2018/05/22 16:44 天极网
白帽子里最会种树的,依靠找漏洞,一个月种了32棵树;种树里最会找漏洞的,以漏洞数量和质量,获得AFSRC2018第一季度第一名的黄金荣誉勋章。
他就是Dx-mmmark。
在代码组成的比特世界里,Dx-mmmark如同一台精准的扫描仪,发现百密一疏的漏洞,然后提交给平台,及时修补漏洞。包括Dx-mmmark在内的白帽子们,是虚拟世界里的“正义联盟”,和互联网公司、用户联合对抗共同的敌人————庞大的黑客军团。
这是一场不见刀光剑影,但厮杀相当激烈的智力攻防战。
一
生于1992年的Dx-mmmark,却戏称自己是“老家伙”。
如今的白帽子行业,95后已经占据了主流———这些在校生们,有更为充裕的时间查找漏洞。但Dx-mmmark的优势在于狂热的兴趣、不懈的努力以及更为丰富的经验。
Dx-mmmark从未想过自己有一天会成为白帽子。四五年前从计算机专业毕业后,Dx-mmmark一度远离由0、1字节组成的虚拟世界,他对沉闷的程序员生活十分抗拒 ,“前两年啥都尝试过,但就是没写过代码,没当过码农”。但两三年前,“安全”让他重新捡起了对网络世界的狂热。
如今Dx-mmmark白天的工作,是某互联网金融公司的安全工程师,而在工作之外的自由时间,他则在虚拟世界,化身为一位行侠仗义的白帽子。
几乎所有的白帽子都不会错过那部描写黑客生活的经典美剧《黑客军团》,它也是Dx-mmmark的最爱。
这部美剧让他认识到了网络世界的凶险。电影里的男主角名叫艾略特·奥尔德森,是一位患有社交恐惧症的神经质程序员,晚上则化身黑客。在技术高超的艾略特眼中,繁杂浩瀚的网络世界是透明的,他想攻击的目标,大门敞开,既无隐私,也无秘密,艾略特可以为所欲为。
“这个世界比我们想象的凶险多了。”Dx-mmmark说,“但多数网民,不知道这些风险”。最佳的安全防护,其实是在漏洞被利用、影响用户之前,就被发现和修补,这是所谓的无感知安全。但互联网公司不会忘记他们的价值,即将在一年内种上的5000棵绿树,将成为表彰白帽黑客的功勋林。
今年年初,蚂蚁金服倡议发起了“互联网安全防护林计划”,截至目前已经有12家公司SRC(安全应急响应中心)共同参与。在收到有效漏洞后,参与防护林计划的互联网公司,就会以漏洞提交者的名义捐赠一棵树(包含1棵灌木、2平方草方格),过去不被普通用户感知的网络安全,将通过数千棵绿树,让用户可见可感可知。
在比特世界里,熟知并四处查找漏洞的有两类人。一类是白帽子,他们查找漏洞的目的是堵住漏洞。在由0、1字节组成的茫茫大海里,搜索漏洞的难度,不亚于在狂澜巨浪的大海里,寻找迷失的小船,这是一个极为孤独和辛苦的行业,非兴趣或者理想难以支撑。但这种苦海泛舟的孤独是必经之路————解决漏洞和弱点的唯一路径,就是发现它和暴露它。
另一类则是黑客,他们视漏洞为“金钱女神”,追逐漏洞如同蚊蝇逐臭,在他们眼中,漏洞就是能带来真金白银的巨大商机,他们是网络世界的毒瘤、小偷和强盗,他们的规模还在壮大。
统计数据显示,中国互联网欺诈风险已在全球排名前三,网络欺诈导致的损失已达到GDP的0.63%,这一数字仅次于美国的0.64%。遍布全国的黑灰产业人员超过了100万,每年给企业造成的直接损失超过了1000亿,各类黑灰产业集群超过了10000个。
Dx-mmmark的工作,某种程度上,就是在和黑客赛跑,在嗅觉灵敏的黑客到达之前,找到漏洞,并协助平台堵上漏洞。
至少,从现在来看,Dx-mmmark赢了。
二
仅用一个月时间获得1536金币,成为蚂蚁金服安全响应中心AFSRC资深安全专家,获得AFSRC2018第一季度第一名的黄金荣誉勋章,这个成绩相当惊艳,但Dx-mmmark认为自己并不算技术大牛。他上的大学一般,大学期间也并非同学中的学霸,他把自己的登顶归结为综合因素———好奇、勤奋、细心。
Dx-mmmark不愿套用那些宏大的词汇去描述他的热情和理想,“白帽子也是普通人,我可能就是好奇心比较强,安全这个领域非常宽广,你走不到边的,不断通关,但没有尽头,所以我就很有兴趣。”
当然,必要的理想主义也是有的,比如在AFSRC的惊艳战绩,就让Dx-mmmark小有自豪,“将来我有孩子了,我就可以给孩子吹牛啊,爸爸曾经帮助一个用户五六亿的金融平台,发现了漏洞,堵住了风险。”
其次则是细心,这是Dx-mmmark从推理小说中得到的启示。日本作家岛田庄司和东野圭吾的小说,都是他的最爱,找漏洞的过程,很像推理。
