中国人隐私安全重要吗？网络战爆发咋办？女子黑客天团、白色产业链是什么……浅黑科技图解这届补天大会（2...

本文来源:

中国人隐私安全重要吗？网络战爆发咋办？女子黑客天团、白色产业链是什么……浅黑科技图解这届补天大会（2018）

文|谢幺 浅黑科技

盼望着，盼望着，东风来了，春天的脚步近了，我从北京的办公室溜到上海了。

不过，既没去园子里打两个滚，也没去田野里踢几脚球，赛几趟跑。作为一个网络安全科技媒体作者，我参加了一个很有意思的黑客大会。

鲁迅先生曾说要做个心灵美，善于观察生活的人。于是我在会场门口发挥了一下观察能力：

换个展位，继续观察生活：

……

……

……

这天，我花了一整天时间在黑客大会观察生活，搜罗到不少有意思的点，在此分享给大家。

或许你以前已经看过各种游记，但你多半没看过一次黑客大会游记，下面请跟随我的视角，走进补天白帽大会。

 Let’s Rock ! 

中国，世界第一人口大国，我在补天白帽大会的现场深深感受到这一点:

据说补天白帽是亚太地区目前规模最大、参与白帽子（善意黑客）数量最多，影响力最广的白帽大会。

影响力和规模我没法评估，反正人是真的多。

这让我想起去年在深圳参加补天白帽大会2017时，同样是陷入人群无法自拔。

（那时的幺哥还是青涩模样，那一幕恰好被会议官方的摄像师拍了下来，照片挂在补天平台官网的“往期回顾”里）

事实上，前一天晚上我就去会场考察过，当时会场里是这样的，我寻思怎么也能有个座位：

可是当我第二天来到会场，已经变成另一幅模样。

9点之后大会已经开场，参会者依然犹如滔滔江水连绵不绝。没有身高优势的我被埋没在人群中，恨不得飞上天和太阳肩并肩。

（此刻座无虚席人山人海这种形容词都是多余）

我悄悄猫到会场前面，发现补天平台的现任掌门人白健坐在最前面，只见他身着黑衣，上书15个大字：

HACK FOR SECURITY

（为了安全！）

Hack for Security , 这句话既代表着白帽子黑客的核心精神，也是这届大会的主题。

黑客，本是个中性词，代表拥有高超技艺，追求突破的人。

但是后来，有人利用黑客技术作恶，让“黑客”这个词逐渐被污化，从此让寻常老百姓联想到一些黑暗、邪恶和破坏。

有黑就有白，同样拥有高超安全技术的黑客并不想同流合污，他们希望做些真正有价值的事，帮助人们消除网络安全威胁，于是他们有了一些新的称呼：白帽子、道德黑客（ethical hackers）、正派黑客……

这些年，补天平台一直想做黑客版的滴滴打车，试图连接白帽子和企业，形成一个“白色产业链”，继而和“黑色产业链”做对抗。

它的逻辑是这样的：

- 民间白帽子帮企业发现安全漏洞，获得报酬和尊重；

- 企业花不多的钱就能获得较高水准的网络安全服务；

- 我们这群吃瓜群众的隐私、数据、财产因此变得更安全;

三赢，人人献出一点爱，世界变成美好的人间。

当然，这一切有个大前提：企业需要承认漏洞的价值，情愿为白帽子的劳动成果付费。

“漏洞是有价值的，并且价值越来越凸显。如果每个企业都愿意为自己的漏洞付费，就能鼓励那些站在十字路口的技术高超的年轻人走上正道，进入「白色产业链」而非「黑色产业链」。”

这话不是我说的，是台上这个人说的：

360企业安全集团董事长齐向东

齐向东说，今年是补天的第五年，5年来，平台已经有4万多个白帽子，入驻两千多家企业，修复了超过 25 万个安全漏洞。

这个数字听起来很夸张吗？

事实上，补天平台的这种“白色产业链”模式在国外已经相当成熟。

“美国有个叫 HackerOne 的类似平台曾发动民间白帽子帮美国国防部找安全漏洞，结果找出59种黑掉五角大楼的方法。他们还帮助美国的征兵网站、现役军人的数据库做安全评估，效果很好。”

除了美国本土公司之外，加拿大最大的电商平台、欧洲最大的保险公司也是 HackerOne 的客户。

齐向东说。

讲到这我必须说个小秘密：全球知名的成人网站 Pornhub、YouPorn 也是 HackerOne 的客户，并且漏洞悬赏金不低！（别问我是怎么知道的）

为了说明漏洞的重要性，会上请了个很厉害的网警大哥，讲了几段惊悚情节：

（听说头衔很长的人都厉害，他的称呼真的很长：国家网络与信息安全信息通报中心、公安部网络安全保卫局副处长 张秀东）

他说，近几年他们通过各种专项行动打掉不少网络犯罪团伙：

“有个黑客，一人就入侵网站一万多家，窃取公民个人信息10亿条，非法获利20万。”（没错，这多数据就卖了20万，这人的良心比较廉价）

“另一个团伙，入侵多个省的疾控中心相关信息系统，窃取大量婴幼儿信息，获利60万

“还有一个，通过漏洞窃取某航空公司内部网络，窃取航班信息40万条，非法牟利600万。”

