“白帽子”黑客张瑞冬：互联网用户安全意识薄弱是最大风险

本篇文章1597字，读完约4分钟

◎各位记者丁

在信息安全领域，所有研究智能计算机安全系统的研究人员统称为黑客。然而，在黑客的世界里，有两个阵营，即“积极”和“邪恶”，即通过破坏网络安全获取个人利益的“黑帽子”和维护网络安全的“白帽子”。

由22岁的张瑞东创建的“白帽”小组长期以来在漏洞搜索列表中名列第一。漏洞的不断暴露确立了张瑞东在圈内“牛”的地位。

近日，国家商报记者在成都采访了这位年轻的黑客。在张瑞东看来，“白帽子”最大的优势是通过模拟恶意黑客的攻击方式来监控网络系统的实际安全，提前发现漏洞或缺陷，并进行必要的修复。

自学的“白帽子”

Nbd:你能谈谈你的“白帽子”增长历史吗？

张瑞东:我可能不是一个钻研程序和代码的“黑客”，但我玩更符合逻辑的东西。当我13岁去银行取钱时，我发现atm程序有一个逻辑漏洞，使得银行卡取钱后余额不变。

例如，如果我拿走1000元，我会拿走9元，留一元。90秒后，系统将显示超时并收回这一次。但是，在恢复过程中，系统并没有设置货币计数器，显示的余额也没有减少。这是典型的业务逻辑漏洞。后来，我帮助银行解决了这个问题。

Nbd:“白帽子”通常很年轻，他们中的大多数人不学习电脑。你如何理解这一现象？

张瑞东:没错。以我们的团队为例。在10多人中，只有两人受过大学或以上教育，一个是生物学博士，另一个是物理学硕士。剩下的基本上都是初中和高中，我只有初中文凭。据我所知，英美烟草安全部门一半的技术人员没有大学学位。

我们大多数人从小就对计算机网络感兴趣，并通过阅读相关书籍和大量的实践和思考而自学成才。高校网络安全培训模式过于理论化，往往是积极思考，缺乏以攻击性思维进行防御的实践课程。

Nbd:你如何理解从事网络安全的黑客的特征？

张瑞东:传统的安全产品使用防御设备来对抗攻击设备，但毕竟设备的匹配规则已经失效，攻击者可以绕过设备。因此，传统设备无法阻止攻击者。

我们这群“白帽子”黑客非常熟悉“黑帽子”的行为，并且能够完全模拟“黑帽子”的行为，找到漏洞点，然后提出一整套修复建议，然后在漏洞被修复后进行测试。

用户安全意识差

Nbd:当人们提到黑客时，他们想到的是网络破坏。这种误解会不会对网络安全人才的发展产生不利影响？

张瑞东:公众对黑客确实有一些误解。黑客本身不是负面形象。在我看来，黑客是对技术的终极追求，发现问题，质疑权威，充满好奇心。我喜欢钻研逻辑问题，想找出系统中是否有逻辑漏洞，这就是黑客思维。黑客的称号是对技术的一个很大的肯定，我很高兴被称为黑客。

事实上，黑客团体中有很多网络安全专家，高校的培训方法也不够实用。我们团队已经进行了几次实际的安全培训。白天，我们在五云上找到一些漏洞案例来解释。晚上，我们带大家去练习。然而，这些实际的战斗并不会真的攻击其他人。我们编写一个系统，教师带学生学习攻击手段。

然而，该课程后来被停止，因为它涉及一个“黑客教程”。因此，这是一个悖论。一方面，国家网络安全产业缺乏“白帽子”人才；另一方面，黑客的社会身份非常尴尬。

Nbd:中国已经连接互联网20多年了，网络安全的程度和互联网的发展似乎不匹配。你认为网络安全行业最薄弱的环节是什么？

张瑞东:我认为最薄弱的环节是用户的安全意识太弱。我们经常处理一些紧急事故，发现很少有真正困难的入侵，这导致事故频发，因为用户密码设置太简单或操作错误。

我曾经帮助一家上市公司做网站安全测试，他们的系统非常安全，经过长时间的测试没有发现问题。后来，我发现公司内部有qq群进行交流。点击加入并立即让我加入。进去后，我在群共享中找到了一个文件夹，文件夹的名字是公司的各种系统密码。就这么简单。我可以很容易地得到公司的系统密码。这是一个常见的问题。互联网用户安全意识薄弱，安全控制能力差。

张瑞东:我认为最薄弱的环节是用户的安全意识太弱。这是一个常见的问题。互联网用户安全意识薄弱，安全控制能力差。