“白帽”黑客黃正。
20世紀90年代后,隨著計算機技術的發展,黑客群體逐漸被區分為“白帽子”和“黑帽子”,前者發現網絡漏洞后,提出修改方案維護網絡安全,后者則利用網絡漏洞牟利。Tyy和黃正便是黑客群體里的“白帽子”。
不久前在一項“白帽”黑客的競賽中,畢業于浙江大學計算機專業的“Tyy”利用漏洞獲取了評委的共享單車賬號、余額、騎行記錄等隱私信息,還通過場外連線,成功讓評委瞬間“穿越”到了上海街頭騎車。另一位“白帽”黑客黃正則利用門鎖通信協議漏洞,獲得了智能門鎖的開鎖密碼。Tyy和黃正告訴記者,在發現漏洞后,他們會立刻提交給廠商,而此次共享單車和智能鎖的漏洞,他們在賽前就已通知了廠商。
充滿神秘色彩的“白帽”黑客到底過著怎樣的生活?近日,廣州日報記者對他們進行了專訪。
科班出身的白帽黑客并不占多數,“江湖”上流傳著不少少年天才甚至小學生黑客的傳說,大學就讀于西安電子科技大學微電子專業的黃正就是其中一員。
來自鄉鎮的游戲少年
晚上下班后,烏泱泱的人群擠進北京西二旗地鐵站。這些人裝扮各異,有的背著雙肩包、衣著樸素,有的還穿著人字拖。戴著眼鏡長相斯文的黃正從人群中冒了出來。他目前是百度安全實驗室 “X-Team” 團隊的負責人,也是微軟 “MSRC Top 100”榜單排名第8的白帽子。“白帽子”,就是“白帽”黑客。
黃正出生于湖南郴州,童年的記憶里,滿是散著植物香氣的田野和低頭吃草的老牛。幼時,好好讀書,離開鄉土,到城里找個好工作便是父母對他的全部期望。黃正學習很努力,盡管那時他并不羨慕父母眼中的好工作。
初中,黃正來到縣城開始了寄宿生活。在縣城接觸到網絡的黃正一下子被這個虛擬世界給迷住了。觸手可及的海量信息,新鮮有趣的網絡游戲,他一頭撲進了網絡世界。下課或者周末放假,黃正都會準時出現在網吧,為此,他常常和寢室檢查員斗智斗勇。
盡管如此,但黃正依然常拿年級第一,這讓知道他沉迷游戲的老師也無可奈何。初三的一天,黃正到了網吧點開游戲,以為能如往常一樣刷裝備升級,但一登錄黃正就發現,他的賬號被盜了,游戲裝備全被洗劫一空!一瞬間黃正變得無比沮喪,辛辛苦苦練級、刷裝備最后卻一無所有,他感覺自己在游戲里成了一個裸身的人,這讓他開始抗拒玩游戲。
直至如今,黃正還會開玩笑地說,建議家長在電腦上裝一個鍵盤記錄軟件,盜走孩子的游戲賬號,以戒除孩子的游戲癮。
黃正在破解智能門鎖。
黑客不存在天才一說
不再玩游戲的黃正開始轉移自己的注意力,賬號被盜的痛苦讓他關注起了黑客。一次,去逛書店時黃正留意到了一本黑客類雜志,即使那時候的他并不明白代碼是什么,甚至很多文章壓根看不懂,但對新知識的渴望讓黃正攢下了每一期雜志,這習慣一直持續到了大學。
上了高中,黃正依舊常會去網吧,不過他可不是去玩游戲。通過看雜志,黃正開始學習利用黑客工具,實踐雜志上提到的技術。不久,還不到18歲的黃正儼然已是一個小黑客,他甚至覺得雜志上的內容對他而言已沒有什么技術含量。
盡管在小縣城里,懂得寫代碼的黃正是一個異類,但直到如今,黃正依然覺得黑客領域出現“少年天才”并不稀奇,因為Web漏洞“門檻非常低”,“假如我們去培養一個十歲的小孩子,一周內就能讓他學會編程,兩周內就能夠上手,入門真的很簡單,不存在天才不天才一說。”
他掌握了“超能力”
在渴望用技術冒險的高中生黃正心里,原本大學信息安全專業是一個不錯的選擇,然而,高考前夕,黃正在雜志上看到一個新聞——“熊貓燒香”電腦病毒制造者李俊在武漢落網。對“熊貓燒香”病毒,他曾經不無好奇,但現在,黃正有些心驚。他第一次意識到,做“黑帽子”黑客有風險,保不準有一天會失業或者被抓。
