“白帽”黑客:攻击,是为了防御(感受)
宋嵩绘 品百味人生 看人民映象 坐在那里时间一久,会让他的身形有些僵硬。电脑前的方家弘,总有一行行代码在他眼里飞速划过。常人眼里,这是一个枯燥乏味的界面,流淌过一串串看不懂的代码。但在他的世界里,那是一个个跳动的精灵,闪烁着令他痴迷的光辉。 只有一个时刻会让他突然亢奋起来:那就是漏洞被“逮”住的时候。这时,他会像猎人发现猎物一般,兴奋之情溢于言表。 这是一名“白帽子”黑客的工作状态。“白帽子”黑客,能提前发现安全隐患,并上报给相关企业或组织,以便及时修补漏洞,保障信息安全。而这,也正是他们存在的价值。 实力让情怀落地 见到方家弘时是在北京朝外SOHO,他刚从上海来北京,出差与安全企业交流业务。但在大部分时间里,方家弘总是在安全实验室高强度地工作,有的时候,为研究一个问题,他会发狠闭关,吃饭靠外卖解决。 寻找漏洞的方式就是尝试攻击。如同兵法推演一样,与漏洞过招,胜负只在电光石火之间。要找到这些埋藏很深的漏洞,方家弘经常需要通过各种“黑客攻击”手段,直至找到脆弱的一环。 “未知攻,焉知防,攻击是为了更好地防御。”方家弘看了看窗外,吐出了这句哲学味很浓的话。 13年前,刚刚结束高考的方家弘,在志愿书上填写了信息安全专业。这是上海交通大学该专业招收的第一批学生,当时国内开设安全专业的大学屈指可数。这个选择,源自方家弘孩提时代父亲的启蒙。父亲在小学教计算机,所以,他很小就在上海少年宫学习计算机,读小学时便尝试编写程序。 多年之后,方家弘结束了大学生活,可那时,国内安全行业还不大受重视,因为网络安全具有“后知后觉”的特性,没有出现问题前,很多企业并不认为有必要在安全上投入。毕业后,他进入微软,工作的五年内,他努力,也迷茫,总感觉还有劲没使出来。“为什么不能为更多人提供安全服务?” 实力终究让情怀落地。工作5年后,他和一群朋友创办了上海碁震云计算科技有限公司,组建了一支专业的安全研究团队。 是非界限,不容模糊 创业初期是艰难的。方家弘回忆说,几年前他给一些厂商介绍安全的重要性,常常磨破嘴皮都没法说服他们接受自己的观念。“不像开发一款产品,我们做的都是幕后的工作,没有一个直观的展示。”方家弘有时也会感到无奈,因为他甚至很难向家人、亲戚解释自己的工作。“当时从事安全比较边缘,我们同学里现在还做安全的人已经非常少了,很多转行了。” 所幸,近年来网络安全问题频发,使得企业、公众开始重视安全问题,发现、上报漏洞,安全研究人员也能获得不错的收入。 借着这股春风,他和他的团队风生水起。言语之中,他的自豪感自然流出:“如今,这个团队已经成为全国甚至全球顶级的安全研究队伍,发现并上报了许多高危漏洞。而通常,这种级别的漏洞,如果放到黑色产业市场上去卖,通常能开六位数的价码。” 通常来说,这个行业内部有着严格的行规,“白帽子”黑客都有明确的是非观,行业准则也有所限定,既然能靠自己的本事光明正大地赚钱,就绝不会触犯法律。方家弘开玩笑地说,收入的增加,在一定程度上也避免了许多有才华的年轻人“误入歧途”。 最大的漏洞,是人性的弱点 长期和各种漏洞打交道,让方家弘在安全上非常敏感。比如关于补丁更新,常人会觉得频繁更新很麻烦,但他有着职业的看法。 进入移动互联网时代,手机、电视、路由器等智能终端设备繁多,软硬件的开放趋势,一定程度上也拓宽了黑客非法牟利的途径,有些应用里面可能含有恶意程序,会将用户暴露在风险之下,人们往往还不知情。方家弘晃了晃手机,音调不自觉中提高了,“现在一台手机的价值不仅仅是它的价钱了,里面还有你的个人隐私、银行账户等信息,一旦被黑客入侵或利用,带来的损失非常大。” 他强迫自己养成了一个习惯,每次安全补丁更新,他会第一时间打上,还会要求身边的亲戚朋友也更新。 他介绍,普通黑客很少能独立发现并利用漏洞,尤其是高级别的、核心的漏洞。 “那为什么手机依然很容易被攻击?我有些疑惑。” “电信诈骗、刷二维码损失财物等,这些小伎俩不是利用什么厉害的技术漏洞,而大多是抓住了人贪心的弱点啊!”那一刻,方家弘的言语之中有遗憾,有愤怒,也有无奈。 《 人民日报 》( 2015年07月29日 10 版) 延伸阅读 |
关键词:方家弘,黑客攻击,白帽子,黑客入侵,防御,后知后觉,人民日报,大学 |