在信息安全領(lǐng)域中，所有研究智取計算機安全系統(tǒng)的人員統(tǒng)稱黑客。但在黑客的世界里，又有“正”與“邪”兩個陣營，分別是以破壞網(wǎng)絡(luò)安全來獲取個人利益的“黑帽子”和維護網(wǎng)絡(luò)安全的“白帽子”。

　　22歲的張瑞冬創(chuàng)建的“白帽子”團隊，長期居漏洞查找排行榜首位。一次次漏洞曝光，奠定了張瑞冬團隊在圈內(nèi)的“牛人”地位。

　　近日，《每日經(jīng)濟新聞》記者(以下簡稱NBD)在成都專訪了這名年輕的黑客。在張瑞冬看來，“白帽子”們最大的優(yōu)勢，就是通過模擬惡意黑客的攻擊方法，監(jiān)測網(wǎng)絡(luò)系統(tǒng)的實際安全性，提前發(fā)現(xiàn)漏洞或缺陷，并進行必要的修補。

　　自學(xué)成才的“白帽子”

　　NBD：能談?wù)勀摹鞍酌弊印背砷L史嗎?

　　張瑞冬：我可能不是鉆研程序和代碼的“黑客男”，玩的更多是邏輯性的東西。13歲去銀行取錢時，我發(fā)現(xiàn)ATM機的程序有一個邏輯漏洞，可以讓人取錢以后銀行卡的余額不改變。

　　比如，取1000元，我拿走其中9張留1張，90秒以后系統(tǒng)會顯示超時并把這一張收回去，但系統(tǒng)在收回去的過程中是沒有做點鈔機制的，顯示的余額沒有減少。這就是典型的業(yè)務(wù)邏輯漏洞，后來我?guī)椭y行解決了這個問題。

　　NBD：“白帽子”們往往非常年輕，而且大多都不是學(xué)計算機的，您怎么理解這一現(xiàn)象?

　　張瑞冬：的確如此，以我們團隊為例，10多個人中，只有兩人有大學(xué)以上學(xué)歷，一個是生物學(xué)博士，一個是物理碩士。其余人基本是初中、高中學(xué)歷，我自己只有初中文憑。據(jù)我了解，BAT的安全部門中有一半的技術(shù)人員都沒有大學(xué)文憑。

　　我們這群人大多從小就對電腦網(wǎng)絡(luò)感興趣，通過閱讀相關(guān)書籍和大量的實踐與思考自學(xué)成才。高校里的網(wǎng)絡(luò)安全培養(yǎng)方式理論性太強，而且往往是正向思維，缺乏用攻擊思維來防守的實踐課程。

　　NBD：您怎樣理解黑客從事網(wǎng)絡(luò)安全的特點?

　　張瑞冬：傳統(tǒng)的安全產(chǎn)品，是用防御類設(shè)備對抗攻擊設(shè)備，但畢竟設(shè)備的匹配規(guī)則是死的，攻擊者可以繞過設(shè)備。所以，傳統(tǒng)的設(shè)備已經(jīng)攔不住攻擊者。

　　我們這群“白帽子”黑客非常熟悉“黑帽子”的行為，可以完全模擬“黑帽子”的行為，找到脆弱點，然后提出一套完整的修補建議，漏洞修補后再測試。

　　用戶安全意識差

　　NBD：人們一提到黑客就會聯(lián)想到網(wǎng)絡(luò)破壞，這種誤解會對網(wǎng)絡(luò)安全人才隊伍的發(fā)展產(chǎn)生不利影響嗎?

　　張瑞冬：公眾對黑客的理解確實有些誤解，黑客本身不是一個負(fù)面形象。在我看來，黑客就是對技術(shù)的極致追求，發(fā)現(xiàn)問題、質(zhì)疑權(quán)威、充滿好奇。我喜歡鉆研邏輯問題，想刨根問底研究系統(tǒng)中有沒有邏輯漏洞，這就是黑客思維。黑客這個稱號是對技術(shù)的極大肯定，我非常樂意別人叫我黑客。

　　事實上，黑客群體中的網(wǎng)絡(luò)安全高手輩出，高校里的培養(yǎng)方式實用性不夠強。我們團隊曾做過幾次實踐類型的安全培訓(xùn)，白天在烏云網(wǎng)上找一些漏洞案例來講解，晚上帶大家實戰(zhàn)。但這些實戰(zhàn)也不是真正去黑別人，我們寫一套系統(tǒng)，導(dǎo)師帶著學(xué)員學(xué)習(xí)攻擊手段。

　　不過，后來這個課程被叫停了，理由是涉及“黑客教程”。所以，這是一個悖論，一方面國家的網(wǎng)絡(luò)安全行業(yè)缺乏“白帽子”人才;另一方面黑客的社會身份又很尷尬。

　　NBD：我國接入互聯(lián)網(wǎng)逾20年，網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)發(fā)展的程度似乎并不匹配，您認(rèn)為網(wǎng)絡(luò)安全行業(yè)最薄弱的環(huán)節(jié)是什么?

　　張瑞冬：我認(rèn)為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。我們經(jīng)常處理一些應(yīng)急事故，發(fā)現(xiàn)真正高難度入侵行為是很少的，導(dǎo)致事故頻發(fā)的原因是，用戶密碼設(shè)置太簡單或者是操作失誤。

　　我曾幫一家上市公司做網(wǎng)站安全測試，他們的系統(tǒng)很安全，測了半天也沒有找到問題。后來我發(fā)現(xiàn)該公司有內(nèi)部交流的QQ群，點擊加入，立馬就把我放進去了。進去后，我發(fā)現(xiàn)群共享里有個文件夾，文件夾的名字叫公司各種系統(tǒng)密碼。就這樣簡單，我輕易獲得該公司系統(tǒng)密碼。這是很普遍的問題，互聯(lián)網(wǎng)用戶的安全意識薄弱，對安全的管控能力比較差。

　　張瑞冬：我認(rèn)為最薄弱的環(huán)節(jié)還是用戶安全意識太薄弱。這是很普遍的問題，互聯(lián)網(wǎng)用戶的安全意識薄弱，對安全的管控能力比較差。