白健:信安「長跑者」,補天「掌門人」|人物
從2016年開始,白健多了一個新綽號:「白掌門」。
這個綽號有著雙重含義:其一是他姓白;其二則是,他是360補天漏洞響應平台的負責人,管理著整個平台上超過30000名白帽子。在提交漏洞時,白帽子若選擇匿名,昵稱則顯示為「帶頭大哥」,從這個角度講,白健就是「大哥中的大哥」。「白掌門」的稱號,名副其實。
然而,「大哥」卻並不是那麼好做的。
長久以來,由於信息安全行業特有的隱秘性,白帽子這一群體一直處於公眾視野的邊緣,直到2013年左右,絕緣的狀態才漸漸被打破。但是,較高的技術門檻、長期隔絕引發的陌生感和根深蒂固的偏見,讓公眾對白帽子的態度始終曖昧不清:如同歐洲人初次見到番茄一般,既對它的香氣和色澤感到好奇和嚮往,又隱隱覺得「有毒」,稱之為「狼桃」。而白帽子的命運,也隨之起起落落、波折不斷:聲名鵲起不過三四年,幾場風波讓白帽子又一次受到了誤解和打擊,也讓許多安全從業者再度陷入迷茫。
「白掌門」卻似乎並不屬於迷茫者的一員:採訪中的白健開朗而健談,話語間不時穿插著各種玩笑。眼下,他正為三月底的「補天白帽大會」做最後的準備。「參會的企業級用戶和白帽子是對半開。」白健向我們解釋道,「這一次來的很多都是技術型用戶,和其他會議不同,補天的定位是『草根技術盛宴』,我們覆蓋不同的維度。」
而另一個驚喜則出乎我們的意料。「這一次我們邀請了海外的漏洞平台。」他揭曉了謎底,「HackerOne會來。」
一
2017年春節剛過,白健立刻陷入了一場意外的忙碌。
「我從美國休假回來,剛上了一天班,還在倒時差呢。老齊(360企業安全集團董事長齊向東)一句話,『你再去一趟吧』,星期二就訂了周末的機票,又飛回了舊金山。」他這樣形容當時的情景。
事件的起因在於白健度假時的「交友」:身在矽谷的他,想著趁私人時間和美國的同行「交交朋友、認識一下」,見了幾家同行後覺得「特別有意思」,回國後就彙報給了老闆,沒想到公司對此非常感興趣,便派他再次前往美國,嘗試在RSA期間談一些深度的合作。
然而這一談,竟又談出了更多的名堂。
HackerOne的COO王寧本就是留美華人,白健提起他時,語氣中充滿了敬佩:「很厲害,30多年前北大畢業拿了李政道獎學金,又讀了伯克利物理學的女博士。」交談中,王寧透露自己是鄭州人——和「土人」譚曉生正是老鄉,「所以在RSA期間還特意安排了一場老鄉會」。聊得投機,王寧當即決定參加「補天白帽大會」:「聽說是在深圳,我這邊還沒發給她日程,她機票都已經買好了。」白健笑著說,「我說,這個會不辦也得辦了。」
「《人民日報》上說RSA要走出去、學回來,我們還要加一個『引進來』。」白健告訴我們,下一步,他計劃組織補天平台的精英白帽子到今年的BlactHat上交流,同時引入海外白帽子共同進行眾測項目,無論對哪一方,這樣的合作都是有益的。「它們想要進入中國市場,可以通過這樣的方式進行合作。」而白健則希望通過合作提升國內企業防護境外攻擊的能力。「根據360互聯網安全中心發布的報告顯示,2016年來自境外的攻擊佔到了20%,而我們對他們的思維方式並不了解。」
如果不是這次接觸,白健也很難意識到海外企業和白帽子與國內存在的差異。「之前我們要了解他們,也就是通過互聯網嘛。」而如今,對於海外的情況,白健已經有了充分的了解,講起來滔滔不絕:「比如技術架構,國內企業由於經費、去IOE計劃的影響,用PHP、Python等語言快速開發產品比較多,整體安全性難以得到保證。而國外由於都完成了基層解決方案的搭建,並且有Oracle、IBM這樣的大公司支持,架構比較成熟,安全性更有保證。國外的大型公司發生入侵事件一般是服務提供商出現0day漏洞或邊緣系統的問題,相比之下,國內的安全問題都比較基礎,SQL注入、命令執行、弱口令等等還是高發漏洞。」
