邓焕代表了一大批白帽子的经历,他们虽然学习计算机专业,可黑客技术还都是自学来的。邓焕告诉记者,这是因为学校里教授的知识偏重于理论,很少涉及黑客技术方面。事实上,他还在大一的时候,就有学校的老师向他请教问题,到大二时,学校已经为他开了绿灯,他无需再上课,跑到北京来工作,直到毕业时回去参加答辩就可以了。
“什么样的人能够成为一名出色的白帽子?”面对这样的提问,有的白帽子认为是要讲天赋的,邓焕则认为,相比天赋,兴趣更加重要。“研究技术就是我的游戏,从中获得的成就感是其他任何事都达不到的。”邓焕认为,他之所以能成为白帽子当中的佼佼者,是因为他愿意把大量的时间和精力都花在这上面。
现在还没有大学毕业的白帽子鲍宇也认同兴趣至关重要的观点。他告诉记者,他大学是学编程的,在他的同学当中,只有他自己对黑客技术感兴趣,其他人即便偶尔有了兴趣,可都是三分钟热度,很快就不愿意学了,所以一个班上只出了他这么一个白帽子。
优秀女白帽子比大熊猫还稀罕
“在白帽子这个圈子里,一个女生的水平高低并不重要,都会被其他人供起来。”
黑客的世界,一向被认为是男人的世界,而白帽子当中的女生更是凤毛麟角。按照邓焕的说法,补天平台上近万的注册白帽子中,他知道的女生只有十几个,说千里挑一都不夸张。“在这个圈子里,一个女生水平高低并不重要,都会被其他人供起来。如果是技术又牛,长得又漂亮的女生,那简直比大熊猫还珍稀,基本上圈子里没有人会不知道。”邓焕笑着说。
“小惠子”是个刚刚20岁的女白帽子,还在读大二的她做白帽子才半年时间,用她的话说,“随便碰到一个白帽子都是我的师父”。当被问到为什么会做白帽子时,小姑娘给出了这样的回答:“上大学前很爱玩游戏,后来考上大学也不知学什么好,觉得这个(信息安全)专业挺好玩的,于是就报了。”
虽然学信息安全的女生本就不多,但“小惠子”班上54个人里还是有14个女生的,可做白帽子的只有她一个。“她们都喜欢聊QQ打游戏什么的,只有我觉得挖漏洞还挺好玩。”让她更得意的是,作为一个“女白帽子”,她遇到的其他白帽子对她都很热情。“班上有男生也想学,可别人都不怎么愿意教他们。”说到这,小姑娘笑得很开心。
“小惠子”和其他记者接触过的白帽子还有一点不同,那就是其他白帽子虽然专业技术很牛,可学习成绩普遍一般,而这个姑娘可是当之无愧的“学霸”。“我觉得做白帽子对学习还是很有帮助的。”
在国内安全圈里鼎鼎大名的“碳基体”则是邓焕口中“技术牛、长得漂亮”的“大熊猫”级的女白帽子,虽然她的网络ID很难让人和一位美女联想到一起。和“小惠子”这样的初学女白帽子备受“宠爱”不同,到了“碳基体”这个级别,除了她老公偶尔在人前夸耀“我老婆可是个黑客”,其他时候,女性身份根本不会给她带来什么便利。
“碳基体”是一家安全企业的技术人员,她告诉记者,在她的工作环境中,人们看重的只有能力和技术。“我入职面试的时候,被问的都是技术问题,答得上来留下,答不上来走人。”和其他女生一样,“碳基体”也爱逛街打扮,可一旦进入工作状态,“该吼就吼,根本不顾什么形象。”
“碳基体”告诉记者,女性在安全行业当中的人数虽然少,但是并没有外界想象中的那么稀罕,而且随着就业环境越来越好,从事这个行业的女生也越来越多了。但是她也承认,很多女生在做过几年技术工作后,也会转到管理岗位上,“不过我是希望一直在技术一线工作,因为我确实喜欢研究技术。”
收入最高者年入百万
“网络安全事件频发,信息安全的概念开始深入人心,企业都开始设立专门的网络安全岗位,这方面的人才一下子成为了稀缺资源。”
白帽子这个行业真正火起来,也就是最近两三年的事情,而最直接的因素就是收入情况的好转。
