國內(nèi)外“黑客”扎堆北京 世界級安全會議聚焦網(wǎng)絡(luò)安全
本報特約記者 姜 樂
2018年9月4日,一年一度的ISC互聯(lián)網(wǎng)安全大會(簡稱ISC,Internet Security Conference)于北京召開,再度迎來大量互聯(lián)網(wǎng)安全行業(yè)領(lǐng)袖和從業(yè)者,一時間北京的國家會議中心被網(wǎng)友稱為全球“黑客”密度最大的場所。記者走進(jìn)這一充滿神秘感又和百姓生活息息相關(guān)的網(wǎng)絡(luò)安全殿堂,感受技術(shù)大咖的思想火花,也近距離接觸這一被外界廣泛關(guān)注的人群。
頂級“黑客”為何齊聚中國?
在為期三天的會期內(nèi),來自中、美、俄、法、德、以色列、比利時和歐盟等20多個國家和地區(qū)的近300位安全專家與國內(nèi)外近4萬安全從業(yè)者參與30余場峰會論壇,其中包括原美國網(wǎng)絡(luò)司令部作戰(zhàn)主任威廉姆斯將軍(Brett Williams)、以色列8200部隊原開源情報分析主管津曼(Roy Zinman),前俄羅斯聯(lián)邦政府通信與信息聯(lián)邦總署署長、俄羅斯聯(lián)邦國家安全會議前第一副秘書謝爾斯圖克(Vladislav Sherstyuk)。
ISC大會在中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國家密碼管理局的指導(dǎo)下,由中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會、中國密碼學(xué)會、中國友誼促進(jìn)會、360互聯(lián)網(wǎng)安全中心共同主辦,據(jù)悉已成為亞太地區(qū)規(guī)格最高、規(guī)模最大、影響力最為深遠(yuǎn)的安全盛會。
據(jù)ISC大會秘書長韓笑介紹,ISC與其稱之為“黑客大會”,更準(zhǔn)確的定位是一個世界級安全對話平臺。
“在國際上,ISC的影響力僅次于美國RSA信息安全大會、Blackhat&DefCon黑客大會”,360集團(tuán)首席安全官譚曉生對《環(huán)球時報》表示。他同時表示,ISC之所以有如此“國際大牌范”,不僅在于網(wǎng)絡(luò)空間安全本身就帶有很強(qiáng)的國際特性,甚至有外交成份,而ISC大會話題全,有干貨,還好玩的特點都成了它不可取代的特點。
“從網(wǎng)絡(luò)安全攻防技術(shù),到防護(hù)技術(shù)網(wǎng)絡(luò)空間安全治理,再到網(wǎng)絡(luò)犯罪預(yù)防與打擊和網(wǎng)絡(luò)安全教育,整個產(chǎn)業(yè)鏈條都能找到自己的同行以及關(guān)注的話題,網(wǎng)絡(luò)安全國內(nèi)外從理念到技術(shù)還是有差距的,國外嘉賓確實能分享有價值的信息;而且大會不僅僅是開會,還有展覽,有比賽,有黑客破解活動,有Party。網(wǎng)絡(luò)安全國際交流需要這樣一種多元化、自由的氛圍和場景,正好ISC具備這種特點,就變成了國際交流的一個‘道場’”,譚曉生說道。
對于網(wǎng)友“黑客扎堆”的評價,譚曉生表示大會上黑客密集的事實本身沒錯,但這與ISC的定位并不符合,他強(qiáng)調(diào)參與ISC大會的國內(nèi)外嘉賓多數(shù)是做防御、安全管理人員,傳統(tǒng)意義上的“黑客”攻擊并不是主流。
中國“黑客”什么樣?
