补天漏洞平台掌门人白健:有关白帽子那些事 | 雷锋网公开课

引子

总有人想从你身上得到一些东西。他们想得到你的名字、你的电话、你的住址、你的车牌、你的房产、你的社保号码、你的爱好、你的消费记录、你的GPS定位、你的户籍信息、你的开房记录、你的家人信息、你的所有历史和你之所以成为你的全部密码。

但是,他们想要了解你的一切,并不是出于好奇。你在他们眼中,只是一个符号。一个堆积起来可以换钱的冰冷筹码。这些黑客们利用各种网站和系统的漏洞,从各个平台窃取用户的信息,并且高价卖给诈骗分子和网络大盗。

正如小说中白衣如雪,来去如风的侠客一般,在我们身边同样存在一群这样热血涌动的人,他们不忍心看到这个世界沉沦,他们就是“白帽子”。

这些白帽子也许激情四射,也许木讷寡言,他们就像你我身边那些普通的朋友,经历着普通人的悲欢离合。只不过,在网络世界里,他们像补天的女娲一样,用一颗颗五彩石修复一座座赛博大厦的裂隙。

他们普通又神秘,他们低调又热血。

漏洞平台,正是白帽子聚集的战场。他们在这里向企业提交漏洞,守卫互联网的安全。这次硬创公开课,雷锋网宅客频道请到了补天漏洞平台掌门人白健、补天平台首席美女运营小花还有360企业安全市场部美女徐粲然,他们在一场颜值爆表的直播中为我们还原了真实的补天白帽子。

补天漏洞平台掌门人白健:有关白帽子那些事 | 雷锋网公开课

【小花、白健、徐粲然】

以下是直播文字要点整理:

我们为什么需要白帽子?

白健:其实在我看来在目前整个体系建设不是特别健全的情况下,我们个人的信息安全、企业的信息安全甚至到国家的信息安全都会受到一些危害。我不知道大家有没有关注2016年徐玉玉的案件。

徐玉玉的案件其实就是犯罪嫌疑人杜天禹利用某一个招生网站的漏洞拿到了一批高考学生的信息,然后又把信息卖给了另外一个犯罪嫌疑人陈文辉,陈文辉雇人假装教育局的一些工作人员骗取了瞿玉仅有的9900块钱学费和生活费,最后导致瞿玉这位同学伤心过度最后不幸去世了。

这件事情受到广大网友的广泛关注,案件很快侦破,整个事情也公布给全社会。通过这件事情我们可以切身感受到,在网络安全方面对个人信息安全的危害已经到了一个非常严重的地步。

说到企业安全上,美国的第二大保险公司 Allstate,它的三千万的保民信息以及他的员工信息全部被人扒走,其实我觉得这不光是影响这家企业,影响到他的保民,甚至影响到美国对国家的一些公民信息,这种危害是非常严重的。

360 企业安全集团董事长齐向东曾重述了习主席的观点:网络安全为人民,网络安全也得靠人民。那网络安全靠哪些人民呢?其实这个人民中就有一个特殊的群体我们俗称白帽子,他们有机会有能力帮助大家来解决安全问题。

小花做补天的运营,她就跟白帽子这个群体关系非常好。所以接下来由你来介绍一下白帽子的情况。

白帽子是什么样子的?

小花:齐总给白帽子摇旗呐喊的讲话在我的朋友圈已经被刷屏了,我特别为我的白帽子朋友们感到很有成就感。因为他们在做一件正义的事情,现在补天已经有 31154 名白帽子了,这个量是非常大的,他们已经维护了四千多家厂商的信息以及网络安全。

在补天有我三位关系特别好,我对他们也很了解的白帽子。总有很多圈外的朋友都在问我,“小花,什么是白帽子啊?”我觉得我有必要说一下我这3位朋友神奇的故事。

其中一位叫华不再扬,他在深圳工作。当时《安在》发表了一篇有关华不再扬的报道,名字叫做《从鞋厂工人到漏洞达人,90后游戏少年的逆袭》。他是一个特别腼腆的男孩,在我第一次见他的时候。但是,他给我们白帽子开讲座讲的议题特别的干,很多白帽子都在做笔记。后来跟随着他的一些采访,我发现他竟然是从小打游戏的人。

他和他女朋友是大概网恋了5年,然后线下见面之后慢慢确立关系直到结婚,现在已经有了宝宝。

第二位叫做。衰大是我在补天白帽子里面比较欣赏的一类了,不是因为他的颜值,而是因为他很绅士。

我为什么对他有这么大的印象呢?是在去年4月9号,360 众测发布会的时候,所有白帽子都背着一个双肩包来,只有帅大一个人拎着一个行李厢,当时我还特别嫌弃,我说为什么只有两天你还拎一个大箱子过来呢?他打开里面,都是给我们带的新疆的切糕。那会儿新疆切糕非常贵的。他带着一箱子的切糕还有大枣,还有葡萄干,把我们感动坏了。我觉得这个人好有心,后来一接触才发现他确实挺暖的。

还有一位白帽子 hckmaple,雷锋网《宅客频道》对他做过专访,前几天很多人都在转载他的故事。据我所知这个帖子发出去之后有很多男生问他联系方式的。

他是一个跨专业的人才。他的专业是硬件,但是他就选了做一个白帽子。他的故事特别热血,有一段时间我找他联系,希望他给我们录制一个课程。他说他在医院,我就特别好奇,看着特别强壮的一个人怎么能去医院呢?原来他是患了中耳炎复发然后去医院诊治,但是即使在那个时候,他的排名仍旧是补天的第二。

什么样的人能成为白帽子?

白健:hckmaple 是我们平台上少有的科班出身的白帽子。其实我们白帽子同学很多人都很单纯也很优秀,但是有点遗憾的是很多同学的学习不是特别好,我觉得可能是我们的培养体制上不是特别的完善,很难兼容这部分人。所以我在这里呼吁我们的教育体系能给白帽子更多的机会,这样你才能不拘一格。另外,我们的企业在招聘的时候也不要把标准定的太高。

我昨天还看着朋友圈,有一个企业在招白帽子,限制的是一定要985、211的毕业生。这要求很高,我们白帽子没有几个能达到这个水平的,其实他们能力是很强的,所以我觉得一方面是我们的教育体系可能要对这部分人多一些,作为一个兼容性,有更多机会。另外,我也呼吁我们的企业在目前的环境下可以给白帽子更多的更宽松的一个工作环境。

和白帽子在一起时间久了,我确实切身地感受到大家都非常单纯,也非常的具有正能量,也很有抱负。所以其实可以说每一个白帽子背后都是一段屌丝逆袭的故事,特别特别有趣。每一个白帽子也都希望自己从一个小人物成长为安全大人物,都有自己的梦想之路。我们做补天平台这个事儿也是希望给大家创造这么一个环境和机会,实现梦想。

白帽子可以获得什么奖励?

白健:对于白帽子来说,给企业提交漏洞有两方面的收获:

第一,安全能力得到体现和尊重。很多企业客户对白帽子交上来的漏洞都表示非常感谢,甚至还有一个客户很典型,他请了一个白帽子在上海一起吃了一顿。当然,有时候这种感谢白帽子是不敢接受的,以为是厂商要找他们麻烦。但其实我觉得特别多的企业已经认可白帽子的安全能力,也非常尊重他们。

第二,平台也给白帽子提供了很丰厚的价值。物质,或者直白一点说就是金钱的回报也非常重要。补天平台的奖金一直以来也是节节攀升,我们资深的白帽子在我们这儿也拿到了好几十万。

除了白帽子突出他的价值,得到我们奖金的回报以外,我们平台也给白帽子提供了很多的法律相关方面的知识,让大家及时去提醒,哪些事情是符合我们的法律法规,哪些可能不太好的,这也是很重要的。

