白帽子里最會種樹的,依靠找漏洞��,一個月種了32棵樹;種樹里最會找漏洞的�,以漏洞數(shù)量和質量,獲得AFSRC2018第一季度第一名的黃金榮譽勛章�����。
他就是Dx-mmmark����。
在代碼組成的比特世界里��,Dx-mmmark如同一臺精準的掃描儀���,發(fā)現(xiàn)百密一疏的漏洞��,然后提交給平臺,及時修補漏洞�����。包括Dx-mmmark在內的白帽子們,是虛擬世界里的“正義聯(lián)盟”�����,和互聯(lián)網(wǎng)公司���、用戶聯(lián)合對抗共同的敵人————龐大的黑客軍團。
這是一場不見刀光劍影,但廝殺相當激烈的智力攻防戰(zhàn)��。
一
生于1992年的Dx-mmmark��,卻戲稱自己是“老家伙”��。
如今的白帽子行業(yè)����,95后已經(jīng)占據(jù)了主流———這些在校生們,有更為充裕的時間查找漏洞���。但Dx-mmmark的優(yōu)勢在于狂熱的興趣���、不懈的努力以及更為豐富的經(jīng)驗���。
Dx-mmmark從未想過自己有一天會成為白帽子。四五年前從計算機專業(yè)畢業(yè)后�����,Dx-mmmark一度遠離由0��、1字節(jié)組成的虛擬世界,他對沉悶的程序員生活十分抗拒 ����,“前兩年啥都嘗試過���,但就是沒寫過代碼,沒當過碼農”�����。但兩三年前����,“安全”讓他重新?lián)炱鹆藢W(wǎng)絡世界的狂熱�����。
如今Dx-mmmark白天的工作��,是某互聯(lián)網(wǎng)金融公司的安全工程師,而在工作之外的自由時間����,他則在虛擬世界���,化身為一位行俠仗義的白帽子。
幾乎所有的白帽子都不會錯過那部描寫黑客生活的經(jīng)典美劇《黑客軍團》����,它也是Dx-mmmark的最愛����。
這部美劇讓他認識到了網(wǎng)絡世界的兇險�。電影里的男主角名叫艾略特·奧爾德森,是一位患有社交恐懼癥的神經(jīng)質程序員,晚上則化身黑客���。在技術高超的艾略特眼中�,繁雜浩瀚的網(wǎng)絡世界是透明的,他想攻擊的目標���,大門敞開�����,既無隱私�,也無秘密�,艾略特可以為所欲為。
“這個世界比我們想象的兇險多了�。”Dx-mmmark說����,“但多數(shù)網(wǎng)民,不知道這些風險”�����。最佳的安全防護����,其實是在漏洞被利用���、影響用戶之前,就被發(fā)現(xiàn)和修補�,這是所謂的無感知安全。但互聯(lián)網(wǎng)公司不會忘記他們的價值����,即將在一年內種上的5000棵綠樹����,將成為表彰白帽黑客的功勛林�����。
今年年初���,螞蟻金服倡議發(fā)起了“互聯(lián)網(wǎng)安全防護林計劃”��,截至目前已經(jīng)有12家公司SRC(安全應急響應中心)共同參與�。在收到有效漏洞后,參與防護林計劃的互聯(lián)網(wǎng)公司�����,就會以漏洞提交者的名義捐贈一棵樹(包含1棵灌木、2平方草方格)���,過去不被普通用戶感知的網(wǎng)絡安全�,將通過數(shù)千棵綠樹�,讓用戶可見可感可知�����。
在比特世界里�����,熟知并四處查找漏洞的有兩類人����。一類是白帽子����,他們查找漏洞的目的是堵住漏洞����。在由0����、1字節(jié)組成的茫茫大海里,搜索漏洞的難度�����,不亞于在狂瀾巨浪的大海里�,尋找迷失的小船���,這是一個極為孤獨和辛苦的行業(yè)���,非興趣或者理想難以支撐��。但這種苦海泛舟的孤獨是必經(jīng)之路————解決漏洞和弱點的唯一路徑���,就是發(fā)現(xiàn)它和暴露它。
