在誘惑前轉(zhuǎn)身 白帽黑客的黑白人生
5月12日,澳門,知名安全團(tuán)隊(duì)KEEN主辦的黑客大賽GeekPwn(極棒大賽)正在進(jìn)行,這是黑客界的“星光大道”。穿梭往來的游客們一定不會(huì)想到,身邊匆匆走過的T恤牛仔褲男子,完全有能力通過技術(shù)手段完成電影中入侵系統(tǒng)的橋段,迅速破解系統(tǒng)密碼,甚至劫持幾臺(tái)機(jī)器,只要這些機(jī)器都接入在互聯(lián)網(wǎng)環(huán)境下。
可惜,賭場對(duì)于他們中的絕大多數(shù)人都毫無吸引力,他們尋求的刺激,并不是運(yùn)氣帶來的財(cái)富,而是依靠嚴(yán)密的邏輯和計(jì)算能力,用一行行枯燥至極的代碼,換取而來的攻防刺激,直至屏幕上出現(xiàn)“Pwned”。Pwned這個(gè)單詞翻譯成中文,一般指“攻破設(shè)備或系統(tǒng)”。每當(dāng)它出現(xiàn)在屏幕上,一般都預(yù)示著豐厚的獎(jiǎng)金和技術(shù)上的成就。
1、大牛蛙拋出的問題
“你們是誰,你們黑什么,你們?yōu)槭裁匆?”
可大牛蛙卻對(duì)這些刺激感到了厭倦,“我就是稍微有點(diǎn)厭倦了,所以我現(xiàn)在做公司了。”
大牛蛙本名王琦,4年前,他從微軟出走創(chuàng)立KEEN團(tuán)隊(duì),這個(gè)團(tuán)隊(duì)曾在全世界最著名、獎(jiǎng)金最豐厚的黑客大賽Pwn2Own上連續(xù)三年獲得五個(gè)冠軍。
不過,在極棒大賽的第三個(gè)年頭,他少了點(diǎn)興奮,整個(gè)人也變得更加“深沉了”。
“能黑的都黑完了,還有什么看頭呢?”王琦說。在前兩屆比賽中,涌現(xiàn)出了100多個(gè)選手,這些黑客們已經(jīng)把能玩的都玩了。他們破解過特斯拉,“劫持”過無人機(jī),甚至為了讓比賽更酷一點(diǎn),他們還想出過選手上廁所需要破解密碼的招數(shù)。不少選手通過參賽,贏得了豐厚的獎(jiǎng)金,也在行業(yè)中嶄露頭角。
這一次,他準(zhǔn)備把黑客的終極哲學(xué)問題拋給參賽選手們。“你們是誰,你們黑什么,你們?yōu)槭裁匆?”他當(dāng)然清楚地知道自己設(shè)置比賽的初衷,每每問起他,回答都是一致的“給他們?cè)黾狱c(diǎn)收入”。
黑客缺錢嗎?恐怕要看黑客選擇了哪條道路。騰訊安全平臺(tái)部總經(jīng)理?xiàng)钣卤硎荆?ldquo;當(dāng)你進(jìn)入這個(gè)行業(yè),第一就是誘惑很多,很容易走偏門,因?yàn)閽赍X也快;當(dāng)你炫技時(shí)很容易得到別人的矚目,有些時(shí)候你就沉迷在里面了。”可更多的人選擇“不作惡”,所以比賽是增加收入的不錯(cuò)選擇。例如今年的比賽,總獎(jiǎng)金100萬,最大的贏家團(tuán)隊(duì)就拿走了42萬元總獎(jiǎng)金,還有數(shù)個(gè)10萬以上的單項(xiàng)獎(jiǎng)金。與在一些安全平臺(tái)上提交一個(gè)漏洞獲得的獎(jiǎng)金不過幾十幾百元來比,這筆獎(jiǎng)金絕對(duì)算得上是巨額收入了。
2、“白帽”與“黑帽”的分界嶺
比天才更可貴的,是做一個(gè)“好人”
“并不是說白帽黑客就有多高尚,只是我們不愿意干壞事。” 王琦承認(rèn),心里“白帽”與“黑帽”的分界嶺,并非只是正義感和道德感。“他只要用他發(fā)現(xiàn)的安全成果去幫助廠商,幫助我們消滅問題、解決問題,我們都稱之為‘白帽’。如果說他拿的東西我們都不知道,可能這會(huì)兒他正在做壞事,那就是‘黑帽’。”