“你去看电影里福尔摩斯那些神探,他们很厉害很神奇,但是你看岛田庄司和东野圭吾的小说就知道了,生活中的神探,靠的是持续的好奇心、反复的努力,以及细心细心再细心。”
做安全和码农不同,做码农可能只需要懂代码就够了,然后组织二进制语言去实现业务指令。但安全的范畴很广泛,不仅要懂点技术,还要懂业务,懂运维。不仅要有理性,有逻辑,还要洞察人性。最有趣的是要把自己代入黑客的角色,去反向推断,到底黑客是如何寻找和利用漏洞的。这个过程,很像推理小说中,正邪两股力量,在智力层面的总和较量。
细心和逻辑推演能力体现在Dx-mmmark喜欢的小说《嫌疑人x的献身》里,石神制造的谋杀案的完美假象,已经蒙骗了专业警察,但最终能被小说塑造的名侦探汤川 识破,就在于汤川细致入微的观察能力和严密无缝的逻辑推理能力。
持续的努力当然也是不可少的。收获最多的一月份,Dx-mmmark在工作之余,每周挤出三天,每天花费两到四个小时,排查漏洞和攻击,“为啥很多学生也能发现不少漏洞,因为他们时间更充裕。”
三
正如月有圆缺,人无完人。程序也许没有漏洞,但人是有漏洞的。因此,几乎一线互联网公司,都启动了安全应急中心,鼓励白帽子寻找业务漏洞、系统漏洞、运营风险、安全事件等,并给予奖励,Dx-mmmark大概为十来家互联网公司当过白帽子。
2017年的双11,Dx-mmmark看到了蚂蚁金服的英雄贴,后者正在大规模召集安全领域专家、白帽子、社会团体及个人共同发现潜在的漏洞信息,并依此建立漏洞统计分析中心,预知并自查风险,提升业务安全。
相比于其他公司,Dx-mmmark认为AFSRC吸引他的原因主要有四个。
第一,“onebug onetree”的公益活动。
随着参与人数越来越多,支付宝app里的蚂蚁森林“一树难求”。但是Dx-mmmark等白帽子,贡献了一个有效漏洞,蚂蚁金服就会以漏洞提交者的名义捐赠一棵树(包含1棵灌木、2平方草方格以及10年的精心养护),这个活动对Dx-mmmark的吸引力很强。
过去,白帽子的工作被淹没于浩瀚的虚拟世界里,漏洞堵上了,他们的工作就终止了,现在,白帽子的贡献值,穿越到电脑屏幕之外,在阿拉善沙漠里,落地生根为看得见、摸得着的5000棵功勋林,“这棵树就永远种在哪里了,以我的名义,特别有满足感,有成就感”。
其次,很赞的海外游学活动。AFSRC每年都会组织海外游学计划。白帽黑客查找漏洞的过程极为孤独,白帽黑客的圈子也不大,小伙伴们多是网络交流,很少线下见面,一块海外旅游、游学的时光,非常难得。
“哈哈,当然想去游学了,这个我请年假也要去的。”Dx-mmmark很憧憬——他今年获选的胜算不小。在这之前,AFSRC的游学项目,已经到达过迪拜、澳洲等等。
今年春天,获选的AFBOYS,得以去澳洲游学。除了哈雷、大堡礁和热气球体验等精彩的游玩项目,更为难得的是海外交流学习的机会。这是AFSRC白帽的独家福利。交流对象包括全球互联网巨头以及世界最顶尖的安全大牛,也是Dx-mmmark最为看重的环节。
今年的澳洲游学中,AFBOYS参观了google澳洲总部大楼,和谷歌的安全大牛们,详细交流了攻防经验。
不出意外的话,Dx-mmmark今年也有望获得这样的游学机会。
第三,蚂蚁金服制定了丰厚的漏洞奖励机制,包括常规的物质奖励、荣誉奖励和特殊奖励的模式。
季度奖励比如周大福纯金勋章;年度大奖包括海外知名公司、高校游学;严重漏洞额外最高奖36万元。
2018年第一季度,Dx-mmmark拿到了大概2万元的奖金,这是一笔不小的收入,“蚂蚁还是挺大方的。”
这笔奖励,对于95甚至00后的学生白帽子群体来说,吸引力更强,在蚂蚁金服发现几个有效漏洞,一年的学费、生活费,甚至旅游经费都有了。
曾有一名白帽子,在AFSRC 发现的单个漏洞,就拿到高达36 万的奖金。
第四,蚂蚁很重视安全,很尊重白帽子。
“响应非常快,很多当天就给反馈,最长的也就一两个工作日。”Dx-mmmark说,“白帽子在这里,特别受重视、尊重。”
早在成立之时,蚂蚁金服安全应急响应中心就公开承诺,对每一位报告者反馈的问题都有专人进行跟进和处理,并及时给予答复。
这就是一个非学霸白帽子逆袭的典型案例,“其实白帽子也很普通的”,Dx-mmmark多次强调,不要美化他,“只要你有好奇心,爱学习,都能来当白帽子,这个圈子,还是不够大,欢迎大家都来”。
榜单收录、高管收录、融资收录、活动收录可发送邮件至news#citmt.cn(把#换成@)。