黃正開始有了新的想法——學習微電子。他設想得很美好:電腦的核心部件是芯片通過微電子、集成電路制作而成,如果選擇微電子專業,就可以學習到制造計算機的核心技術,他依然可以學習到高精尖的技術。
然而上大學之后,一次學院老師來做講座,分享他們的最新研究成果——他們造出了一種半導體器件,提高了LED燈的光電轉化效率,并達到世界頂尖水平。這讓黃正開始懷疑自己的專業選擇,他原本想要造的是電腦的核心處理器,而不是LED燈。對技術的渴望讓黃正再次開始自學黑客技術。
撿起了自己的老本行,技術狂黃正再一次讓同學們刮目相看。黃正有時甚至還會用自己的技術“造福”同學。當時的他已掌握了學校教務系統的漏洞,能夠破解教師賬號、登錄教務系統,因此他能夠提前看到同學的考試分數,這對期末考試后人心惶惶的同學來說,不啻為天大的福音。
甚至只要他愿意,他還能修改分數。黃正心里知道,自己已經掌握了“超能力”,能夠隨心所欲地打破網絡的護盾。但他最后還是忍住了,并沒有對學校的教務系統做任何修改。
如今,黃正提起當年的事依然會有后怕,“萬一學校追責了呢?”
一個月挖出10個微軟漏洞
大三暑假,黃正進入百度實習。原本只熟悉腳本、Web系統的他意識到,若要進入安全行業,自己便需要轉型,要學新的編程語言,了解殺毒軟件、Windows內核。有兩個月,黃正沒有去上過課,從早上8時到晚上11時,甚至通宵,他都在學習編程、看代碼,學習到了走火入魔的狀態。
順利進入百度后,黃正主要負責檢測掛馬網頁,屏蔽掛有木馬可能會導致用戶電腦中毒的網頁。他要利用公司有限的服務器和帶寬,在有限的時間內檢測完幾億個甚至是十幾億個網頁,還要保證檢出率。
如今,黃正喜歡和下屬說“不革自己的命,你可能永遠都不知道自己有多牛”。2014年,喜歡挑戰新事物的黃正又逼了自己一把,他從安全開發轉到去做安全研究,做漏洞挖掘,這對從小做著黑客夢的黃正來說,充滿魅力。
然而,最初工作并不順利。黃正半年里只找到一個漏洞。這讓他很挫敗,有時下了班回家之后他依然會找資料學習,不停的實踐讓他進步很快,之后一個月內,他便挖掘出了10個微軟的漏洞,而這些漏洞可能導致用戶計算機被控制。如今在漏洞挖掘領域,黃正已經罕有敵手,在2016年微軟的“MSRC Top100”黑客貢獻榜上,黃正位列中國第一。
不僅逼自己,黃正還逼自己的女友,讓女朋友和自己一樣也成為白帽黑客。
于是每天晚上,兩人便開始線上教學,學C語言、PHP、Sql注入……經過努力,七八個月后,女朋友便順利地在北京找到了一份與網絡安全相關的工作。但喜愛“逼自己一把”的黃正還覺得女朋友學得不夠快,“如果是一個真正想轉型、改變自己生活的人,一個月就能搞定。”
他從來不用殺毒軟件
工作之外,黃正并非是個邋里邋遢的程序員。他買了幾個鏡頭,認真學習攝影,誓要給女朋友拍出美照。他也養鳥、養魚、種花種草,對每一株花草,他都拿出挖漏洞的精神,弄清楚花草病蟲害的原因。
做了多年安全開發工程師,黃正養成了很多習慣,不同的網站用不同的密碼,及時更新系統。他也不用安全軟件和殺毒軟件,自己測試電腦安全與否。對于如今十分火熱的智能家居,黃正也很謹慎,“見過了太多的智能家居存在安全問題,要用也是用我自己開發的”。
黃正能做到的,就是在自己的領域將網絡安全做到最好,做到“用戶感知不到網絡護盾的存在”。“我希望我的團隊除了處理瀏覽器、操作系統的漏洞,還能處理別的漏洞,就像這次我們發現智能鎖的漏洞一樣。在未來其他場景下,需要我們的時候我們也能派上用場。”
京公網安備 11010502049343號