现在成了各大公司的安全掌门人

 

　　这两位“小鲜肉”并不知道，为他们颁奖的“老鹰”就是被媒体称为“黑客教父”的万涛。

 

　　1990年代，在北方交通大学的机房里，万涛在拷盘时遭遇计算机病毒，从此对病毒产生了兴趣。他是中国第一批“触网者”，1998年加入中国第一个黑客组织“绿色兵团”。他喜欢强悍、自由，为自己取名为“老鹰”。2001年，他成立中国鹰派联盟。经历骄傲的黑客时代，而后他迷茫，隐退，进入跨国公司。如今的万涛，多“出没”于公益圈，将鹰盟转型为鹰眼安全文化网，通过互联网信息技术推动公益发展与社会创新。

 

　　万涛的转身，在黑客中颇有代表性。他们中的绝大多数，现在成了各大公司的安全掌门人。“大牛蛙”王琦在创办Keen之前，也是微软公司的着名安全员，如今他拥有自己的安全团队，并与同行们追逐在世界各地的安全行业技术赛场上。在这里，他们还能找到当年的荣光。可他面对团队成员的新选择，也只能表示“这个没办法。”

 

　　陈良是Keen团队三夺Pwn2Own冠军的主攻手。除了技术，1986年出生的陈良最感兴趣的是金融。他看了一个月书，考了美国注册管理会计师（CMA），这是很多人读几年书都通不过的考试。如今的陈良成为了腾讯科恩实验室的一名高级研究员，这个实验室是腾讯新成立的一支专注于云计算与移动终端安全研究的白帽黑客队伍，核心成员多来自原Keen 团队。

 

　　今年3月，陈良和同事邓欣组建的腾讯安全联队团队出征Pwn2Own，3秒攻破苹果Safari浏览器。而在今年的极棒大赛上，由邓欣带队的腾讯电脑管家团队演示了攻击微软Surface Pro项目，凭借高难度的技术含量获得15万单项奖金以及5万“最霸技术奖”奖金。

 

　　虽然老板换了，但陈良的工作状态并没什么改变。他一般早上来公司比较晚，在路上时就会往一些研究技术的微信群里发送一些国外的技术论文或是某个专家的最新技术文章。到了公司，同事们立刻针对文章开始讨论，这样的攻击思路有没有可行性，能不能变通一下应用到IOS或是安卓系统中。下午就是挖掘漏洞，找到漏洞就汇报给厂商。除了找漏洞，就是准备比赛，比赛的周期很长，从考虑报名什么参加什么项目到具体的攻防方案，还得多做几手准备以防主办方在比赛前推出的“大补丸”。因为是攻防类比赛，选手的价值正在于在厂商发现漏洞之前挖掘到有价值的漏洞，以此赢取主办方的巨额奖金。而“大补丸”就是厂商给出的官方系统补丁。“ 补丁是在美国时间出的，在中国出的时间是半夜两三点，这件事情如果到第二天做的话，是没有心情睡觉的。所以必须要在第一时间知道，漏洞有没有被修补，如果被修补了，马上就要有一个应对策略。”

 

　　比赛之后，往往就是休假，拿着奖金带领团队休假。陈良和邓欣的团队在今年的Pwn2Own获得了20万美元奖金。

 

 

　　事实上完全不是这样，你必须十分耐得住寂寞

 

　　“平时大家都觉得黑客或者研究人员很神秘、很酷，觉得这是一个非常有趣的职业。事实上完全不是这样，你必须十分耐得住寂寞。”如今的陈良和邓欣也要负责寻找合适的人才扩充队伍，比起技术，他们都更看重人品。

 

　　“你知道我们为什么叫科恩吗？”陈良告诉北京晨报记者，在日本动漫《名侦探柯南》里，他是一个狙击手。专业的狙击手需要耐得住寂寞，同时也需要一个人帮他看。我们做漏洞攻防的研究，不可能是一个人完成，需要团队协作，去找到软件弱点，精准突破挑战。”

 

　　“在我毕业的那段时间，很多人已经绝望，都把关注投向病毒的研究。你会经常听到一个初中生，就是‘熊猫烧香’的作者，他是对技术的爱好，绝不是深入的研究。”陈良对外界将“熊猫烧香”这种小黑客写出的病毒捧成神话十分不解。“他生怕人不知道，他急着告诉你，我叫熊猫烧香，叫李俊，毕业于武汉……这和‘白帽’的初衷背道而驰，就是为了出名。”邓欣表示：“精妙的病毒，不会造成任何用户上的感觉，造成用户越用越慢，或者死机越高，这种病毒都是比较失败的病毒。”

 

　　“人品好比技术好重要太多。我面试时有特别牛的，一开口就是，我曾经黑过×××，对于这样的，我从不考虑。”1989年出生的潮男姚威对此颇有同感，因为公司大多都是90后，所以他给自己起了“黑客叔叔”的网名。姚威也是今年极棒大赛攻破智能保险箱的项目演示者，他同样经历了身份的转换。他曾经是极棒大赛的一名观众，如今不仅是选手，也是广州一家安全公司的CEO，目前团队有15人。

 

　　来参加比赛也不是没有私心。“以前是单枪匹马一个人，现在要养活团队，得赚钱。这次比赛也是个提升品牌形象的好机会。” 姚威告诉北京晨报记者，成立不到一年的时间，已经接到了三四个收购意向。“可我是有底线的，第一必须团队成员都在一起，第二是我们得保持独立性，最好是成为实验室。”