我们不能一味地单纯地讲究技术,还得看目前的社会法律这块。我们需要用正确的价值观和方法来帮助企业,帮助国家,来解决网络安全问题。

我们对大部分的企业服务都是免费的,补天平台承担一些运营经费,帮企业免费提供漏洞。可能还有少量的企业需要更高端的一些服务,所以会收一些增值的费用来补贴补天的运营,但是补天的平台我们是不追求盈利的。公司也不要求我们赚钱,只是希望我们把这个公益的事情做的更长久些。另外一方面,其实我们也努力找更多的行业界的同仁我们一起来办一个开放,大家互相合作的平台。白帽子的群体是可爱的一群年轻人。我们想把他们引导好、组织好,一起为网络安全、企业安全、国家安全做点事儿。

入驻补天的标准

白健:作为企业,只要免费在我们网站注册一下,我们认证了网站所有者的身份就可以。你会发现如果网站有漏洞补天是免费推送的,这是一个最基础的服务。如果大家想通过白帽子主动收集更多的漏洞,就需要承担一些白帽子的奖金和税费,我们平台不会额外收取其它费用。

在平台的信息安全方面,因为我们是 360 旗下的一个品牌,所以在安全防护上和 360 的要求是一致的。另外,我们做安全时的假设前提就是认为存在信息泄露的风险,所以我们在管理上面额外做了很多的要求。

首先,我们招聘员工时有很严格的要求,背景调查和工作领域等等。

其次,我们网站的后台只有在我们的内网才能访问的。

再次,我们员工的电脑全部装了终端管控软件,并且全流量镜像和分析网络流量。这样就能有效地防止员工出现失误导致信息泄露这种事情的发生。

另外,我们的漏洞审核也是分为几层进行。一线员工审核完成之后,还有上级的复核,避免审核的差错,例如漏洞分类、评级的差错等等。

同时,我们还积极接受白帽子的追诉或者企业对漏洞再进行进一步的确认,多维度交叉核实。

RSA 上最新的安全趋势

白健:在 RSA 安全大会上我和其他平台的同行做了一些交流。我总结了以下几个收获:

第一,我们得有自信。我们的漏洞平台,我们的白帽子群体不比西方国家运营能力差。

第二,我们还是要加强一些国际的合作,比如对一些通用型的漏洞我们可以建立一些通报机制来做一些修复。另外对于测试,我们也可以导入一些国际力量来做。同时我们也努力给核心的白帽子创造一些跟西方国家白帽子切磋交流的环境。比如 BlackHat 等会议,我们会组团和西方的队伍进行演练。

第三,RSA今天的主题是“Power of OpportUNITY”,字面意思应该是机会的力量,但是它最后的“UNITY”是大写的,也就是说这次会议想强调联合。所以这也是我们这次去参会的一个原因,我们也希望联合各方面,联合国内同仁,联合我们整个群体,甚至联合国际一些国际的网络群众体。

现在整个网络安全,我觉得国与国的边界越来越模糊。根据我们 360 在 2016 年的网络安全的报告来看,2016 年中国网站遭受的攻击中,百分之二十几的比例是来自境外。另外,我们防护的网站中有30% 的境外网站也受到攻击。所以这种边界是越来越模糊的。

而且我们还同时看到,有一些不法分子利用自己的掌握的一些能力和技术潜藏在国外,反过来渗透我们的网站,做一些数据窃取、植入后门、敲诈勒索这样一系列的事情。所以我们希望联合国内外的所有力量一起来维护网络安全问题。这是我自己这次 RSA 的一些收获。

徐粲然:说到合作,为了和全球白帽、技术精英一起交流,补天平台会在2017年3月30日在深圳举办首届补天白帽大会。我们会邀请国内外知名白帽、技术精英、安全爱好者,与网络安全相关主管机构和知名企业和机构的CISO一起参与,解读当前网络安全形势和安全威胁,探讨漏洞响应与防范方案,同时分享交流漏洞挖掘与安全功防等沿议题,到时候也欢迎大家来玩。

本期公开课完整视频请戳这里

本文由雷锋网(公众号:雷锋网)宅客频道独家首发(微信搜索:宅客频道)

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/84837.html

(0)
上一篇 2021年8月12日 21:59
下一篇 2021年8月12日 21:59

相关推荐

发表回复

登录后才能评论