當然,他最關心的還是白帽子間的差異。「技術水平其實差不多,群體數量也差不多,更多的是習慣上的差異,工具也是五花八門。」他提到了一個有趣的差別:「他們聽說我們的白帽子90後居多都很驚訝,而他們的白帽子大多是70、80後,分布在歐美三四十個國家,比我們廣泛得多。」
從這一細節不難看出,相比于海外,國內的信息安全尚處於起步階段。白健舉了HackerOne的例子:「他們的眾測很開放,有郵箱、註冊個ID就可以參與。相比之下,我們對於眾測的接受度沒那麼高。像1400人眾測五角大樓這種項目,在國內基本不可能。」
所以在這個階段,國內平台間的協同合作顯得更為必要。今年的「補天白帽大會」上,白健邀請了各大SRC進行宣講,希望以此為契機,進一步組織起各平台的合作,包括通用漏洞數據共享、白帽子認證信息互認等等。「當然,對我們肯定也有好處。」他解釋道,「如果整個行業都關心白帽子的正向引導成長和規範,無論對誰都是有利的。」
二
「沒有全產業的引導,靠我們一家之力遠遠不夠。」白健提到了之前有個別白帽子被黑產引誘的情況,最大的感受是「心痛」,「白帽子都是非常有正義感的,我們在一起玩、做活動,看到的都是很單純的、技術型的年輕人。」這段時間,他正以補天平台的幾位白帽子為例子,試圖打造一個「典型的白帽子群體」,讓他們「走到陽光下」,扭轉公眾的印象:「過去大家對白帽子群體不了解,充滿了各種猜測和想像,其實他們和普通人有什麼不同呢?都是有感情、有工作,有老婆孩子,希望用自己的技術能力為社會做一點事情的。」
讓白健尤為印象深刻的,是補天平台組織的法律講座:「我們的初衷不是威懾,而是很多白帽子真的不懂,出了事才模糊地意識到違法了。」幾乎每一次的法律講座最後都會超時,「給我的感覺是,他們對法律知識充滿了好奇。」白帽子們經常踴躍地提出很多難以解答的問題:「他們經常問一個具體的事情,比如我在論壇分享了一個滲透方法,是不是違法?這種情況其實很複雜,什麼類型的平台、分享的動機、造成的影響,都會導致不同的結果。」「其實白帽子的動機一般都是炫耀。」白健說,「他們覺得找到了不錯的方法、工具甚至好玩的數據,就分享出去了,結果一不小心就違法了。」
而另一點讓白健感觸頗深的,就是白帽子群體的生存情況。「這個群體並不是很大,還需要培養和引導,但我們的社會似乎對他們並不是很友好。」白健認為,白帽子是一群擅長逆向思維的人才,而「正向思維的教育模式」他們很難適應。「很多白帽子高考成績都不太好,我們的教育模式對他們約束太多。」他注意到由此而引發的一系列後續問題,「學歷不高就對就業造成了很大的影響,有個單位讓我幫我招兩個能做滲透的,我一看要求,碩士畢業,基本不可能。」在他交流過的眾多白帽子中,只找到了Hckmaple一個人擁有碩士學歷。
與此同時,一些人還在不斷離開這個群體,「挖漏洞是個很累的事情,需要長時間在電腦前工作。特別是很多項目客戶要求在夜間測試,對於年齡偏大、有家庭的白帽子來說,基本無力承受。」
在白健看來,漏洞平台給了白帽子們一條很好的展現能力的出路。「按照常規的模式很難找到好的工作,除非到互聯網公司。」他提到了補天平台的典型白帽子衰大,「他家在烏魯木齊,在當地找一個好的工作比較難。還有一些白帽子在三四線城市,比如樂山、綿陽,別說互聯網公司,可能傳統公司的安全崗位都沒有。」
而有了漏洞平台,白帽子的才華就有機會施展出來了。「可以在當地找一個比較閑的工作,當然工作還是要有,畢竟大家要交社保、公積金。」白健舉了個例子,「不交金,就沒辦法公積金貸款買房了。」而漏洞平台能夠打破地域限制,給白帽子們提供了一個施展才華的舞台,既能得到認可又能賺到獎金,這樣就能讓白帽子靜下心來持續發展。「不斷提升技術,去研究安卓、IOS甚至Windows操作系統的白帽子,後來也都找到了很好的工作。」
而做好補天平台,就是白健能給白帽子們的最大幫助。
三
截止到目前,補天漏洞平台收到了超過100000個漏洞,發放獎金將近9000000元。有白帽子提出質疑,為什麼漏洞和獎金不成比例,難道我們的漏洞就這麼不值錢?
