"白帽子"黑客张瑞冬：互联网用户安全意识薄弱是最大风险

　　在信息安全领域中，所有研究智取计算机安全系统的人员统称黑客。但在黑客的世界里，又有“正”与“邪”两个阵营，分别是以破坏网络安全来获取个人利益的“黑帽子”和维护网络安全的“白帽子”。

　　22岁的张瑞冬创建的“白帽子”团队，长期居漏洞查找排行榜首位。一次次漏洞曝光，奠定了张瑞冬团队在圈内的“牛人”地位。

　　近日，《每日经济新闻》记者(以下简称NBD)在成都专访了这名年轻的黑客。在张瑞冬看来，“白帽子”们最大的优势，就是通过模拟恶意黑客的攻击方法，监测网络系统的实际安全性，提前发现漏洞或缺陷，并进行必要的修补。

　　自学成才的“白帽子”

　　NBD：能谈谈您的“白帽子”成长史吗?

　　张瑞冬：我可能不是钻研程序和代码的“黑客男”，玩的更多是逻辑性的东西。13岁去银行取钱时，我发现ATM机的程序有一个逻辑漏洞，可以让人取钱以后银行卡的余额不改变。

　　比如，取1000元，我拿走其中9张留1张，90秒以后系统会显示超时并把这一张收回去，但系统在收回去的过程中是没有做点钞机制的，显示的余额没有减少。这就是典型的业务逻辑漏洞，后来我帮助银行解决了这个问题。

　　NBD：“白帽子”们往往非常年轻，而且大多都不是学计算机的，您怎么理解这一现象?

　　张瑞冬：的确如此，以我们团队为例，10多个人中，只有两人有大学以上学历，一个是生物学博士，一个是物理硕士。其余人基本是初中、高中学历，我自己只有初中文凭。据我了解，BAT的安全部门中有一半的技术人员都没有大学文凭。

　　我们这群人大多从小就对电脑网络感兴趣，通过阅读相关书籍和大量的实践与思考自学成才。高校里的网络安全培养方式理论性太强，而且往往是正向思维，缺乏用攻击思维来防守的实践课程。

　　NBD：您怎样理解黑客从事网络安全的特点?

　　张瑞冬：传统的安全产品，是用防御类设备对抗攻击设备，但毕竟设备的匹配规则是死的，攻击者可以绕过设备。所以，传统的设备已经拦不住攻击者。

　　我们这群“白帽子”黑客非常熟悉“黑帽子”的行为，可以完全模拟“黑帽子”的行为，找到脆弱点，然后提出一套完整的修补建议，漏洞修补后再测试。

　　用户安全意识差

　　NBD：人们一提到黑客就会联想到网络破坏，这种误解会对网络安全人才队伍的发展产生不利影响吗?

　　张瑞冬：公众对黑客的理解确实有些误解，黑客本身不是一个负面形象。在我看来，黑客就是对技术的极致追求，发现问题、质疑权威、充满好奇。我喜欢钻研逻辑问题，想刨根问底研究系统中有没有逻辑漏洞，这就是黑客思维。黑客这个称号是对技术的极大肯定，我非常乐意别人叫我黑客。

　　事实上，黑客群体中的网络安全高手辈出，高校里的培养方式实用性不够强。我们团队曾做过几次实践类型的安全培训，白天在乌云网上找一些漏洞案例来讲解，晚上带大家实战。但这些实战也不是真正去黑别人，我们写一套系统，导师带着学员学习攻击手段。

　　不过，后来这个课程被叫停了，理由是涉及“黑客教程”。所以，这是一个悖论，一方面国家的网络安全行业缺乏“白帽子”人才;另一方面黑客的社会身份又很尴尬。

　　NBD：我国接入互联网逾20年，网络安全与互联网发展的程度似乎并不匹配，您认为网络安全行业最薄弱的环节是什么?

　　张瑞冬：我认为最薄弱的环节还是用户安全意识太薄弱。我们经常处理一些应急事故，发现真正高难度入侵行为是很少的，导致事故频发的原因是，用户密码设置太简单或者是操作失误。

　　我曾帮一家上市公司做网站安全测试，他们的系统很安全，测了半天也没有找到问题。后来我发现该公司有内部交流的QQ群，点击加入，立马就把我放进去了。进去后，我发现群共享里有个文件夹，文件夹的名字叫公司各种系统密码。就这样简单，我轻易获得该公司系统密码。这是很普遍的问题，互联网用户的安全意识薄弱，对安全的管控能力比较差。

　　张瑞冬：我认为最薄弱的环节还是用户安全意识太薄弱。这是很普遍的问题，互联网用户的安全意识薄弱，对安全的管控能力比较差。