白帽黑客的黑白人生

作者:佚名 来源:中国网
2016-05-23 01:29:00

  7 黑客是有趣的职业?

  事实上完全不是这样,你必须十分耐得住寂寞

  “平时大家都觉得黑客或者研究人员很神秘、很酷,觉得这是一个非常有趣的职业。事实上完全不是这样,你必须十分耐得住寂寞。”如今的陈良和邓欣也要负责寻找合适的人才扩充队伍,比起技术,他们都更看重人品。

  “你知道我们为什么叫科恩吗?”陈良告诉北京晨报记者,在日本动漫《名侦探柯南》里,他是一个狙击手。专业的狙击手需要耐得住寂寞,同时也需要一个人帮他看。我们做漏洞攻防的研究,不可能是一个人完成,需要团队协作,去找到软件弱点,精准突破挑战。”

  “在我毕业的那段时间,很多人已经绝望,都把关注投向病毒的研究。你会经常听到一个初中生,就是‘熊猫烧香’的作者,他是对技术的爱好,绝不是深入的研究。”陈良对外界将“熊猫烧香”这种小黑客写出的病毒捧成神话十分不解。“他生怕人不知道,他急着告诉你,我叫熊猫烧香,叫李俊,毕业于武汉……这和‘白帽’的初衷背道而驰,就是为了出名。”邓欣表示:“精妙的病毒,不会造成任何用户上的感觉,造成用户越用越慢,或者死机越高,这种病毒都是比较失败的病毒。”

  “人品好比技术好重要太多。我面试时有特别牛的,一开口就是,我曾经黑过×××,对于这样的,我从不考虑。”1989年出生的潮男姚威对此颇有同感,因为公司大多都是90后,所以他给自己起了“黑客叔叔”的网名。姚威也是今年极棒大赛攻破智能保险箱的项目演示者,他同样经历了身份的转换。他曾经是极棒大赛的一名观众,如今不仅是选手,也是广州一家安全公司的CEO,目前团队有15人。

  来参加比赛也不是没有私心。“以前是单枪匹马一个人,现在要养活团队,得赚钱。这次比赛也是个提升品牌形象的好机会。” 姚威告诉北京晨报记者,成立不到一年的时间,已经接到了三四个收购意向。“可我是有底线的,第一必须团队成员都在一起,第二是我们得保持独立性,最好是成为实验室。”

  姚威说,做公司以来,遇到过不少曾经从事黑产,现在想来公司漂白的。但他没给过机会,即便有可能错失一个天才。“有个小伙子技术巨牛,攻克了一个大漏洞之后问了一句,我这个漏洞值多少钱?”姚威二话没说,让小伙子走了。面对记者的不理解,姚威说,其实这并没有标准答案,“但一般同道之人会在破解后会说‘这个漏洞真稀有’。”

  来自黑客的安全提示

  尽量不要用WiFi,最好用3G或4G

  关于黑客,有个段子一直被人津津乐道。在前几年的一次Pwn2Own比赛中,一群选手在加拿大比赛时玩心四起,技痒难耐,就瞄准了酒店的WiFi。从那以后,这些人便上了加拿大酒店的黑名单,直到今天,不少酒店都不愿意接待他们。

  在移动互联网时代,WiFi的确是容易被攻击的一处地方。陈良告诉北京晨报记者,在参加国外安全会议时,他会不断提醒成员绝对不要使用酒店WiFi。“我们一般都是租移动WiFi,在比赛期间也尽量做到不要上网,因为别人有可能窃取账户。从理论上来说,如果有机会连到同一个网络,我是有机会窃取你的手机信息的。”

  在极棒大赛上一口气攻破十几台路由器的长亭科技成员杨坤也对北京晨报记者表示:“ 电影电视会有些夸张,但也差不多。比如攻破了你家的路由器之后,基本上所有连上路由器的智能设备都能被控制。”根据现场演示,安卓手机在连接了有漏洞的路由器后,在使用正规软件市场下载应用时,正规软件便会被替换为植入了木马的恶意程序,使得攻击者可以收发查看受害者短信、控制手机的电话功能、调用手机摄像头等。除此之外,长亭科技还发现了存在漏洞的华硕路由器服务被暴露在互联网上,攻击者可以在全世界任意位置对其发起远程攻击,受影响的路由器达数万台。

