在信息安全領域中，所有研究智取計算機安全系統的人員統稱黑客。但在黑客的世界里，又有“正”與“邪”兩個陣營，分別是以破壞網絡安全來獲取個人利益的“黑帽子”和維護網絡安全的“白帽子”。

22歲的張瑞冬創建的“白帽子”團隊，長期居漏洞查找排行榜首位。一次次漏洞曝光，奠定了張瑞冬團隊在圈內的“牛人”地位。

近日，《每日經濟新聞》記者（以下簡稱NBD）在成都專訪了這名年輕的黑客。在張瑞冬看來，“白帽子”們最大的優勢，就是通過模擬惡意黑客的攻擊方法，監測網絡系統的實際安全性，提前發現漏洞或缺陷，并進行必要的修補。

自學成才的“白帽子”

NBD：能談談您的“白帽子”成長史嗎？

張瑞冬：我可能不是鉆研程序和代碼的“黑客男”，玩的更多是邏輯性的東西。13歲去銀行取錢時，我發現ATM機的程序有一個邏輯漏洞，可以讓人取錢以后銀行卡的余額不改變。

比如，取1000元，我拿走其中9張留1張，90秒以后系統會顯示超時并把這一張收回去，但系統在收回去的過程中是沒有做點鈔機制的，顯示的余額沒有減少。這就是典型的業務邏輯漏洞，后來我幫助銀行解決了這個問題。

NBD：“白帽子”們往往非常年輕，而且大多都不是學計算機的，您怎么理解這一現象？

張瑞冬：的確如此，以我們團隊為例，10多個人中，只有兩人有大學以上學歷，一個是生物學博士，一個是物理碩士。其余人基本是初中、高中學歷，我自己只有初中文憑。據我了解，BAT的安全部門中有一半的技術人員都沒有大學文憑。

我們這群人大多從小就對電腦網絡感興趣，通過閱讀相關書籍和大量的實踐與思考自學成才。高校里的網絡安全培養方式理論性太強，而且往往是正向思維，缺乏用攻擊思維來防守的實踐課程。

NBD：您怎樣理解黑客從事網絡安全的特點？

張瑞冬：傳統的安全產品，是用防御類設備對抗攻擊設備，但畢竟設備的匹配規則是死的，攻擊者可以繞過設備。所以，傳統的設備已經攔不住攻擊者。

我們這群“白帽子”黑客非常熟悉“黑帽子”的行為，可以完全模擬“黑帽子”的行為，找到脆弱點，然后提出一套完整的修補建議，漏洞修補后再測試。

用戶安全意識差

NBD：人們一提到黑客就會聯想到網絡破壞，這種誤解會對網絡安全人才隊伍的發展產生不利影響嗎？

張瑞冬：公眾對黑客的理解確實有些誤解，黑客本身不是一個負面形象。在我看來，黑客就是對技術的極致追求，發現問題、質疑權威、充滿好奇。我喜歡鉆研邏輯問題，想刨根問底研究系統中有沒有邏輯漏洞，這就是黑客思維。黑客這個稱號是對技術的極大肯定，我非常樂意別人叫我黑客。

事實上，黑客群體中的網絡安全高手輩出，高校里的培養方式實用性不夠強。我們團隊曾做過幾次實踐類型的安全培訓，白天在烏云網上找一些漏洞案例來講解，晚上帶大家實戰。但這些實戰也不是真正去黑別人，我們寫一套系統，導師帶著學員學習攻擊手段。

不過，后來這個課程被叫停了，理由是涉及“黑客教程”。所以，這是一個悖論，一方面國家的網絡安全行業缺乏“白帽子”人才；另一方面黑客的社會身份又很尷尬。

NBD：我國接入互聯網逾20年，網絡安全與互聯網發展的程度似乎并不匹配，您認為網絡安全行業最薄弱的環節是什么？

張瑞冬：我認為最薄弱的環節還是用戶安全意識太薄弱。我們經常處理一些應急事故，發現真正高難度入侵行為是很少的，導致事故頻發的原因是，用戶密碼設置太簡單或者是操作失誤。

我曾幫一家上市公司做網站安全測試，他們的系統很安全，測了半天也沒有找到問題。后來我發現該公司有內部交流的QQ群，點擊加入，立馬就把我放進去了。進去后，我發現群共享里有個文件夾，文件夾的名字叫公司各種系統密碼。就這樣簡單，我輕易獲得該公司系統密碼。這是很普遍的問題，互聯網用戶的安全意識薄弱，對安全的管控能力比較差。

張瑞冬：我認為最薄弱的環節還是用戶安全意識太薄弱。這是很普遍的問題，互聯網用戶的安全意識薄弱，對安全的管控能力比較差。