自学网络安全技术,抵御高额黑产利诱,你了解这些“白帽子”吗?

2017-07-17 368393人围观 ,发现 18 个不明物体 资讯

在国家网络安全宣传周首届网络安全技能大赛上,来自全国10所高校的10支顶尖战队一决高下,30名“白帽子”黑客捉对厮杀。    

网络安全隐患无处不在。近来,勒索病毒“永恒之蓝”和“必加”在全球大规模爆发,再次敲响了警钟。有攻就有防,面对网络世界的安全隐患,面对黑客攻击及其布下的陷阱,“白帽子”黑客是我们的第一道屏障。

目前网络安全人才不足,既有供不应求的原因,也和人才培养模式相关。“白帽子”黑客们的工作究竟有哪些神秘之处?如何让他们更好地发挥专长,守护网络使用安全?本报记者带您走近这群“网络游侠”。

——编 者

自学网络安全技术,抵御高额黑产利诱,你了解这些“白帽子”吗?

任务不轻:应对病毒攻击、发现安全隐患、保障重大活动

不久前,一个名为“暗云”的木马强势来袭,数百万台计算机被感染。“白帽子”黑客董志强随即和团队进行监测,对攻击进行了溯源分析,查清了“暗云”的攻击途径和方式。这一发现能帮助安全软件有针对性地查杀“暗云”,有效遏制它的传播力和破坏力。

“白帽子”黑客是指网络安全从业人员,他们是网络世界的卫士。与利用漏洞、制作木马病毒去牟利的不法分子不同,“白帽子”们是为了让网络系统更加安全。

方家弘也是一名“白帽子”黑客,他是腾讯科恩实验室的骨干成员,擅长寻找网络世界无处不在的漏洞。“攻击,是为了防御”,他通过尝试攻击,找到埋藏很深的漏洞,“逮”住它们,并上报给相关企业或组织,以便及时修补,保障安全。

“从手机、路由器,到机器人,再到汽车,任何智能设备本身或使用环节中都可能存在隐患,任何一个漏洞被黑客利用,都可能造成隐私泄露甚至财产损失。”方家弘说。

2015年初,方家弘和团队完成了一件很有成就感的工作。“我们发现Linux内核中一个漏洞,利用它可以获得Root安卓手机的最高权限。比如,黑客可在你手机中安装任意软件,而你可能完全不知情。”方家弘和团队上报漏洞后,因为危险等级高,1天之内便得到响应,Linux的作者林纳斯·托瓦兹立即进行了修复。

杭州安恒安全研究院安全专家王欣也是挖掘漏洞的高手。在G20杭州峰会和历届世界互联网大会等重大活动网络安全保障工作中,他面对的是一个个没有硝烟的战场。

“重大活动的网络基础设施容易成为攻击点,从一些攻击手法分析,它们是有策略、有组织地攻击,不像是普通黑客练手。”王欣说。G20杭州峰会期间,安恒作为峰会的网络安保技术支撑单位,承担了包括G20官网、注册网、重要工业控制系统等多个网络安保重点单位的安全保障任务。从接到任务到系统安全上线,仅有短短4天,王欣和团队需要为酒店在线预订系统搭建起一堵安全防护墙。那段时间,他每天工作至凌晨两三点,在临时办公室,团队24小时轮流值守,确保了安全事件零发生。

行规不少:靠本事挣钱,不许触犯法律

中国互联网协会发布的《2016中国网民权益保护调查报告》显示,去年我国网民仅仅因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失就高达915亿元。

国家互联网应急中心运营部主任严寒冰认为,在IT产业软硬件核心技术和代码等自主研发能力不足、安全防护手段滞后、地下黑客业务已形成产业链的背景下,我国网络安全正面临日益严峻的挑战。目前,“白帽子”黑客在保障网络安全中的作用无可替代。