實際上,國內(nèi)對于“黑客”的定義仍然頗有分歧,有人談“黑”色變,有人則以“黑”為榮。
360企業(yè)安全集團(tuán)董事長齊向東在新書《漏洞》中表示,如果讓他回答什么是黑客,答案很簡單,黑客就是追漏洞的人。譚曉生的解釋更為具體:“黑客”是“一種熱衷于研究系統(tǒng)和計算機(jī)(特別是網(wǎng)絡(luò))內(nèi)部運作的人”。
“黑客兵工廠所做的不是惡意破壞,他們是一群縱橫于網(wǎng)絡(luò)上的技術(shù)人員,熱衷于科技探索、計算機(jī)科學(xué)研究。在黑客圈中,Hacker一詞無疑是帶有正面的意義,例如:system hacker熟悉操作的設(shè)計與維護(hù);password hacker精于找出使用者的密碼,若是computer hacker則是通曉計算機(jī),進(jìn)入他人計算機(jī)操作系統(tǒng)的高手”,譚曉生對《環(huán)球時報》表示。
就此定義來看,此次ISC大會上不僅有受邀參會的system hacker,還有不少computer hacker,而后者普遍有著同一個身份——白帽黑客。
白帽黑客又稱白帽子,是指那些用自己的黑客技術(shù)來維護(hù)網(wǎng)絡(luò)關(guān)系公平正義的黑客,測試網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能夠承受入侵的強(qiáng)弱程度。
據(jù)齊向東介紹,國內(nèi)的白帽黑客團(tuán)體有多大目前無人知曉,但僅僅在國內(nèi)最大的漏洞響應(yīng)平臺補天平臺上注冊的白帽黑客就已經(jīng)超過了4萬5千人,且年平均增長率保持在30%以上,發(fā)現(xiàn)的漏洞數(shù)量超過25萬個。
360互聯(lián)網(wǎng)安全中心統(tǒng)計的數(shù)據(jù)顯示,從年齡段來看,90后目前是白帽黑客的絕對主力,占總量的75.2%,而00后正在快速崛起。2016 年,00后白帽占比只有2.6%,而2017年,17 歲及以下的白帽已經(jīng)占到了9.1%。
Adrian到2018年才剛剛擺脫了“17歲及以下”的白帽分類,剛剛成年的他在白帽群體中卻早已名聲在外。作為補天平臺上排名第三的著名“小白帽”,Adrian對《環(huán)球時報》表示,“黑客”這個詞實際上被污名化了,令人只能想到黑帽黑客,但實際上黑客精神更多的是關(guān)于互助和騎士精神。
這種精神早在2008年就展示出來了。那時8歲的Adrian不小心在上網(wǎng)的時候下載了病毒導(dǎo)致家里電腦出現(xiàn)了故障,因此而罰站的他從此下定決心要保護(hù)自己,也要保護(hù)更多和他一樣的孩子們不再被無辜牽連。
但是并不是所有人都像Adrian一樣從一開始就理解黑客精神,甚至有人著迷黑客技術(shù)的原因只是想要“QQ藍(lán)鉆”。好在大家殊途同歸,最終他們都走到一起為網(wǎng)絡(luò)安全查漏補缺,扎緊企業(yè)和社會防護(hù)籬笆的同時,自己也收獲了不少精神和物質(zhì)獎勵。
不僅有各大廠商提供的禮物和旅行獎勵,年薪10萬這個在很多90后剛工作的人心中的高薪目標(biāo)在這些同樣年輕的技術(shù)人才面前都是小菜一碟。物以稀為貴在中國黑客的世界里體現(xiàn)得非常到位。由于網(wǎng)絡(luò)安全人才缺口已高達(dá)70萬人,高薪搶人的現(xiàn)象在“黑客圈”里屢見不鮮。24歲的白帽黑客Sqler在畢業(yè)三年的時間里換了兩份工作,目前年薪已過20萬。
總部位于美國舊金山的國際漏洞獎勵平臺HackerOne發(fā)布的 2018年度報告顯示,該平臺上的頂級白帽黑客平均收入比所在國家的軟件工程師高2.7倍。在中國,這個比例達(dá)到了3.7倍。而中國信息安全評估中心的一項調(diào)查顯示,2017年中國網(wǎng)絡(luò)安全專業(yè)人員的平均年薪為12.2萬至17.8萬元,而IT人員的平均年薪為12萬元。