王琦一直在尋找天才,他希望能讓那些現(xiàn)在還默默無聞的選手通過比賽展現(xiàn)出才華,他希望能通過比賽激發(fā)出選手的創(chuàng)新思維,給廠商帶來安全提示。但比天才更可貴的,是一個(gè)“好人”。對(duì)黑客而言,那就是用一頂白帽以示區(qū)分,能在光明和黑暗中,小心地堅(jiān)守著底線。
既然這樣,為什么要黑?只有兩個(gè)字,就是“熱愛”。所以,他們搭臺(tái),請(qǐng)選手來唱戲。即使興奮感少了一些,王琦和他的團(tuán)隊(duì)依舊在鼓勵(lì)選手們打開腦洞,突破創(chuàng)新的限制。也正因?yàn)榇耍诮衲甑臉O棒比賽上,我們看到了一秒破解微軟Surface Pro4,將智能保險(xiǎn)箱徹底玩壞變成鬧鐘,一口氣攻破十大知名品牌路由器這些全新的“刺激”。在這些漂亮的炫技背后,我們也終于近距離接觸了這群掌握著黑客的力量,卻不愿利用技術(shù)“去砸別人家玻璃”的人。
3、腦洞大開的TCP項(xiàng)目
古董級(jí)別的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議,被挖掘出如此重量級(jí)的漏洞
“今年的TCP項(xiàng)目我覺得是腦洞比較大開的,因?yàn)榇蠹叶颊J(rèn)為已經(jīng)過去這么多年了,應(yīng)該不會(huì)存在問題,也沒有人證明過它有問題,質(zhì)疑過它。但他們居然去質(zhì)疑它,并且在他們的實(shí)驗(yàn)環(huán)境下,甚至在今天早上他們還成功。”王琦口中的TCP項(xiàng)目指的是“遠(yuǎn)程任意TCP劫持連接技術(shù)。”
外行看熱鬧,內(nèi)行看門道。早在1990年代互聯(lián)網(wǎng)發(fā)展早期,被稱為世界頭號(hào)黑客的凱文·米特尼克利用當(dāng)時(shí)還不完善的TCP協(xié)議實(shí)施了“任意互聯(lián)網(wǎng)會(huì)話劫持技術(shù)”并一舉成名。而如今,TCP作為已經(jīng)不斷完善的古董級(jí)別的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議,從中挖掘出如此重量級(jí)的漏洞,無疑對(duì)世界的信息安全研究都有著重大的參考意義。而這項(xiàng)技術(shù)的展示者,是來自美國加州大學(xué)的博士生曹躍。
曹躍在現(xiàn)場演示的“魔術(shù)”無疑是殺傷力極大的——攻擊者在獲知世界任意一地方受害者的IP地址后,即可能遠(yuǎn)程劫持其通訊。雖然由于現(xiàn)場所處網(wǎng)絡(luò)環(huán)境的限制問題演示過程一波三折,但最終受害者的電腦顯示屏上瀏覽的新聞網(wǎng)頁在受到劫持后彈出了一個(gè)虛假的登錄頁面。按提示輸入賬號(hào)及密碼之后,相同的內(nèi)容便出現(xiàn)在了攻擊者曹躍的電腦上。該技術(shù)意味著互聯(lián)網(wǎng)上幾乎所有的安卓和Linux系統(tǒng),都可以在任意時(shí)間、任意位置被攻擊,被劫持通訊。與木馬、釣魚、欺詐不同的是,受害者沒有犯任何錯(cuò)誤——就無辜地淪為了攻擊者的羔羊。
這樣的演示讓業(yè)內(nèi)人士興奮不已。TCP協(xié)議被稱之為當(dāng)今互聯(lián)網(wǎng)的基石,而TCP連接的不可預(yù)測性更可稱之為互聯(lián)網(wǎng)的安全基石之一。曹躍團(tuán)隊(duì)展示的“魔術(shù)”正是打破了TCP連接的不可預(yù)測性神話。