比如,他们不断上报发现的漏洞,预警风险,给网络安全树立了第一道屏障。而随着互联网时代向物联网时代过渡,安全隐患更复杂,“白帽子”黑客也需不断“进化”。

董志强的兴趣从最初的传统反病毒转向云安全研究,方家弘则从PC端转向移动端漏洞的研究,王欣从Web安全转向物联网安全研究,并开始关注工业自动化控制安全领域风险。他们还要研究前沿技术,做好技术储备。

与一行行代码打交道,在“0”和“1”的世界中寻找风险……从事这项工作,除兴趣之外,“白帽子”黑客通常还要有点天分——他们大多不是科班出身,而是“江湖派”,属于怪才、偏才。

在网络安全圈,董志强更响亮的名号是“Killer(杀手)”。他的专业是汉语言文学,研究古代汉语和影视文学。大学期间“邂逅”计算机后,他开始自学逆向工程。让董志强声名鹊起的,是他创建的“超级巡警”在2007年截杀“熊猫烧香”病毒时立下了赫赫战功,甚至因其迅速响应和高效处理能力,招致非议。而今,他已成为云安全领域的“大咖”,在云网领域开展更多关于安全的研究。

王欣学应用化学出身,他说从事安全行业,之前纯粹是因为爱好,当参加完多次网络安保任务后,感受到的是这项工作的荣誉感和使命感。

不录用有前科的人,是“白帽子”圈的行规。他们有明确的是非观:要靠自己的本事光明正大地赚钱,不许触犯法律。

成长不易:培养模式滞后,“黑产”利诱无处不在

“白帽子”黑客的作用,以往并不受重视,舍得投入的企业并不多。直到近几年安全事件频发,网络安全人才的生存和成长环境才逐渐改善。不过,人才缺口依旧很大。

国家互联网信息办公室2015年公布的数据显示,截至2014年底,我国重要行业信息系统和信息基础设施所需网络安全人才缺口达70万人左右,预计到2020年,需要各类网络安全人才约140万人。可见,光靠高校培养远远不能满足需求。

“网络安全的本质,是智慧的对抗;网络空间的竞争,归根到底是人才的竞争。”天融信总裁于海波说,建设网络强国,就要打造出一支强大的网络安全人才队伍。

网络安全人才供不应求,与人才培养模式滞后于网络发展速度相关。严寒冰说,传统高校的学科课程,强调基础理论,忽视培养学生在计算机上的应用能力建设,没有相关专业设置,大多数“白帽子”黑客都是靠兴趣“自学成才”。

“高校在专业设计上还存在与企业需求脱节的问题,学校闭门造车,学生缺乏实际操作经验,难以扛起维护网络安全的重任。”于海波说。

社会对网络安全的“后知后觉”,也影响了早期一批安全人才的成长。方家弘是上海交通大学信息安全专业的第一批毕业生。他回忆,2006年,安全专业比较边缘,毕业后多数同学进了金融行业,同学中还留在安全行业的人已经非常少了。

掌握安全技术的人才还面临黑产巨额收益的诱惑。天融信的信息安全教育专家李跃忠说,黑客通过非法倒卖个人信息、倒卖游戏账号、刷流量、制作网络病毒等,几个月甚至几天就能获得上百万元的收入。“‘网络黑产’一夜暴富的情形,也不利于引导安全人才健康成长。”

“过去,由于网络安全法律法规不完善,从事‘黑产’的违法成本极低,使得很多人铤而走险。”安恒信息副总裁冯旭杭说。直到现在,安全圈子的人,有时还会收到黑产的报价,比如10万元黑掉竞争对手的网站,30万元攻击一家游戏的私人服务器,50万元告知一款常用服务器软件的漏洞……

待遇不高:增加“白帽子”黑客收入,强化归属感荣誉感,明确其合法地位

在培养“白帽子”黑客这一特殊群体方面,我国做出了一些有益探索。2015年,教育部增设“网络空间安全”一级学科,要求加快网络安全学科专业和院系建设,量身定制适应网络安全人才成长的系统性培养方案。

安全企业也参与到人才培育中。比如,杭州安恒信息与高校合作进行学科共建,开发具有实际教学意义的攻防实验室,帮助高校提升教学水平。方家弘所在的科恩实验室尝试将前沿的安全研究成果推向大学课堂,目前已受邀在上海交大和浙江大学开设讲座,并将在复旦大学等高校推广。

