大學前很愛玩游戲,后來考上大學也不知學什么好,覺得這個(信息安全)專業挺好玩的,于是就報了。”
雖然學信息安全的女生本就不多,但“小惠子”班上54個人里還是有14個女生的,可做白帽子的只有她一個。“她們都喜歡聊QQ打游戲什么的,只有我覺得挖漏洞還挺好玩。”讓她更得意的是,作為一個“女白帽子”,她遇到的其他白帽子對她都很熱情。“班上有男生也想學,可別人都不怎么愿意教他們。”說到這,小姑娘笑得很開心。
“小惠子”和其他記者接觸過的白帽子還有一點不同,那就是其他白帽子雖然專業技術很牛,可學習成績普遍一般,而這個姑娘可是當之無愧的“學霸”。“我覺得做白帽子對學習還是很有幫助的。”
在國內安全圈里鼎鼎大名的“碳基體”則是鄧煥口中“技術牛、長得漂亮”的“大熊貓”級的女白帽子,雖然她的網絡ID很難讓人和一位美女聯想到一起。和“小惠子”這樣的初學女白帽子備受“寵愛”不同,到了“碳基體”這個級別,除了她老公偶爾在人前夸耀“我老婆可是個黑客”,其他時候,女性身份根本不會給她帶來什么便利。
“碳基體”是一家安全企業的技術人員,她告訴記者,在她的工作環境中,人們看重的只有能力和技術。“我入職面試的時候,被問的都是技術問題,答得上來留下,答不上來走人。”和其他女生一樣,“碳基體”也愛逛街打扮,可一旦進入工作狀態,“該吼就吼,根本不顧什么形象。”
“碳基體”告訴記者,女性在安全行業當中的人數雖然少,但是并沒有外界想象中的那么稀罕,而且隨著就業環境越來越好,從事這個行業的女生也越來越多了。但是她也承認,很多女生在做過幾年技術工作后,也會轉到管理崗位上,“不過我是希望一直在技術一線工作,因為我確實喜歡研究技術。”
收入最高者年入百萬
“網絡安全事件頻發,信息安全的概念開始深入人心,企業都開始設立專門的網絡安全崗位,這方面的人才一下子成為了稀缺資源。”
白帽子這個行業真正火起來,也就是最近兩三年的事情,而最直接的因素就是收入情況的好轉。
在三年前,白帽子們掙錢只有幾條道:成立安全公司或者團隊,開發產品,為企業提供這方面的服務,不過這只限于少數真正的技術大牛;接一些網站或者廠商產品眾測的活兒,不過這種活兒都是臨時性的;再不就只能做普通的程序員,每月掙四五千元,這些白帽子在網絡安全方面的特長根本無用武之地。最近幾年,這一情況發生了極大的改善。一方面,由于網絡安全事件頻發,信息安全的概念開始深入人心,一些企業開始設立專門的網絡安全崗位,這方面的人才一下子成為了稀缺資源,企業開出的價碼也水漲船高,不少白帽子都投身到“豪門”;另外一方面,像補天這樣的漏洞提交平臺的建立,也給白帽子們創造了一個平臺,找漏洞不再是義務勞動。
據了解,如今國內頂級安全人才的年收入可以達到百萬元水平;高水平的白帽子,加入互聯網公司的,一年掙個十幾萬幾十萬也屬平常;即便是那些依舊散兵游勇的白帽子,通過在平臺上提交漏洞,有的也可以月入數萬元。
李寅是補天平臺上收入最高的白帽子。據他介紹,他平均一個月在補天上獲得的獎金在2萬元左右,而最多的時候,他一個月就拿到了超過6萬元的獎金。要知道,補天提交一個漏洞獲得的獎金也就幾百元,最多不過一兩千元,可見他每月提交的漏洞數量有多少。
“最初我找漏洞就純粹是個人的業余愛好,后來到補天上發現既能找漏洞又能提高技術水平,何樂而不為啊!所以我在補天上發漏洞的積極性就比較高。”李寅對記者表示,與之前相比,他現在更加注重提交漏洞的質量,而不是再一味求數量,加上目前他正在籌備自己的創業項目精力有限,現在他在補天上的收入也沒有之前那么高了。