憑著一腔熱情或是被高薪吸引加入白帽子是容易的,難的是堅持。白帽子們對《環(huán)球時報》表示由于挖漏洞等測試工作不僅消耗時間和精力,還需要堅持學(xué)習(xí)更新自己的網(wǎng)絡(luò)安全知識,有些人在工作后便放棄了白帽工作,泯然于眾人。那些還在堅持的白帽黑客則表示做“黑客”更重要的是熱愛和興趣。
挖漏洞是很多白帽口中的興趣愛好,這個外人看起來很枯燥的排查工作在他們眼中則是充滿了刺激和榮譽感。修復(fù)了一個影響范圍很廣的漏洞的心情“就像是雕刻師的一件作品雕完了最后一筆”,Sqler如此描述道。
和銀屏上的“黑客”形象不同,中國的黑客們沒有戲劇性和引人注目的外表,有的甚至大腹便便滿臉胡碴,看起來不好親近。然而就像還長著青春痘的Adrian一樣,他們其實相處起來很容易,非常友好,帶著一股羅賓漢行俠仗義,要保護(hù)世界的夢想,年輕的他們也像其他人一樣聊起天來都是表情包,唯一能看出他們的不同的是他們在擼串喝酒的時候聊起工作和技術(shù)不會冷場,因為那是他們生活的一部分。
中國網(wǎng)絡(luò)安全往哪里去?
最新的華住集團(tuán)個人隱私泄露事件再度引發(fā)了人們對萬物互聯(lián)時代數(shù)據(jù)保護(hù)的擔(dān)憂。對此,齊向東表示,絕大多數(shù)企業(yè)的網(wǎng)絡(luò)安全防護(hù)水平其實和華住集團(tuán)在同一水平,也可能更多的企業(yè)數(shù)據(jù)已經(jīng)被竊取了,只是絕大多數(shù)數(shù)據(jù)并沒有在公開市場上叫賣。
安全行業(yè)里有這樣一句話:世界上只有兩種人,一種人是已經(jīng)被攻擊了,另外一種是自己被攻擊了還不知道的。
齊向東表示,傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)按用途來進(jìn)行隔離,物理隔離或者邏輯隔離,但傳統(tǒng)IT網(wǎng)絡(luò)已經(jīng)落后了,今天所有人都在互聯(lián)網(wǎng)化,因此需要更進(jìn)一步的進(jìn)行大數(shù)據(jù)化和智能化。同時,應(yīng)用新技術(shù),包括“互聯(lián)網(wǎng)+”、大數(shù)據(jù)、人工智能,越快的企業(yè),安全的薄弱環(huán)節(jié)就會越多,暴露在互聯(lián)網(wǎng)上的東西也就會越多,就越容易攻擊成功。
“盡管有這么大的風(fēng)險,但是很多行業(yè)成為大數(shù)據(jù)、人工智能的先驅(qū)不會改變,因為遇到的風(fēng)險是一部分,這個人工智能和大數(shù)據(jù)的應(yīng)用,給他們帶來的好處可能是指數(shù)級的,安全應(yīng)該在發(fā)展中”,齊向東說。
在Adrian和Sqler看來,我國的網(wǎng)絡(luò)安全形勢和中國黑客的生存環(huán)境在不斷優(yōu)化,國家對網(wǎng)絡(luò)安全從立法到大學(xué)專業(yè)設(shè)置的支持已經(jīng)讓越來越多的人意識到了網(wǎng)絡(luò)安全的重要性,也認(rèn)識了白帽子這個特殊的群體,正是他們每天努力挖漏洞爭取減少華住集團(tuán)類似的數(shù)據(jù)泄露,從而減少老百姓被“精準(zhǔn)分析”的詐騙電話。
“這次ISC主題是‘安全從0開始’,我認(rèn)為現(xiàn)在的飛速發(fā)展讓一些人忘了這個行業(yè)的初心:做黑客是要有更強(qiáng)的網(wǎng)絡(luò)安全能力幫助社會國家發(fā)展,抵御真正的黑帽黑客盜取個人信息,保護(hù)個人隱私,讓網(wǎng)絡(luò)安全、便捷”,Adrian說。
免責(zé)聲明:本文僅代表作者個人觀點,與中創(chuàng)網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。