“GeekPwn(極棒)是非常年輕有朝氣的平臺(tái),在華人圈里名望很高,并且和我們的極客價(jià)值觀非常吻合。”據(jù)曹躍介紹,這項(xiàng)研究成果來自加州大學(xué)Riverside分校的信息安全研究團(tuán)隊(duì),指導(dǎo)老師錢志云是現(xiàn)代TCP安全方面的專家,而這個(gè)漏洞,是他在飛機(jī)上審閱Linux內(nèi)核代碼時(shí)挖到的。
4、唯一的女選手
非科班出身的她,攻擊手段完全是自學(xué)的
跟曹躍一樣單槍匹馬來挑戰(zhàn)的,還有本次比賽唯一的女性選手賈云。
“他們都是黑客團(tuán)伙兒,只有我和TCP的選手曹躍是一個(gè)人參加比賽的。我跟他們比起來,就是個(gè)菜鳥。”1989年出生的賈云畢業(yè)于中國化工大學(xué),所學(xué)專業(yè)為高分子材料。作為黑客比賽中少有的女性選手,外表清秀的她總讓人忍不住多看幾眼。她將攻擊目標(biāo)鎖定為智能家居,攻破了巢控智能遙控器,凡是可以通過紅外遙控器控制的家電都可以被劫持。令人意想不到的是,非科班出身的她,此次演示的攻擊手段,完全是通過視頻自學(xué)的。
賈云對(duì)北京晨報(bào)記者表示,她購買的智能遙控器在使用的過程中存在閃退等問題。于是她便上網(wǎng)尋找解決辦法,在這個(gè)過程中發(fā)現(xiàn)了智能遙控器存在的漏洞。“基本的思路是通過相關(guān)的視頻找到的,但我在編程方面的基本功比較弱,為此還看了好幾節(jié)公開課惡補(bǔ)。”對(duì)賈云來說,參加比賽所帶來的成就感遠(yuǎn)高于所獲得的獎(jiǎng)金。“我發(fā)現(xiàn)我對(duì)這方面挺感興趣。半路出家,是不是也不晚?”
5、16歲的“小鮮肉”
牙套男孩劫持無人機(jī)控制權(quán)
來自鄭州的王丙坤和劉杰煒今年都是16歲,他們戴著牙套,由父母陪著來參加比賽,接受采訪時(shí)最常說的話是:“剛才那位哥哥很厲害。”可到了臺(tái)上,他們又變得像個(gè)大人,現(xiàn)場演示如何劫持無人機(jī)控制權(quán)。這也是極棒大賽舉辦以來年紀(jì)最小的參賽選手了。
王丙坤來自鄭州七中,愛好電腦、航模、無人機(jī),拿過航模比賽全國第二名,還是國家二級(jí)運(yùn)動(dòng)員。他每天保持著嚴(yán)格的作息規(guī)律,6點(diǎn)起床,23點(diǎn)睡覺,不熬夜,事情多時(shí)就學(xué)會(huì)擠時(shí)間。“學(xué)校電視臺(tái)、社團(tuán)、錄音棚都有我的身影,但我的成績卻不降反升”。他跟劉杰煒小學(xué)、初中都同班,到高中分開了,卻依然愛往一起湊。劉杰煒通過烏云平臺(tái)知道了此次比賽的消息,兩位“小鮮肉”合計(jì)了一下,決定參賽。
父母都支持他們的決定,本著帶孩子見見世面的原則,操辦好了一切。倆孩子也沒什么心理壓力:“要是成功了簡歷中還多了一筆經(jīng)歷,對(duì)我申請(qǐng)學(xué)校有好處。”王丙坤對(duì)北京晨報(bào)記者表示,他正準(zhǔn)備申請(qǐng)美國的大學(xué),系統(tǒng)地學(xué)習(xí)無人機(jī)專業(yè)。
“我們本想來參加比賽試試水,來了才知道水深得看不見??墒强吹竭@么多大神,還是很興奮。”劉杰煒在采訪中話不多,因?yàn)樗恢痹诩m結(jié)要怎么修改他的項(xiàng)目說明書,可談起比賽現(xiàn)場的黑客們,他的眼睛一下子亮了。“我一直以為黑客們都是戴個(gè)眼鏡抱個(gè)電腦,打幾行字電腦就都黑屏了。今天發(fā)現(xiàn)他們都挺帥的,我以后也得注意點(diǎn)形象,把自己收拾干凈點(diǎn)。”
更令他們觸動(dòng)的是精神層面。“昨天有幾個(gè)哥哥為了測試程序從下午5點(diǎn)一直忙到11點(diǎn),他們的思路令人耳目一新,基本功也都特別扎實(shí)。”劉杰煒表示,自己平時(shí)有些偏科,這次來除了學(xué)習(xí)到思路和技巧外,也明白了堅(jiān)持的重要性。
事實(shí)上,“小鮮肉”們演示的“劫持”無人機(jī)項(xiàng)目雖然炫目,但技術(shù)難度并不高。但即便如此,他們還是令現(xiàn)場的“老江湖”都興奮不已。評(píng)委“老鷹”為他們捧上了“極客精神獎(jiǎng)”獎(jiǎng)杯時(shí)表示:“很高興看到這么年輕的小鮮肉。在無人機(jī)演示時(shí),我們看到了他們的創(chuàng)意和嘗鮮的勇氣,這是值得所有選手期待的,希望未來能尋找到更多的小鮮肉。”
6、黑客的轉(zhuǎn)身
現(xiàn)在成了各大公司的安全掌門人
這兩位“小鮮肉”并不知道,為他們頒獎(jiǎng)的“老鷹”就是被媒體稱為“黑客教父”的萬濤。
1990年代,在北方交通大學(xué)的機(jī)房里,萬濤在拷盤時(shí)遭遇計(jì)算機(jī)病毒,從此對(duì)病毒產(chǎn)生了興趣。他是中國第一批“觸網(wǎng)者”,1998年加入中國第一個(gè)黑客組織“綠色兵團(tuán)”。他喜歡強(qiáng)悍、自由,為自己取名為“老鷹”。2001年,他成立中國鷹派聯(lián)盟。經(jīng)歷驕傲的黑客時(shí)代,而后他迷茫,隱退,進(jìn)入跨國公司。如今的萬濤,多“出沒”于公益圈,將鷹盟轉(zhuǎn)型為鷹眼安全文化網(wǎng),通過互聯(lián)網(wǎng)信息技術(shù)推動(dòng)公益發(fā)展與社會(huì)創(chuàng)新。
萬濤的轉(zhuǎn)身,在黑客中頗有代表性。他們中的絕大多數(shù),現(xiàn)在成了各大公司的安全掌門人。“大牛蛙”王琦在創(chuàng)辦Keen之前,也是微軟公司的著名安全員,如今他擁有自己的安全團(tuán)隊(duì),并與同行們追逐在世界各地的安全行業(yè)技術(shù)賽場上。在這里,他們還能找到當(dāng)年的榮光??伤鎸?duì)團(tuán)隊(duì)成員的新選擇,也只能表示“這個(gè)沒辦法。”
陳良是Keen團(tuán)隊(duì)三奪Pwn2Own冠軍的主攻手。除了技術(shù),1986年出生的陳良最感興趣的是金融。他看了一個(gè)月書,考了美國注冊(cè)管理會(huì)計(jì)師(CMA),這是很多人讀幾年書都通不過的考試。如今的陳良成為了騰訊科恩實(shí)驗(yàn)室的一名高級(jí)研究員,這個(gè)實(shí)驗(yàn)室是騰訊新成立的一支專注于云計(jì)算與移動(dòng)終端安全研究的白帽黑客隊(duì)伍,核心成員多來自原Keen 團(tuán)隊(duì)。
今年3月,陳良和同事鄧欣組建的騰訊安全聯(lián)隊(duì)團(tuán)隊(duì)出征Pwn2Own,3秒攻破蘋果Safari瀏覽器。而在今年的極棒大賽上,由鄧欣帶隊(duì)的騰訊電腦管家團(tuán)隊(duì)演示了攻擊微軟Surface Pro項(xiàng)目,憑借高難度的技術(shù)含量獲得15萬單項(xiàng)獎(jiǎng)金以及5萬“最霸技術(shù)獎(jiǎng)”獎(jiǎng)金。