李寅這樣的白帽子畢竟是少數,不過每月能從補天平臺上拿到幾千元獎金的白帽子還不在少數。趙武介紹,目前補天平臺每月向白帽子們發放的獎金和物質獎勵加起來能有四五十萬元,其中一部分是被發現漏洞企業出的獎金,而大部分還是補天平臺自己支付的。
收入條件的好轉,帶來的直接影響就是愿意投身白帽子的人越來越多了。今年7月才大學畢業的鮑宇對記者說,之前他也動員過其他同學來學習白帽子技術,可他們都不感興趣。不過當別人發現他簽下的工作收入要明顯高于一般的程序員工作后,還是對他很羨慕的。“就業條件好了,現在剛進大學的人對于做白帽子的興趣就比我那個時候更大了,人數也多了,不像我當時那樣孤軍奮戰了。”鮑宇說道。
來自黑暗的誘惑
“我所接觸過的圈里的前輩都告誡我一定不要觸線,因為一旦做了黑產,再想洗白就很難了。”
雖說如今白帽子的收入情況已經明顯改善了,但是和做“黑產”的比起來,依然是天壤之別。“有的黑產一天就能掙幾萬元,哪家公司會給員工開這么高的薪水?”鄧煥說。
那些被白帽子們稱為“黑產”的黑客又是怎么獲得如此驚人的收入呢?鄧煥介紹,黑產們賺錢的方式多種多樣,最普通的就是利用漏洞獲得網站或者系統內的用戶資料,出售他人信息以獲利;還有利用獲得的用戶信息,從事詐騙、盜刷信用卡等。例如,補天平臺上的白帽子就曾經發現了一個完整的偽基站詐騙鏈條。詐騙者利用偽基站向附近的手機發送詐騙短信,詐騙短信的號碼顯示為中國移動的客服號碼“10086”,短信稱用戶手機積分已經滿足兌換現金禮包的條件,并給出了一個兌換鏈接;點擊此鏈接,會進入一個名為“中國移動掌上門戶”的網站,并要求用戶提交收款信息,如銀行卡或信用卡的卡號、密碼、用戶身份證信息、手機號碼等。“白帽子”在攻破該網站的服務器之后發現,這是一個“釣魚網站”,在這個釣魚網站的后臺,赫然能夠看到超過400位用戶的詳細信息,包括用戶姓名、銀行卡或者信用卡號、開戶行、密碼、身份證、手機號碼、信用卡有效期、CVV碼等。在獲取了這些用戶信息之后,詐騙者完全可以利用受騙者的銀行卡、信用卡進行轉賬或者盜刷。從已經超過400人的受騙規模來看,該釣魚網站的詐騙金額估計能超過千萬元。
記者在采訪中發現,幾乎每個水平較高的白帽子,都受到過來自黑產的誘惑。在補天漏洞平臺上收入最高的李寅,一次挖到了一個很多門戶網站都在使用的知名程序的漏洞,如果能利用會帶來很嚴重的危害。因為這個漏洞,補天平臺獎勵了他3500元,而這已經是大大超過正常漏洞獎金標準的破例金額了,但是就有黑產開價數萬購買這個漏洞的細節。鄧煥更是透露,有黑產許諾幾十萬甚至上百萬的報酬,雇他去攻破某些網站。“從事這個行業的人估計90%都受到過黑產的各種誘惑。”鄧煥說。
巨額的金錢誘惑,就像潘多拉的魔盒,一旦白帽子抵御不住誘惑,就會滑入罪惡的深淵。確實有白帽子禁受不了金錢的引誘加入黑產的陣營,不過大多數白帽子還是能堅守住底線,一方面是因為法律,一方面也是因為道德的約束。
1991年出生的“小白”也是一位資深的白帽子,但是面對不是安全圈的朋友,他很少提起自己白帽子的身份。“之前就有一些人知道我是黑客后,讓我幫他們盜別人的QQ號。”“小白”從心里很反感這種要求,“我的父母都是老實本分的農民,雖然他們不太清楚我從事的究竟是什么,但從小他們對我的要求就一句話‘不要做壞事’,這也是我做白帽子的底線。”
“我所接觸過的圈里的前輩都告誡我一定不要觸線,因為一旦做了黑產,再想洗白就很難了。”李寅說道。