另一類則是黑客,他們視漏洞為“金錢女神”�����,追逐漏洞如同蚊蠅逐臭��,在他們眼中��,漏洞就是能帶來真金白銀的巨大商機���,他們是網(wǎng)絡世界的毒瘤、小偷和強盜��,他們的規(guī)模還在壯大���。
統(tǒng)計數(shù)據(jù)顯示,中國互聯(lián)網(wǎng)欺詐風險已在全球排名前三���,網(wǎng)絡欺詐導致的損失已達到GDP的0.63%,這一數(shù)字僅次于美國的0.64%��。遍布全國的黑灰產業(yè)人員超過了100萬,每年給企業(yè)造成的直接損失超過了1000億�����,各類黑灰產業(yè)集群超過了10000個����。
Dx-mmmark的工作,某種程度上�����,就是在和黑客賽跑�,在嗅覺靈敏的黑客到達之前,找到漏洞����,并協(xié)助平臺堵上漏洞���。
至少���,從現(xiàn)在來看�,Dx-mmmark贏了。
二
僅用一個月時間獲得1536金幣���,成為螞蟻金服安全響應中心AFSRC資深安全專家���,獲得AFSRC2018第一季度第一名的黃金榮譽勛章����,這個成績相當驚艷�,但Dx-mmmark認為自己并不算技術大牛�����。他上的大學一般��,大學期間也并非同學中的學霸���,他把自己的登頂歸結為綜合因素———好奇����、勤奮、細心���。
Dx-mmmark不愿套用那些宏大的詞匯去描述他的熱情和理想����,“白帽子也是普通人,我可能就是好奇心比較強����,安全這個領域非常寬廣��,你走不到邊的���,不斷通關���,但沒有盡頭����,所以我就很有興趣。”
當然����,必要的理想主義也是有的�,比如在AFSRC的驚艷戰(zhàn)績����,就讓Dx-mmmark小有自豪����,“將來我有孩子了����,我就可以給孩子吹牛啊��,爸爸曾經(jīng)幫助一個用戶五六億的金融平臺���,發(fā)現(xiàn)了漏洞,堵住了風險����。”
其次則是細心�����,這是Dx-mmmark從推理小說中得到的啟示���。日本作家島田莊司和東野圭吾的小說,都是他的最愛����,找漏洞的過程,很像推理����。
“你去看電影里福爾摩斯那些神探�,他們很厲害很神奇��,但是你看島田莊司和東野圭吾的小說就知道了,生活中的神探�����,靠的是持續(xù)的好奇心�、反復的努力,以及細心細心再細心�。”
做安全和碼農不同,做碼農可能只需要懂代碼就夠了����,然后組織二進制語言去實現(xiàn)業(yè)務指令。但安全的范疇很廣泛�,不僅要懂點技術��,還要懂業(yè)務,懂運維�����。不僅要有理性��,有邏輯��,還要洞察人性�。最有趣的是要把自己代入黑客的角色����,去反向推斷,到底黑客是如何尋找和利用漏洞的���。這個過程�����,很像推理小說中��,正邪兩股力量�����,在智力層面的總和較量�����。
細心和邏輯推演能力體現(xiàn)在Dx-mmmark喜歡的小說《嫌疑人x的獻身》里�,石神制造的謀殺案的完美假象�,已經(jīng)蒙騙了專業(yè)警察���,但最終能被小說塑造的名偵探湯川 識破,就在于湯川細致入微的觀察能力和嚴密無縫的邏輯推理能力�。
持續(xù)的努力當然也是不可少的���。收獲最多的一月份,Dx-mmmark在工作之余����,每周擠出三天,每天花費兩到四個小時,排查漏洞和攻擊���,“為啥很多學生也能發(fā)現(xiàn)不少漏洞,因為他們時間更充裕�。”
三
正如月有圓缺���,人無完人�����。程序也許沒有漏洞�,但人是有漏洞的�����。因此�����,幾乎一線互聯(lián)網(wǎng)公司�,都啟動了安全應急中心,鼓勵白帽子尋找業(yè)務漏洞�����、系統(tǒng)漏洞�、運營風險、安全事件等��,并給予獎勵,Dx-mmmark大概為十來家互聯(lián)網(wǎng)公司當過白帽子�。