在三年前,白帽子们挣钱只有几条道:成立安全公司或者团队,开发产品,为企业提供这方面的服务,不过这只限于少数真正的技术大牛;接一些网站或者厂商产品众测的活儿,不过这种活儿都是临时性的;再不就只能做普通的程序员,每月挣四五千元,这些白帽子在网络安全方面的特长根本无用武之地。最近几年,这一情况发生了极大的改善。一方面,由于网络安全事件频发,信息安全的概念开始深入人心,一些企业开始设立专门的网络安全岗位,这方面的人才一下子成为了稀缺资源,企业开出的价码也水涨船高,不少白帽子都投身到“豪门”;另外一方面,像补天这样的漏洞提交平台的建立,也给白帽子们创造了一个平台,找漏洞不再是义务劳动。
据了解,如今国内顶级安全人才的年收入可以达到百万元水平;高水平的白帽子,加入互联网公司的,一年挣个十几万几十万也属平常;即便是那些依旧散兵游勇的白帽子,通过在平台上提交漏洞,有的也可以月入数万元。
李寅是补天平台上收入最高的白帽子。据他介绍,他平均一个月在补天上获得的奖金在2万元左右,而最多的时候,他一个月就拿到了超过6万元的奖金。要知道,补天提交一个漏洞获得的奖金也就几百元,最多不过一两千元,可见他每月提交的漏洞数量有多少。
“最初我找漏洞就纯粹是个人的业余爱好,后来到补天上发现既能找漏洞又能提高技术水平,何乐而不为啊!所以我在补天上发漏洞的积极性就比较高。”李寅对记者表示,与之前相比,他现在更加注重提交漏洞的质量,而不是再一味求数量,加上目前他正在筹备自己的创业项目精力有限,现在他在补天上的收入也没有之前那么高了。
李寅这样的白帽子毕竟是少数,不过每月能从补天平台上拿到几千元奖金的白帽子还不在少数。赵武介绍,目前补天平台每月向白帽子们发放的奖金和物质奖励加起来能有四五十万元,其中一部分是被发现漏洞企业出的奖金,而大部分还是补天平台自己支付的。
收入条件的好转,带来的直接影响就是愿意投身白帽子的人越来越多了。今年7月才大学毕业的鲍宇对记者说,之前他也动员过其他同学来学习白帽子技术,可他们都不感兴趣。不过当别人发现他签下的工作收入要明显高于一般的程序员工作后,还是对他很羡慕的。“就业条件好了,现在刚进大学的人对于做白帽子的兴趣就比我那个时候更大了,人数也多了,不像我当时那样孤军奋战了。”鲍宇说道。
来自黑暗的诱惑
“我所接触过的圈里的前辈都告诫我一定不要触线,因为一旦做了黑产,再想洗白就很难了。”
虽说如今白帽子的收入情况已经明显改善了,但是和做“黑产”的比起来,依然是天壤之别。“有的黑产一天就能挣几万元,哪家公司会给员工开这么高的薪水?”邓焕说。
那些被白帽子们称为“黑产”的黑客又是怎么获得如此惊人的收入呢?邓焕介绍,黑产们赚钱的方式多种多样,最普通的就是利用漏洞获得网站或者系统内的用户资料,出售他人信息以获利;还有利用获得的用户信息,从事诈骗、盗刷信用卡等。例如,补天平台上的白帽子就曾经发现了一个完整的伪基站诈骗链条。诈骗者利用伪基站向附近的手机发送诈骗短信,诈骗短信的号码显示为中国移动的客服号码“10086”,短信称用户手机积分已经满足兑换现金礼包的条件,并给出了一个兑换链接;点击此链接,会进入一个名为“中国移动掌上门户”的网站,并要求用户提交收款信息,如银行卡或信用卡的卡号、密码、用户身份证信息、手机号码等。“白帽子”在攻破该网站的服务器之后发现,这是一个“钓鱼网站”,在这个钓鱼网站的后台,赫然能够看到超过400位用户的详细信息,包括用户姓名、银行卡或者信用卡号、开户行、密码、身份证、手机号码、信用卡有效期、CVV码等。在获取了这些用户信息之后,诈骗者完全可以利用受骗者的银行卡、信用卡进行转账或者盗刷。从已经超过400人的受骗规模来看,该钓鱼网站的诈骗金额估计能超过千万元。
(责任编辑:安博涛)