很多時候不被理解
“多數情況下,自己主動聯系漏洞方,對方都會懷疑我的目的是不是想要錢。”
在白帽子們看來,自己挖漏洞的行為,一者是興趣使然,另外也是在為網絡安全做貢獻,發現哪家網站或者哪個企業的系統漏洞,可以提醒它們及時修復,避免被黑產們利用造成損失,然而一個尷尬的現實是,被發現漏洞的企業,往往對白帽子們的好意抱以懷疑的態度。
趙武當年因為在黑客領域的名氣,被華為公司招進了全球安全實驗室,成為了華為第一個從事安全研究的員工。在工作當中,趙武用自己研發的漏洞工具對系統的安全性進行測試,剛好廣東某運營商和華為業務聯系較多,他就順手拿該運營商的運營系統做了測試,結果竟然在該運營商的系統中發現了幾百個漏洞,這些漏洞涉及計費系統、短信、彩信等業務系統。
當時還年輕氣盛的趙武選擇了一種惡作劇的方式提醒該運營商注意系統漏洞。他利用該運營商的系統漏洞,給當時的運營商總經理手機上發送了一條短信,告訴他自己的身份以及自己發現的漏洞情況,最絕的是,短信顯示的發送方居然是運營商的黨組書記。
這一下子捅了馬蜂窩,運營商馬上找到了華為公司,核實趙武的身份,并要求他去運營商說明情況。在運營商的一間會議室里,趙武向對方的負責人詳細介紹了自己發現的漏洞情況。在回去的路上,陪他一起去的華為同事才和趙武交了底,在他講漏洞的辦公室隔壁房間,就等著警方的人員,一旦趙武在對方面前表露出一點索取好處的意思,警察就會馬上過來抓人。或者當時運營商的人都沒有想到,趙武的用意完全就是善意的提醒。
在像補天這樣的漏洞提交平臺出現前,白帽子發現了漏洞,如果想提醒對方,需要自己寫一份報告,并主動與對方聯系。或者是不相信,或者是對白帽子動機的懷疑,表示感謝的只占到少部分。
鄧煥干過更瘋狂的事情,他抱著被特招成為網絡警察的幻想,居然攻破了當地警察局的網站,在向系統中留的聯系人發送漏洞報告后,對方第一反應是懷疑他通過其他方式找到的聯系方式。
“小白”也說,多數情況下,自己主動聯系的漏洞方都會懷疑其目的性,“是不是想要錢?”是被問得最多的。“確實有人利用漏洞去找企業要錢,人家也會想,你費那么大勁兒找個漏洞就是為了提醒一下?可能嗎?”他表示,實際上白帽子們找漏洞,主要還是為了在實踐中不斷提高自己的水平。
在補天平臺成立后,這一局面好了很多,白帽子只需要把漏洞提交給補天,補天會出面與漏洞方進行聯系。“有的企業很重視,也會主動注冊并提供獎金給發現者,但也有很多企業對系統安全的重視程度很低。”鄧煥表示,經常是把漏洞情況反映給他們,卻如石沉大海沒有任何消息。
記者手記
一群簡單熱情的年輕人
一次在飯桌上,有人向我介紹兩個新朋友:“他們是特別牛的白帽子!”我當時吃了一驚,這兩個人和其他80后、90后年輕人看起來沒有任何區別,完全不是想像中高冷驕傲或者不修邊幅的黑客形象。這兩個人就是趙武和鄧煥,他們也勾起了我對白帽子這個神秘群體的好奇心。
“這些人千奇百怪,個性都很強,但是都不難打交道。”陸續接觸了十幾個白帽子后,我認同了趙武對白帽子群體的評價。這些人普遍年齡不大,80后已是“老人”,90后已成主力;他們當中有的很在意自己的隱私,如小白曾經戴著面具接受過央視采訪,一個年紀很小的白帽子擔心記者會通過手機對他進行定位;有的不善言辭,說起專業知識滔滔不絕,介紹起自己的經歷就詞不達意。但是他們又有一個共同點,那就是簡單熱情,一旦說服他們接受采訪,都愿意和我分享他們最真實的生活和經歷。