雖然老板換了,但陳良的工作狀態(tài)并沒什么改變。他一般早上來公司比較晚,在路上時(shí)就會(huì)往一些研究技術(shù)的微信群里發(fā)送一些國外的技術(shù)論文或是某個(gè)專家的最新技術(shù)文章。到了公司,同事們立刻針對(duì)文章開始討論,這樣的攻擊思路有沒有可行性,能不能變通一下應(yīng)用到IOS或是安卓系統(tǒng)中。下午就是挖掘漏洞,找到漏洞就匯報(bào)給廠商。除了找漏洞,就是準(zhǔn)備比賽,比賽的周期很長,從考慮報(bào)名什么參加什么項(xiàng)目到具體的攻防方案,還得多做幾手準(zhǔn)備以防主辦方在比賽前推出的“大補(bǔ)丸”。因?yàn)槭枪シ李惐荣?,選手的價(jià)值正在于在廠商發(fā)現(xiàn)漏洞之前挖掘到有價(jià)值的漏洞,以此贏取主辦方的巨額獎(jiǎng)金。而“大補(bǔ)丸”就是廠商給出的官方系統(tǒng)補(bǔ)丁。“ 補(bǔ)丁是在美國時(shí)間出的,在中國出的時(shí)間是半夜兩三點(diǎn),這件事情如果到第二天做的話,是沒有心情睡覺的。所以必須要在第一時(shí)間知道,漏洞有沒有被修補(bǔ),如果被修補(bǔ)了,馬上就要有一個(gè)應(yīng)對(duì)策略。”
比賽之后,往往就是休假,拿著獎(jiǎng)金帶領(lǐng)團(tuán)隊(duì)休假。陳良和鄧欣的團(tuán)隊(duì)在今年的Pwn2Own獲得了20萬美元獎(jiǎng)金。
7、黑客是有趣的職業(yè)?
事實(shí)上完全不是這樣,你必須十分耐得住寂寞
“平時(shí)大家都覺得黑客或者研究人員很神秘、很酷,覺得這是一個(gè)非常有趣的職業(yè)。事實(shí)上完全不是這樣,你必須十分耐得住寂寞。”如今的陳良和鄧欣也要負(fù)責(zé)尋找合適的人才擴(kuò)充隊(duì)伍,比起技術(shù),他們都更看重人品。
“你知道我們?yōu)槭裁唇锌贫鲉?”陳良告訴北京晨報(bào)記者,在日本動(dòng)漫《名偵探柯南》里,他是一個(gè)狙擊手。專業(yè)的狙擊手需要耐得住寂寞,同時(shí)也需要一個(gè)人幫他看。我們做漏洞攻防的研究,不可能是一個(gè)人完成,需要團(tuán)隊(duì)協(xié)作,去找到軟件弱點(diǎn),精準(zhǔn)突破挑戰(zhàn)。”
“在我畢業(yè)的那段時(shí)間,很多人已經(jīng)絕望,都把關(guān)注投向病毒的研究。你會(huì)經(jīng)常聽到一個(gè)初中生,就是‘熊貓燒香’的作者,他是對(duì)技術(shù)的愛好,絕不是深入的研究。”陳良對(duì)外界將“熊貓燒香”這種小黑客寫出的病毒捧成神話十分不解。“他生怕人不知道,他急著告訴你,我叫熊貓燒香,叫李俊,畢業(yè)于武漢……這和‘白帽’的初衷背道而馳,就是為了出名。”鄧欣表示:“精妙的病毒,不會(huì)造成任何用戶上的感覺,造成用戶越用越慢,或者死機(jī)越高,這種病毒都是比較失敗的病毒。”
“人品好比技術(shù)好重要太多。我面試時(shí)有特別牛的,一開口就是,我曾經(jīng)黑過×××,對(duì)于這樣的,我從不考慮。”1989年出生的潮男姚威對(duì)此頗有同感,因?yàn)楣敬蠖喽际?0后,所以他給自己起了“黑客叔叔”的網(wǎng)名。姚威也是今年極棒大賽攻破智能保險(xiǎn)箱的項(xiàng)目演示者,他同樣經(jīng)歷了身份的轉(zhuǎn)換。他曾經(jīng)是極棒大賽的一名觀眾,如今不僅是選手,也是廣州一家安全公司的CEO,目前團(tuán)隊(duì)有15人。
來參加比賽也不是沒有私心。“以前是單槍匹馬一個(gè)人,現(xiàn)在要養(yǎng)活團(tuán)隊(duì),得賺錢。這次比賽也是個(gè)提升品牌形象的好機(jī)會(huì)。” 姚威告訴北京晨報(bào)記者,成立不到一年的時(shí)間,已經(jīng)接到了三四個(gè)收購意向。“可我是有底線的,第一必須團(tuán)隊(duì)成員都在一起,第二是我們得保持獨(dú)立性,最好是成為實(shí)驗(yàn)室。”