  杨坤表示,假如路由器被黑客攻破,路由器作为所有设备上网的入口,所有的信息都会有数据流,这些数据流里面可能有个人比较敏感的信息,所以危害比较大。他建议,路由器应当设置强密码,可以包含数字、大小写,尽量多一些变化,应该经常更改密码。此外尽量使用WP2加密的WiFi,另外也不要用万能钥匙这样的软件。

  其实,在今年的“3·15晚会”中,不仅有利用路由器漏洞获取观众隐私信息的情景互动,更有智能生活安全“黑客大片”上演。王琦认为,站在用户的角度,如果是用免费WiFi,如果有人要攻击你,那可能防不胜防。“尽量连一些我们熟知的WiFi,如果要做重要的工作,尽量不要用WiFi,采用3G、4G。”王琦给出了安全建议。

  此外要注重对于个人隐私的保护,“在不同的地方用不同的密码,一旦出现问题可以只是在小范围之内。”王琦说。

  花边

  “白帽子”的平均收入才6402元?

  百万奖金?千万收入? 黑客的收入到底有多高?这个问题如果去问黑帽黑客,便是亢奋,但对白帽黑客来说,他们都很意外,“比赛之前根本没看奖金、奖项。好像从没考虑过这个问题。”

  腾讯电脑管家网络攻防小组在大会上一秒破解微软Surface Pro 4并控制摄像头,项目中用到的内核漏洞通杀所有Windows操作系统,这个研究成果曾被国外网络军火商开价8万美元公开收购。小组成员邓欣说,白帽子现在收入水平有所提高,到企业做安全研究能拿二三十万年薪,但是觉得“还可以再提高一点”,“不能总是在出问题的时候才重视安全。”

  “一般帮助厂商挖出一个安全漏洞能得到几十元左右的奖励,如果是大漏洞会多些。最开始的时候,我们还送过充电宝或者玩偶,也非常受欢迎。” 小米科技首席安全官陈洋表示。

  一个漏洞的价值难道就是一个充电宝?账显然不能这么算。据媒体报道,现今国内顶级安全人才的年收入可以达到百万水平,加入互联网公司的高技术水平白帽子年入十几万到二十万不等,即便是散兵游勇的白帽子,通过在平台上提交漏洞,也可以月入数万元。

  “多数漏洞挖掘者是出于爱好,也是产品的发烧友。找出漏洞,又被厂商认可,这个过程带来了愉悦和成就感。所以比起金钱,那代表着一种荣誉。”陈洋表示。

  另一个客观现实是,随着智能产品的增加,避免不了大大小小的漏洞。如果对单个漏洞的“悬赏”价格过高,也容易养成一批职业挖掘者,以此谋利,这显然有悖初衷。

  根据补天平台统计,中国的白帽子黑客收入差距十分悬殊。补天平台上白帽子的平均收入为6402元,最赚钱的白帽子“合肥滨湖虎子”收入则是428850元,比排名第二的“sectops”收入161300元高出近30万元。

  不可否认的事实是,比起黑产的巨大财富诱惑,白帽子的收入绝对不会使他们“暴富”。大牛蛙曾经在接受媒体采访时表示:“我也可以偷一票好莱坞明星的照片,然后去夏威夷度假,远走高飞。不是不愿意干坏事,平心而论是胆小,万一被抓了怎么办?我说的是人的本性。此外我们对暴富的诉求没那么强烈。”

  本版撰文

  北京晨报记者 韩元佳

  (责任编辑:罗伯特)

白帽黑客的黑白人生

中国财经app

白帽黑客的黑白人生

中国财经微信公众号

白帽黑客的黑白人生

中国新三板APP

白帽黑客的黑白人生

中国新三板微信公众号