网警们查了这么些案件后，发现一个共同点：

几乎目前所有的网络违法犯罪基本上都是从发现漏洞，利用漏洞开始的，

也就是说，如果这些漏洞能先让白帽子发现，就能及时消除安全隐患。

好在，白帽子确实一直在帮助公安部门通报漏洞。

张秀东说：“2016年开始，公安厅从补天平台的数据接口收到白帽子报送的漏洞超过23000个，其中13000多个属于国家的重要信息系统和政府网站的高危漏洞。公安部门接到报送第一时间通知各个部位部委，重要企业和政府单位，开始协同处理，消除了很多重大安全隐患。”

采访间里，一群记者开始刁难老齐：

“既然白帽子这么厉害，如果真的爆发网络战，白帽子会担当什么样的角色？”

面对这样一个脑洞题，老齐大概是这么回答的：

“在网络安全方面，美国确实走在我们前面。他们很早组建了网军，据说有133 个支队，相当于中国的“连”，其中大概 1/3 是现役军人，1/3是网络安全公司的人，还有1/3，就是民间的白帽子。

传统的士兵，一两年训练差不多就能扛枪作战；网络战不是，网络战需要真正的高手技术，不可能一两年就能训练出来。但是，你又不可能抓壮丁，让白帽子都去参军，所以，军民融合一定会成为趋势。

战时，士兵也需要走出兵营去保护民用关键基础设施，比如医院、电网、之类的。士兵不可能对所有设备的计算机系统和流程了如指掌，这时需要这些单位的信息安全部门、IT部门来协助，这就更要军民融合。平时就是民，战争时就是军，军民融合也是唯一的出路。

小时候我总被灌输军民亲，鱼水情的精神，万万没想到这种精神居然在网络时代再次得到发扬，一想想我胸前的红领巾就更加鲜艳了。

现场记者VS老齐第二轮

“前阵子百度CEO李彦宏谈到中国人对隐私安全的态度，你怎么看这个问题？”

齐向东：

虽然中国的网络隐私泄露情况确实比国外更严重，但是，中国人的隐私和外国人同样重要！

还记得去年被电话诈骗的那个清华大学教授吗？你说是清华教授的智商不够高？据我所知，当时骗子把冒充公检法”，把受害者的信息，什么身份证、购物信息、家庭住址一股脑全说出来，当即唬住了清华教授。

清华教师刚卖了房子，骗子就布下了针对性陷阱。

电话诈骗为什么能做得那么逼真，因为他们拿到了你的个人隐私信息。

除此之外，大部分人的账号密码和密保，多多少少跟你的隐私有关联，比如生日、宠物的名字、出生地、喜好等等，而网络犯罪分子通过这些看似不太关键的信息，就能利用社工数据库的方式“猜”出你的密码和密保答案，继而盗取账号。

回看这些问题的根源，我们会发现都是隐私泄露，我们能不重视吗？

---

回到会场外，人们已经三五成群的聊起了天，像个酒会。

一般来说，技术大会进行到一大半，外面势必会站满人。一来因为大家平常都很忙，开会是个不错的社交场景，可以联络联络老朋友。

二来，里头演讲者一旦讲起什么漏洞挖掘干货，一大半是真的听不太懂了。技术人的圈子有句古语说的好：Talk is cheap , show me the code. 意思是，屁话少说，放码过来。

补天白帽大会毕竟是个技术气质的会议，进行到一半就已变成这样：

想了解补天当天议题的可以点击补天官网”查看，这里就不赘述，涵盖了系统破解、脚本利用、人工智能安全、区块链安全等方方面面。如果有想了解的议题可以在文末留言，我可以单写一篇。

临近中午，补天颁发了五周年最具价值白帽奖（MVP），据说还颁发了个冠军戒指。

这几个白帽子据我所知，每年靠挖漏洞就能挣几十万，（同时还有很多大公司想挖他们去上班）

但是我也知道，白帽子们为企业和网民挽回的价值远远超出这个数，或许是数十倍，或许数百倍。所以我觉得有必要介绍一下他们的名字：

a0

Adrian

hckmaple

Carry_your

System_gov

--

--

--

--

--

（按ID字符数排名）

目前我国在网络安全这块有巨大的人才缺口，为了培养更多网安人才，补天平台跟一些学校、机构合作推出了一个人才培养计划。大意就是提供技术、法律两方面的培训和引导。

同时，对于那些有创业意向的，还联合政府启动一些创业计划。

一个有趣的分会场

补天白帽大会有好几个分会场，我去了其中一个 DEF CON GROUP 010 黑客沙龙分会场：

这个分会场是个技术氛围很浓，是全球顶尖黑客盛会 DEF CON 旗下的沙龙活动，我曾经采访过它的发起人李均（参考：《再介绍一下我自己吧，我是谢幺，一个好奇的科技宅作者，目前主要关注网络安全和好玩的黑科技。想听到更多有意思的事可以加我微信：dexter0 或者关注我的知乎 @谢幺

不想走丢的话，请关注公众号浅黑科技：qinaheikeji

                                                                             浅黑科技，让技术被读懂

标签： 黑客 黑客大会