姚威說,做公司以來,遇到過不少曾經(jīng)從事黑產(chǎn),現(xiàn)在想來公司漂白的。但他沒給過機(jī)會(huì),即便有可能錯(cuò)失一個(gè)天才。“有個(gè)小伙子技術(shù)巨牛,攻克了一個(gè)大漏洞之后問了一句,我這個(gè)漏洞值多少錢?”姚威二話沒說,讓小伙子走了。面對(duì)記者的不理解,姚威說,其實(shí)這并沒有標(biāo)準(zhǔn)答案,“但一般同道之人會(huì)在破解后會(huì)說‘這個(gè)漏洞真稀有’。”
來自黑客的安全提示
盡量不要用WiFi,最好用3G或4G
關(guān)于黑客,有個(gè)段子一直被人津津樂道。在前幾年的一次Pwn2Own比賽中,一群選手在加拿大比賽時(shí)玩心四起,技癢難耐,就瞄準(zhǔn)了酒店的WiFi。從那以后,這些人便上了加拿大酒店的黑名單,直到今天,不少酒店都不愿意接待他們。
在移動(dòng)互聯(lián)網(wǎng)時(shí)代,WiFi的確是容易被攻擊的一處地方。陳良告訴北京晨報(bào)記者,在參加國外安全會(huì)議時(shí),他會(huì)不斷提醒成員絕對(duì)不要使用酒店WiFi。“我們一般都是租移動(dòng)WiFi,在比賽期間也盡量做到不要上網(wǎng),因?yàn)閯e人有可能竊取賬戶。從理論上來說,如果有機(jī)會(huì)連到同一個(gè)網(wǎng)絡(luò),我是有機(jī)會(huì)竊取你的手機(jī)信息的。”
在極棒大賽上一口氣攻破十幾臺(tái)路由器的長亭科技成員楊坤也對(duì)北京晨報(bào)記者表示:“ 電影電視會(huì)有些夸張,但也差不多。比如攻破了你家的路由器之后,基本上所有連上路由器的智能設(shè)備都能被控制。”根據(jù)現(xiàn)場演示,安卓手機(jī)在連接了有漏洞的路由器后,在使用正規(guī)軟件市場下載應(yīng)用時(shí),正規(guī)軟件便會(huì)被替換為植入了木馬的惡意程序,使得攻擊者可以收發(fā)查看受害者短信、控制手機(jī)的電話功能、調(diào)用手機(jī)攝像頭等。除此之外,長亭科技還發(fā)現(xiàn)了存在漏洞的華碩路由器服務(wù)被暴露在互聯(lián)網(wǎng)上,攻擊者可以在全世界任意位置對(duì)其發(fā)起遠(yuǎn)程攻擊,受影響的路由器達(dá)數(shù)萬臺(tái)。
楊坤表示,假如路由器被黑客攻破,路由器作為所有設(shè)備上網(wǎng)的入口,所有的信息都會(huì)有數(shù)據(jù)流,這些數(shù)據(jù)流里面可能有個(gè)人比較敏感的信息,所以危害比較大。他建議,路由器應(yīng)當(dāng)設(shè)置強(qiáng)密碼,可以包含數(shù)字、大小寫,盡量多一些變化,應(yīng)該經(jīng)常更改密碼。此外盡量使用WP2加密的WiFi,另外也不要用萬能鑰匙這樣的軟件。
其實(shí),在今年的“3·15晚會(huì)”中,不僅有利用路由器漏洞獲取觀眾隱私信息的情景互動(dòng),更有智能生活安全“黑客大片”上演。王琦認(rèn)為,站在用戶的角度,如果是用免費(fèi)WiFi,如果有人要攻擊你,那可能防不勝防。“盡量連一些我們熟知的WiFi,如果要做重要的工作,盡量不要用WiFi,采用3G、4G。”王琦給出了安全建議。
此外要注重對(duì)于個(gè)人隱私的保護(hù),“在不同的地方用不同的密碼,一旦出現(xiàn)問題可以只是在小范圍之內(nèi)。”王琦說。
花邊
“白帽子”的平均收入才6402元?