2017年的雙11���,Dx-mmmark看到了螞蟻金服的英雄貼,后者正在大規(guī)模召集安全領域專家�����、白帽子��、社會團體及個人共同發(fā)現(xiàn)潛在的漏洞信息����,并依此建立漏洞統(tǒng)計分析中心��,預知并自查風險,提升業(yè)務安全�。
相比于其他公司,Dx-mmmark認為AFSRC吸引他的原因主要有四個。
第一�,“onebug onetree”的公益活動。
隨著參與人數(shù)越來越多����,支付寶app里的螞蟻森林“一樹難求”。但是Dx-mmmark等白帽子���,貢獻了一個有效漏洞,螞蟻金服就會以漏洞提交者的名義捐贈一棵樹(包含1棵灌木��、2平方草方格以及10年的精心養(yǎng)護)��,這個活動對Dx-mmmark的吸引力很強��。
過去�,白帽子的工作被淹沒于浩瀚的虛擬世界里�,漏洞堵上了�,他們的工作就終止了,現(xiàn)在���,白帽子的貢獻值�,穿越到電腦屏幕之外,在阿拉善沙漠里�,落地生根為看得見�、摸得著的5000棵功勛林���,“這棵樹就永遠種在哪里了,以我的名義�����,特別有滿足感,有成就感”��。
其次�,很贊的海外游學活動���。AFSRC每年都會組織海外游學計劃����。白帽黑客查找漏洞的過程極為孤獨����,白帽黑客的圈子也不大���,小伙伴們多是網(wǎng)絡交流,很少線下見面����,一塊海外旅游、游學的時光�,非常難得��。
“哈哈���,當然想去游學了����,這個我請年假也要去的�。”Dx-mmmark很憧憬——他今年獲選的勝算不小����。在這之前,AFSRC的游學項目���,已經(jīng)到達過迪拜����、澳洲等等����。
今年春天�,獲選的AFBOYS,得以去澳洲游學�。除了哈雷����、大堡礁和熱氣球體驗等精彩的游玩項目,更為難得的是海外交流學習的機會����。這是AFSRC白帽的獨家福利���。交流對象包括全球互聯(lián)網(wǎng)巨頭以及世界最頂尖的安全大牛�����,也是Dx-mmmark最為看重的環(huán)節(jié)。
今年的澳洲游學中,AFBOYS參觀了google澳洲總部大樓����,和谷歌的安全大牛們����,詳細交流了攻防經(jīng)驗��。
不出意外的話�����,Dx-mmmark今年也有望獲得這樣的游學機會。
第三���,螞蟻金服制定了豐厚的漏洞獎勵機制����,包括常規(guī)的物質獎勵���、榮譽獎勵和特殊獎勵的模式。
季度獎勵比如周大福純金勛章;年度大獎包括海外知名公司�����、高校游學;嚴重漏洞額外最高獎36萬元��。
2018年第一季度,Dx-mmmark拿到了大概2萬元的獎金�,這是一筆不小的收入�����,“螞蟻還是挺大方的��。”
這筆獎勵�����,對于95甚至00后的學生白帽子群體來說�����,吸引力更強�,在螞蟻金服發(fā)現(xiàn)幾個有效漏洞,一年的學費��、生活費,甚至旅游經(jīng)費都有了��。
曾有一名白帽子�,在AFSRC 發(fā)現(xiàn)的單個漏洞,就拿到高達36 萬的獎金�����。
第四���,螞蟻很重視安全,很尊重白帽子���。
“響應非常快,很多當天就給反饋���,最長的也就一兩個工作日����。”Dx-mmmark說,“白帽子在這里���,特別受重視�����、尊重����。”
早在成立之時��,螞蟻金服安全應急響應中心就公開承諾�,對每一位報告者反饋的問題都有專人進行跟進和處理�����,并及時給予答復��。
這就是一個非學霸白帽子逆襲的典型案例���,“其實白帽子也很普通的”�����,Dx-mmmark多次強調����,不要美化他�����,“只要你有好奇心���,愛學習�����,都能來當白帽子,這個圈子���,還是不夠大,歡迎大家都來”���。
鄂公網(wǎng)安備 42112402000149號