「其實我們的漏洞分為幾類。眾測項目獎金3000到30000不等,企業專屬SRC獎金1000到3000元,這些是企業自主發放的,我們只代扣個人所得稅。」而另一部分則被白健稱為「公益」:「公益類的是平台自己補貼的,這部分漏洞我們會給白帽子少量物質鼓勵,漏洞提交主要靠白帽子們的正義感驅動。這些漏洞我們收上來,是免費提供給企業的。我們需要自己去找企業,有時候還要猜企業安全部門或者IT部門的郵箱,然後給他發個郵件,說白帽子發現一個漏洞,請儘快確認修復。
他坦率地表示,國內企業與漏洞平台的溝通和互動上仍有很大的改善空間,「響應的只有兩三成左右」,「聯繫大企業有時候只能找到客服部門,技術人員很難聯繫上」,諸多溝通的挑戰,白帽子與企業,就像分處在河的兩岸。
記得一個白帽子曾試圖通過補天平台向華泰證券提交一個漏洞,企業自己快速修復後我們並沒有得到回復,補天平台以為企業沒有收到,就將漏洞提交給了監管部門。一場溝通過程中的磨合與誤會,卻意外促成了監管部門、企業、平台和白帽子更順暢的互動,並在此基礎上不斷藉助白帽子的力量,為企業的安全工作做貢獻,讓白帽子成為了圍繞在企業周圍攜手保護公民信息的一份子。
如今,華泰證券進一步藉助認證白帽子的力量,積極響應監管部門對加強安全演練的要求,將企業的安全人員、外部專業團隊和認證白帽子共同組成「紅藍軍」進行實戰演練,在攻與防的對抗過程中不斷提升企業的安全防護水平。種種例子說明,白帽子參與的眾測模式,極大地幫助企業提高了漏洞發現的效率。白掌門說:「一個安全人員,思路可能比較單一,三五十個白帽子獨立工作提供不同的思路,效率就上去了。我們統計過,與傳統安服公司的滲透測試相比,眾測找到的漏洞數多了大約十倍。」
360大平台為補天模式提供了最適宜的土壤。與其他商業類產品不同,老齊給補天平台的指示是「不能賺錢」,「你們就是不能賺錢,賺錢了說明用戶感到脅迫了。你們不賺錢,就沒有脅迫用戶的動力了。」白健這樣解釋平台的定位。
而在白健看來,創業公司在這方面尚不具備這樣的能力。他細細算了一筆賬,「我們團隊20多個人,創業公司需要財務法務市場等職能部門,一般需要四五十號人——一線城市的四五十個員工,薪水、差旅加房租一個月至少一百多萬,一年就是一千多萬,年終還發年終獎啊。融資融了一兩千萬,一年就發光了,不賺錢的行業誰都受不了,投資人也不受不了。」說到這,他笑了起來,「可能這個時代大家都挺著急的,這邊錢嘩嘩地往外發,那邊房價噌噌地往上漲,誰看著都得懷疑,『我們是不是走錯路了啊?」
他覺得,創業公司可以嘗試不同的切入點,比如專註於某一個方面的安全防禦是一個不錯的選擇,「從不同維度維護信息安全。」
「長遠來看,價值很大。」白健這樣總結他在信息安全領域的所見所聞。「但還處在發展過程中,要有長跑的心態。我這個人喜歡看長期,長期做肯定能做好,遇到一些小問題、小波折,也一定能解決。」
3月30日在深圳前海舉辦的補天白帽大會是白健「長跑」中的重要一環。補天白帽大會是首個面向全球白帽和技術精英開放,專註於漏洞相應和防護的安全行業大會,秉承開放、協同的原則,廣泛邀請國內外知名白帽、技術精英、安全愛好者,與網路安全相關主管機構和知名企業和機構的CISO共同參與,共同解讀當前網路安全形勢和安全威脅,探討漏洞響應與防範方案,同時分享交流漏洞挖掘與安全功防等沿議題。
有趣的是,此次大會的主題定為「Hack For Security」——兩個詞語的含義看似截然相反,卻恰恰詮釋了真實的白帽子形象:並非破壞者,而是安全的守護者。讓全社會都能理解這句話,或許正是白健「長跑」的起點。
與工作中相同的是,生活中的白健也是一個長跑愛好者。如今,他已經跑過了十幾場馬拉松,還在向著更遠的目標進發。而在信息安全這條更為漫長的跑道上,「白掌門」的「馬拉松」才剛剛開始。
推薦閱讀: