黑客一詞源自英文hacker，最初曾指熱心于計(jì)算機(jī)技術(shù)、水平高超的電腦玩家，尤其是程序設(shè)計(jì)人員，但隨著互聯(lián)網(wǎng)行業(yè)的逐漸成熟，黑客的屬性也分為白帽子和黑帽子。方小頓就是白帽黑客中的佼佼者。他是國內(nèi)著名安全組織80sec的成員。也曾經(jīng)是百度安全專家，負(fù)責(zé)對黑客襲擊百度網(wǎng)站的抵御工作，曾發(fā)現(xiàn)多個(gè)知名底層和腳本安全漏洞。

[[111168]]

隨后他又創(chuàng)立了網(wǎng)絡(luò)漏洞報(bào)告平臺(tái)——烏云，作為一個(gè)廠商和安全研究者之間的安全問題反饋平臺(tái)，烏云提供給互聯(lián)網(wǎng)公司很多漏洞及風(fēng)險(xiǎn)報(bào)告，幫助他們防患于未然。隨著烏云影響力的提高，旗下白帽子團(tuán)隊(duì)也達(dá)到了近5000人，其中核心黑客超過100人。

黑帽子指泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的黑客，并通過網(wǎng)絡(luò)漏洞非法牟利，在英文中這些人叫做cracker。而白帽子指對網(wǎng)絡(luò)技術(shù)防御的黑客， 他們可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞，以便系統(tǒng)可以在被其他人(例如黑帽子)利用之前來修補(bǔ)漏洞。

方小頓留著一頭長發(fā)，看上去頗具有文藝青年范兒，他對白帽子這個(gè)職業(yè)有著自己的見解。在他看來，白帽子最難的就是堅(jiān)持自己的理想，不計(jì)眼前的利益誘惑，從整個(gè)行業(yè)著眼為網(wǎng)絡(luò)安全貢獻(xiàn)自己的力量。在他眼里，白帽子是一群掙扎在理想和現(xiàn)實(shí)邊緣的黑客。

“白帽子”是如何煉成的

2002年，15歲的方小頓便考上了哈爾濱理工大學(xué)的化學(xué)專業(yè)，也是在那一年，他開始接觸互聯(lián)網(wǎng)，接觸網(wǎng)絡(luò)安全。

方小頓稱，由于對化學(xué)專業(yè)沒有太大的興趣，基本上除去上課、睡覺，大學(xué)全部的時(shí)間都撲在網(wǎng)絡(luò)安全研究上。從那時(shí)開始，方小頓經(jīng)常給國內(nèi)頂尖網(wǎng)絡(luò)安全雜志投稿，稿件多被錄用。在大學(xué)期間還受聘給某網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)的學(xué)生授課。

但他并不認(rèn)為課堂中會(huì)出網(wǎng)絡(luò)安全人才。“網(wǎng)絡(luò)安全問題本身就存在于破壞規(guī)范中，處理網(wǎng)絡(luò)安全問題的核心就在于不守規(guī)矩，所以在規(guī)范的教育體系下，很難出網(wǎng)絡(luò)安全人才。”方小頓指出，網(wǎng)絡(luò)安全是一門興趣指引下的學(xué)問，他需要黑客親身去鉆研，不能把別人過往的經(jīng)驗(yàn)總結(jié)成課程來學(xué)習(xí)。

方小頓自己的經(jīng)歷完全可以印證這一點(diǎn)。最初他對網(wǎng)絡(luò)安全產(chǎn)生興趣，源于課余時(shí)間同學(xué)之間在網(wǎng)絡(luò)上的互相攻擊。彼時(shí)可借鑒參考的資料基本屬于空白，完全依靠自己的鉆研。隨后他又與大學(xué)同學(xué)一起黑入一家網(wǎng)站的主頁并善意提醒了這家公司存在漏洞問題。這家公司在2006年也為方小頓提供了他大學(xué)畢業(yè)后的第一份工作。

2008年，方小頓加盟了百度，負(fù)責(zé)網(wǎng)絡(luò)安全。在百度，他獲得了從大平臺(tái)的角度去學(xué)習(xí)認(rèn)知互聯(lián)網(wǎng)安全的機(jī)會(huì)。但百度的主體業(yè)務(wù)是搜索引擎，由于其在整個(gè)互聯(lián)網(wǎng)領(lǐng)域的局限性，對于2010年的方小頓，留給他施展的空間也極為有限。