百萬獎(jiǎng)金?千萬收入? 黑客的收入到底有多高?這個(gè)問題如果去問黑帽黑客,便是亢奮,但對(duì)白帽黑客來說,他們都很意外,“比賽之前根本沒看獎(jiǎng)金、獎(jiǎng)項(xiàng)。好像從沒考慮過這個(gè)問題。”
騰訊電腦管家網(wǎng)絡(luò)攻防小組在大會(huì)上一秒破解微軟Surface Pro 4并控制攝像頭,項(xiàng)目中用到的內(nèi)核漏洞通殺所有Windows操作系統(tǒng),這個(gè)研究成果曾被國外網(wǎng)絡(luò)軍火商開價(jià)8萬美元公開收購。小組成員鄧欣說,白帽子現(xiàn)在收入水平有所提高,到企業(yè)做安全研究能拿二三十萬年薪,但是覺得“還可以再提高一點(diǎn)”,“不能總是在出問題的時(shí)候才重視安全。”
“一般幫助廠商挖出一個(gè)安全漏洞能得到幾十元左右的獎(jiǎng)勵(lì),如果是大漏洞會(huì)多些。最開始的時(shí)候,我們還送過充電寶或者玩偶,也非常受歡迎。” 小米科技首席安全官陳洋表示。
一個(gè)漏洞的價(jià)值難道就是一個(gè)充電寶?賬顯然不能這么算。據(jù)媒體報(bào)道,現(xiàn)今國內(nèi)頂級(jí)安全人才的年收入可以達(dá)到百萬水平,加入互聯(lián)網(wǎng)公司的高技術(shù)水平白帽子年入十幾萬到二十萬不等,即便是散兵游勇的白帽子,通過在平臺(tái)上提交漏洞,也可以月入數(shù)萬元。
“多數(shù)漏洞挖掘者是出于愛好,也是產(chǎn)品的發(fā)燒友。找出漏洞,又被廠商認(rèn)可,這個(gè)過程帶來了愉悅和成就感。所以比起金錢,那代表著一種榮譽(yù)。”陳洋表示。
另一個(gè)客觀現(xiàn)實(shí)是,隨著智能產(chǎn)品的增加,避免不了大大小小的漏洞。如果對(duì)單個(gè)漏洞的“懸賞”價(jià)格過高,也容易養(yǎng)成一批職業(yè)挖掘者,以此謀利,這顯然有悖初衷。
根據(jù)補(bǔ)天平臺(tái)統(tǒng)計(jì),中國的白帽子黑客收入差距十分懸殊。補(bǔ)天平臺(tái)上白帽子的平均收入為6402元,最賺錢的白帽子“合肥濱湖虎子”收入則是428850元,比排名第二的“sectops”收入161300元高出近30萬元。
不可否認(rèn)的事實(shí)是,比起黑產(chǎn)的巨大財(cái)富誘惑,白帽子的收入絕對(duì)不會(huì)使他們“暴富”。大牛蛙曾經(jīng)在接受媒體采訪時(shí)表示:“我也可以偷一票好萊塢明星的照片,然后去夏威夷度假,遠(yuǎn)走高飛。不是不愿意干壞事,平心而論是膽小,萬一被抓了怎么辦?我說的是人的本性。此外我們對(duì)暴富的訴求沒那么強(qiáng)烈。”