 

　　姚威说，做公司以来，遇到过不少曾经从事黑产，现在想来公司漂白的。但他没给过机会，即便有可能错失一个天才。“有个小伙子技术巨牛，攻克了一个大漏洞之后问了一句，我这个漏洞值多少钱？”姚威二话没说，让小伙子走了。面对记者的不理解，姚威说，其实这并没有标准答案，“但一般同道之人会在破解后会说‘这个漏洞真稀有’。”

 

 

　　尽量不要用WiFi，最好用3G或4G

 

　　关于黑客，有个段子一直被人津津乐道。在前几年的一次Pwn2Own比赛中，一群选手在加拿大比赛时玩心四起，技痒难耐，就瞄准了酒店的WiFi。从那以后，这些人便上了加拿大酒店的黑名单，直到今天，不少酒店都不愿意接待他们。

 

　　在移动互联网时代，WiFi的确是容易被攻击的一处地方。陈良告诉北京晨报记者，在参加国外安全会议时，他会不断提醒成员绝对不要使用酒店WiFi。“我们一般都是租移动WiFi，在比赛期间也尽量做到不要上网，因为别人有可能窃取账户。从理论上来说，如果有机会连到同一个网络，我是有机会窃取你的手机信息的。”

 

　　在极棒大赛上一口气攻破十几台路由器的长亭科技成员杨坤也对北京晨报记者表示：“ 电影电视会有些夸张，但也差不多。比如攻破了你家的路由器之后，基本上所有连上路由器的智能设备都能被控制。”根据现场演示，安卓手机在连接了有漏洞的路由器后，在使用正规软件市场下载应用时，正规软件便会被替换为植入了木马的恶意程序，使得攻击者可以收发查看受害者短信、控制手机的电话功能、调用手机摄像头等。除此之外，长亭科技还发现了存在漏洞的华硕路由器服务被暴露在互联网上，攻击者可以在全世界任意位置对其发起远程攻击，受影响的路由器达数万台。

 

　　杨坤表示，假如路由器被黑客攻破，路由器作为所有设备上网的入口，所有的信息都会有数据流，这些数据流里面可能有个人比较敏感的信息，所以危害比较大。他建议，路由器应当设置强密码，可以包含数字、大小写，尽量多一些变化，应该经常更改密码。此外尽量使用WP2加密的WiFi，另外也不要用万能钥匙这样的软件。

 

　　其实，在今年的“3·15晚会”中，不仅有利用路由器漏洞获取观众隐私信息的情景互动，更有智能生活安全“黑客大片”上演。王琦认为，站在用户的角度，如果是用免费WiFi，如果有人要攻击你，那可能防不胜防。“尽量连一些我们熟知的WiFi，如果要做重要的工作，尽量不要用WiFi，采用3G、4G。”王琦给出了安全建议。

 

　　此外要注重对于个人隐私的保护，“在不同的地方用不同的密码，一旦出现问题可以只是在小范围之内。”王琦说。

 

 

　　“白帽子”的平均收入才6402元？

 

　　百万奖金？千万收入？ 黑客的收入到底有多高？这个问题如果去问黑帽黑客，便是亢奋，但对白帽黑客来说，他们都很意外，“比赛之前根本没看奖金、奖项。好像从没考虑过这个问题。”

 

　　腾讯电脑管家网络攻防小组在大会上一秒破解微软Surface Pro 4并控制摄像头，项目中用到的内核漏洞通杀所有Windows操作系统，这个研究成果曾被国外网络军火商开价8万美元公开收购。小组成员邓欣说，白帽子现在收入水平有所提高，到企业做安全研究能拿二三十万年薪，但是觉得“还可以再提高一点”，“不能总是在出问题的时候才重视安全。”

 

　　“一般帮助厂商挖出一个安全漏洞能得到几十元左右的奖励，如果是大漏洞会多些。最开始的时候，我们还送过充电宝或者玩偶，也非常受欢迎。” 小米科技首席安全官陈洋表示。

 

　　一个漏洞的价值难道就是一个充电宝？账显然不能这么算。据媒体报道，现今国内顶级安全人才的年收入可以达到百万水平，加入互联网公司的高技术水平白帽子年入十几万到二十万不等，即便是散兵游勇的白帽子，通过在平台上提交漏洞，也可以月入数万元。

 

　　“多数漏洞挖掘者是出于爱好，也是产品的发烧友。找出漏洞，又被厂商认可，这个过程带来了愉悦和成就感。所以比起金钱，那代表着一种荣誉。”陈洋表示。

 

　　另一个客观现实是，随着智能产品的增加，避免不了大大小小的漏洞。如果对单个漏洞的“悬赏”价格过高，也容易养成一批职业挖掘者，以此谋利，这显然有悖初衷。

 

　　根据补天平台统计，中国的白帽子黑客收入差距十分悬殊。补天平台上白帽子的平均收入为6402元，最赚钱的白帽子“合肥滨湖虎子”收入则是428850元，比排名第二的“sectops”收入161300元高出近30万元。

 

　　不可否认的事实是，比起黑产的巨大财富诱惑，白帽子的收入绝对不会使他们“暴富”。大牛蛙曾经在接受媒体采访时表示：“我也可以偷一票好莱坞明星的照片，然后去夏威夷度假，远走高飞。不是不愿意干坏事，平心而论是胆小，万一被抓了怎么办？我说的是人的本性。此外我们对暴富的诉求没那么强烈。”