于海波建议,国家可拿出部分资源扶持专业的安全企业,整合社会教育力量,通过国家、教育机构、安全企业的努力,加强网络安全人才培养。

要切实提高“白帽子”黑客的收入。“虽然‘白帽子’收入已有较大改善,但和‘黑产’收益相比还有非常大的差距。要想办法提高报酬,激发他们担当网络‘侠客’、除暴安良的热情。”李跃忠说。

此外,还要强化“白帽子”黑客的归属感、荣誉感,明确他们合法的社会地位。

采访中,专家指出,政府和安全圈应更多组织一些安全会议、论坛、竞赛等活动,为网络安全人才搭起与政府、企业沟通互动的平台。

今年6月1日,我国互联网领域的首部基础性法律《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施。严寒冰表示,《网络安全法》从法律层面明确了网络安全从业人员应该承担的责任和义务。“包括哪些事情可以做、哪些事情不能做以及做到什么程度可受法律保护。它在为打击网络违法行为提供明确法律依据的同时,也为网络安全从业人员提供了合法的社会地位。”

法律专家表示,《网络安全法》为网络安全人员行为边界做出了规范。比如规定任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。“白帽子”们一定要注意边界,坚守法律底线。

冯旭杭认为,让“白帽子”黑客们远离黑产,还有必要调整现有的评价体系。“比如,职称评定能加强安全从业者的责任心和荣誉感,但很多安全人才是实战型的,学历并不高,按传统方式评定,连资格都没有。”他建议将网络安全人才的评定资格下放到企业,由企业的信誉做背书,参考同行评议制度,让业内同行来评价。“这个圈子很小,你有几斤几两,大家都清楚。”

*本文转自人民日报

这些评论亮了

  • lucky0001 (5级) 已经买了电脑,网费已经续到了2020年。 回复
    一群洗白了的人說,我們成立一個聯盟公約吧? 還有沒有天理, 有沒有王法?
    )48( 亮了
  • ak47 回复
    @ DDvv  本来想爆娱乐圈某些咖的沉年往事 无奈tor出了问题 哈哈哈
    比如某出书黑阔在成名前伙同几个人一起干某国的游戏 此阔在安全媒体上的评价是开创了国内某技术的先河 是信息安全培训界的祖师爷
    比如某阔在出任某公司CEO之前的那些年 做过国内的学籍学历数据 做过各大招商网站的数据、股票数据等等 现在是国内众绿帽子们的膜拜对象,成天对新入职的帽子们讲黑客精神、讲黑阔道德
    再比如现在的某公司安全官,在成为安全官之前的那些年拿着从别人那里借的钱 大热天的 赤裸着胳膊,左手一瓶啤酒,右手一只烤鸡腿在那里做贷款数据、医院数据
    别问我怎么知道的 呵呵呵 那个年代啊 几乎现在稍微出点名的或者鼎鼎大名的人啊 都是乱来的。
    为什么呢? 如果没有金钱的支撑 怎么会在这条路上越走越远?
    )32( 亮了
  • www 回复
    如今安全产商多入牛毛,先不论它们有没有挖0day的能力,它们的得利点在哪? 所谓的产商顶多防脚本小子,在专业的黑帽面前根本不值一提。 其实我个人认为无论是产商还是企业都心知肚明,所以企业跟倾向于和黑帽谈判
    有人说黑帽一天的收入等于白帽一年的收入,这并不夸张, 但不意味着不是谁都可以做。
    白帽就好好学习,不要整天听那些厂家吹,好好挖洞卖了讨生活,不要想着半路出家学黑帽,真正的黑帽往往在海外享受生活,而白帽估计得呆在冰冷的铁窗生活了(很多案例,自己查)
    黑帽与白帽的区别
    (1)黑帽技术普遍高于白帽(有深厚的编程基础,了解各种底层和协议)
    (2)熟悉一门以上外语
    (3)对心理学文化做过研究,善于分析利用事物
    (4)能利用自己的资源和特长久居海外

    可能会有人喷我,我只想说我曾经看过一本说叫XXX讲web安全 说实话这是我看过最垃圾的一本书,全是虚浮主义,各种吹作者。完全没有那种纯技术的内涵和深厚的功底。
    )21( 亮了
  • lucky0001 (5级) 已经买了电脑,网费已经续到了2020年。 回复
    @ ak47 哈哈哈, 兄台一看就是久经沙场, 我之所以没有爆是担心得罪人, 不过一些对方主动爆的料倒是可以爆一下,
    1. 某*字头安全公司的员工对外买卖收购webshell, 入侵游戏网站和政府网站, 拿着政府网站的webshell去给反g黑客改首页 。(情报)
    2. 某*字头安全公司的领导有*****关系。 属于情感方面的。(情报)
    3. 某*字头安全公司的员工借着去国级单位安服的功夫利用国级系统对外提供查询公民个人隐私服务。 (情报)
    4. 某*字头公司, 某*字头公司的w姓员工, l姓员工, 是国内某**木马的最大开发商。(情报)
    5. 某x姓黑客(导师级), 靠贩卖各类(主要是软件)信息, 银行卡存款过一亿人民币。 (情报)
    6. 某*头公司的**地区分公司, 表面上是干的安服服务,实际是黑产工作室,全员参与黑产。 (情报)
    7. 某x姓黑客(导师级) 把自己的木马卖给了kim jong eng.. (情报)
    8. 某*字开头公司的某姓员工, 对外公开查询自家产品用户的服务,叫价数万可包月。 (情报)
    9. 某***字开头的公司, 实际上是黑产起家。 (不是情报。)
    10. 某*开头公司, 某***公司的某个产品, 被该2家公司的员工用来搞流量马。 (情报)
    11. 使用某公司的某个产品的时候, 可能会导致你的电脑被直接入侵。该公司产品用户大于x亿。 (不是情报)
    怕得罪人, 就不爆啦。
    )17( 亮了
  • ak47 回复
    @ lucky0001  你这样会被揍的
    其实这个话题很有趣的 但是也是非常敏感的 这个圈子的伪君子太多了 虽然这里面也有不少我的兄弟
    谈谈我对现如今的安全服务公司和白帽子群体的看法吧 ;)
    在工作中接触了非常多的安全服务公司,大多服务于政企之间,一见到领导 先各种夸大互联网威胁或者先把你的企业或单位给撸一遍,然后让别人去买的的服务
    这又是什么行为呢?这些安全公司就有道德了?就有黑客精神了? 其实说到低 不就是为了名与利
    还有一类安全服务公司 专为JZ、WZ等单位研发互联网YQJK系统、临侦等产品,目的相信各位看官也能看的明白。但是啊 我就得说说这类公司的市场人员了,为了业绩各种巴结各种下作交易。
    再说说白帽子群体吧 我国拥有庞大的白帽子群体 然而这些人或是安全公司专业人才 或是各院校在校生 又或是以白帽技术为生的个体 打着安全的名义行骗、敲诈勒索。为什么这么说呢?
    有部分白帽子团体找到靠山后就开始忽悠培训网络渗透技术,有的是现场教学的、有的是网络授课形式,本狗也看过一些所谓的培训 只能说 呵呵呵了。
    绝大一部分白帽子更是有趣,一个众测项目,一堆人跟一群苍蝇似的围攻一个项目,捉对厮杀,平时的满口仁义到这个时候完全是翻脸无情。他们这个为了什么?还不是为了钱?因为想要站的更高,可以理解 ;)但是有些厂商也是没脸没皮,白帽子提交洞后经常被这些无良厂商偷偷修复 :eek: 然后白帽子子们就公开威胁 。嗯 很好的戏码 :)
    想说的其实还有很多!但是大脑突然就短路了~~~~~~~~
    黑客技术 始终都是黑的 只有利益 无分黑白
    )10( 亮了
发表评论

已有 18 条评论

取消
Loading...
css.php