方小頓稱，離開百度主要還是因?yàn)槔硐耄肜米约旱募夹g(shù)來為更多的互聯(lián)網(wǎng)公司解決安全問題。他認(rèn)為，一名白帽子黑客除了要有這方面興趣之外，另一點(diǎn)就是必須擁有一個(gè)正能量的理想。

同樣利用技術(shù)發(fā)現(xiàn)漏洞，黑帽子黑客往往利用漏洞通過不法手段來獲取利益，這部分利益能多到哪種程度呢?方小頓稱，可能是一個(gè)并不起眼的黑客，某一天你就會(huì)發(fā)現(xiàn)他住上了好房，開起了好車。他表示，目前最強(qiáng)的黑帽子和白帽子收入的差距大概是日薪一萬和月薪一萬的差距。

正因如此所有白帽子黑客都是站在了理想和現(xiàn)實(shí)邊緣。方小頓認(rèn)為，白帽子黑客必須認(rèn)清自己的核心訴求不一樣，在理想和現(xiàn)實(shí)中更加重視個(gè)人的成長。他同時(shí)指 出，以黑帽子黑客賺錢的方式往往會(huì)令人變得浮躁，這種心態(tài)會(huì)不利于自身對技術(shù)的學(xué)習(xí)，從個(gè)人技術(shù)發(fā)展角度講，這并不是一件好事。#p#

網(wǎng)絡(luò)安全需要更多參與者

離開百度的方小頓，為了自己的理想在2010年5月創(chuàng)立了烏云。在2011年12月21日，烏云曝出國內(nèi)知名技術(shù)社區(qū)CSDN的600余萬用戶資料被泄露。此后又陸續(xù)曝出多玩800萬用戶信息、7K7K小游戲的2000萬用戶、網(wǎng)站的1000萬用戶資料，以及人人網(wǎng)、U9網(wǎng)、百合網(wǎng)、開心網(wǎng)、天涯、世紀(jì)佳緣等網(wǎng)站數(shù)據(jù)庫遭遇不同程度的外泄。該事件引起各界人士討論，一時(shí)間網(wǎng)友紛紛修改網(wǎng)站密碼，并只呼“修改到手抖”，促使各方更加重視網(wǎng)絡(luò)安全，烏云平臺(tái)也因此名聲大震。

在此后的這幾年，烏云平臺(tái)不斷發(fā)布在各個(gè)網(wǎng)站發(fā)現(xiàn)的漏洞，并且快速成長為一個(gè)立足于計(jì)算機(jī)廠商和安全研究者之間的安全問題反饋及發(fā)布平臺(tái)，同時(shí)它也是服務(wù)于互聯(lián)網(wǎng)IT人士技術(shù)開發(fā)的互動(dòng)平臺(tái)。

最新的曝光是烏云核心白帽子“豬豬俠”登出的“攜程某分站源代碼包可直接下載(涉及數(shù)據(jù)庫配置和支付接口信息)”以及“攜程安全支付日志可遍歷下載 導(dǎo)致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)”的兩條信息。

攜程漏洞曝光后，引起極大反響，攜程股價(jià)一度下跌近10%。烏云再次以強(qiáng)勢的姿態(tài)沖進(jìn)人們的視野，并且一次次帶給人們更大的震撼。

方小頓指出，目前安全行業(yè)環(huán)境不夠好，與互聯(lián)網(wǎng)提倡的開放和分享走得很遠(yuǎn)，不利于整個(gè)社區(qū)的成長和行業(yè)的發(fā)展。他透露，烏云在把部分廠商的漏洞公開后，會(huì)受到來自廠商的一些報(bào)復(fù)，最嚴(yán)重的烏云服務(wù)器還被拔過線。

他認(rèn)為，目前信息安全的問題是行業(yè)環(huán)境的問題，不夠公開不夠透明的問題導(dǎo)致很難像其他行業(yè)一樣被人了解和理解，而互聯(lián)網(wǎng)安全從業(yè)者在不了解和不理解的前提下很難將事情做好。

“如果我家里沒有上鎖，可以說是我自己的事情，無關(guān)他人。但如果你是家銀行，你管理的東西都不是你的，那就有必要也有義務(wù)讓用戶知道你管理的真實(shí)情況。”方小頓解釋道，公開漏洞信息另一方面的重要原因是，讓同類企業(yè)引以為戒，并節(jié)省整個(gè)行業(yè)的安全成本。

他進(jìn)一步表示，烏云將堅(jiān)持開放和分享的核心運(yùn)營思路，通過信息的流動(dòng)帶來社區(qū)的活躍，在積累了大量的安全問題基礎(chǔ)數(shù)據(jù)之后，希望能夠與白帽子一起除發(fā)現(xiàn)問題之后還能為企業(yè)解決和規(guī)避安全問題。

目前，烏云仍屬于一個(gè)非盈利組織，網(wǎng)站的主要經(jīng)濟(jì)來源由Cncert互聯(lián)網(wǎng)應(yīng)急中心和廣東信息安全評測中心提供。接近5000人的白帽子黑客全部為烏云義務(wù)提供服務(wù)。

方小頓認(rèn)為，互聯(lián)網(wǎng)安全行業(yè)應(yīng)該受到更高的重視，還需要像國家、企業(yè)、媒體以及第三方平臺(tái)等參與進(jìn)來。“來自各行各業(yè)的人士會(huì)從不同的角度分析判斷網(wǎng)絡(luò)安全問題，從而會(huì)更容易發(fā)現(xiàn)漏洞，減少損失;另一方面，企業(yè)的參與也能夠從一定程度上改善白帽子黑客的生活質(zhì)量，對其也是一種正確方向的引導(dǎo)。”#p#

移動(dòng)安全問題核心不在終端

不過，網(wǎng)絡(luò)安全參與者的增長速度，顯然沒有麻煩制造者的增長速度快。隨著移動(dòng)互聯(lián)網(wǎng)的興起，一些由手機(jī)等移動(dòng)設(shè)備曝出的網(wǎng)絡(luò)安全問題，已經(jīng)成為了近兩年3·15晚會(huì)的常客。但方小頓認(rèn)為，移動(dòng)互聯(lián)網(wǎng)的安全問題核心不在移動(dòng)終端，歸根結(jié)底還是互聯(lián)網(wǎng)服務(wù)的漏洞越來越多。

他表示，回歸到安全漏洞的本質(zhì)，漏洞與數(shù)據(jù)是相對應(yīng)的，一個(gè)不能影響數(shù)據(jù)的漏洞只能說是個(gè)Bug，無論用戶用什么手機(jī)，它最終只承載了互聯(lián)網(wǎng)服務(wù)入口的使命。

方小頓稱，移動(dòng)安全問題的增多，主要是因?yàn)槿藗冊絹碓筋l繁的通過手機(jī)等移動(dòng)設(shè)備使用互聯(lián)網(wǎng)云服務(wù)。“現(xiàn)在的移動(dòng)智能終端都在強(qiáng)調(diào)一個(gè)數(shù)據(jù)云處理的概念，郵件、照片、通訊錄等用戶數(shù)據(jù)都在云端，一旦出了安全問題，還是在云服務(wù)器中存在漏洞隱患。”

從目前來看，蘋果生態(tài)系統(tǒng)的安全性是被普遍認(rèn)可的。由于iOS系統(tǒng)的封閉性，以及App Store的自有生態(tài)體系下，出現(xiàn)任何安全問題，蘋果都會(huì)快速做出合理的決策反應(yīng)，從而保證其品牌利益。

而在安全方面經(jīng)常被詬病的Android設(shè)備，在方小頓看來與蘋果的安全水平也屬同一級(jí)別。他解釋道，目前品牌Android設(shè)備的開放屬于一種相對的開 放，終端廠商為了自己的品牌利益，會(huì)對自己產(chǎn)品中內(nèi)置應(yīng)用做出嚴(yán)格的審核，對待自己品牌的應(yīng)用分發(fā)市場也會(huì)采取相同的態(tài)度，但對于第三方應(yīng)用市場的產(chǎn)品，終端廠商還是無法進(jìn)行審查的。

方小頓認(rèn)為，基于云時(shí)代的互聯(lián)網(wǎng)安全狀況，企業(yè)在一定程度上應(yīng)把數(shù)據(jù)的控制權(quán)交還給用戶，給用戶一個(gè)選擇權(quán)，讓用戶有權(quán)利刪除記錄，以保障這部分?jǐn)?shù)據(jù)的安全性。另一方面，國家或第三方監(jiān)管機(jī)構(gòu)加強(qiáng)對終端公司的把控，防止企業(yè)在用戶不知情的情況下收集用戶電腦里的數(shù)據(jù)、記錄，甚至從云端下發(fā)策略。