本报特约记者 姜 乐
2018年9月4日,一年一度的ISC互联网安全大会(简称ISC,Internet Security Conference)于北京召开,再度迎来大量互联网安全行业领袖和从业者,一时间北京的国家会议中心被网友称为全球“黑客”密度最大的场所。记者走进这一充满神秘感又和百姓生活息息相关的网络安全殿堂,感受技术大咖的思想火花,也近距离接触这一被外界广泛关注的人群。
顶级“黑客”为何齐聚中国?在为期三天的会期内,来自中、美、俄、法、德、以色列、比利时和欧盟等20多个国家和地区的近300位安全专家与国内外近4万安全从业者参与30余场峰会论坛,其中包括原美国网络司令部作战主任威廉姆斯将军(Brett Williams)、以色列8200部队原开源情报分析主管津曼(Roy Zinman),前俄罗斯联邦政府通信与信息联邦总署署长、俄罗斯联邦国家安全会议前第一副秘书谢尔斯图克(Vladislav Sherstyuk)。
ISC大会在中央网信办、工业和信息化部、公安部、国家密码管理局的指导下,由中国互联网协会、中国网络空间安全协会、中国密码学会、中国友谊促进会、360互联网安全中心共同主办,据悉已成为亚太地区规格最高、规模最大、影响力最为深远的安全盛会。
据ISC大会秘书长韩笑介绍,ISC与其称之为“黑客大会”,更准确的定位是一个世界级安全对话平台。
“在国际上,ISC的影响力仅次于美国RSA信息安全大会、Blackhat&DefCon黑客大会”,360集团首席安全官谭晓生对《环球时报》表示。他同时表示,ISC之所以有如此“国际大牌范”,不仅在于网络空间安全本身就带有很强的国际特性,甚至有外交成份,而ISC大会话题全,有干货,还好玩的特点都成了它不可取代的特点。
“从网络安全攻防技术,到防护技术网络空间安全治理,再到网络犯罪预防与打击和网络安全教育,整个产业链条都能找到自己的同行以及关注的话题,网络安全国内外从理念到技术还是有差距的,国外嘉宾确实能分享有价值的信息;而且大会不仅仅是开会,还有展览,有比赛,有黑客破解活动,有Party。网络安全国际交流需要这样一种多元化、自由的氛围和场景,正好ISC具备这种特点,就变成了国际交流的一个‘道场’”,谭晓生说道。
对于网友“黑客扎堆”的评价,谭晓生表示大会上黑客密集的事实本身没错,但这与ISC的定位并不符合,他强调参与ISC大会的国内外嘉宾多数是做防御、安全管理人员,传统意义上的“黑客”攻击并不是主流。
中国“黑客”什么样?实际上,国内对于“黑客”的定义仍然颇有分歧,有人谈“黑”色变,有人则以“黑”为荣。
360企业安全集团董事长齐向东在新书《漏洞》中表示,如果让他回答什么是黑客,答案很简单,黑客就是追漏洞的人。谭晓生的解释更为具体:“黑客”是“一种热衷于研究系统和计算机(特别是网络)内部运作的人”。
“黑客兵工厂所做的不是恶意破坏,他们是一群纵横于网络上的技术人员,热衷于科技探索、计算机科学研究。在黑客圈中,Hacker一词无疑是带有正面的意义,例如:system hacker熟悉操作的设计与维护;password hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,进入他人计算机操作系统的高手”,谭晓生对《环球时报》表示。
就此定义来看,此次ISC大会上不仅有受邀参会的system hacker,还有不少computer hacker,而后者普遍有着同一个身份――白帽黑客。
白帽黑客又称白帽子,是指那些用自己的黑客技术来维护网络关系公平正义的黑客,测试网络和系统的性能来判定它们能够承受入侵的强弱程度。
据齐向东介绍,国内的白帽黑客团体有多大目前无人知晓,但仅仅在国内最大的漏洞响应平台补天平台上注册的白帽黑客就已经超过了4万5千人,且年平均增长率保持在30%以上,发现的漏洞数量超过25万个。
360互联网安全中心统计的数据显示,从年龄段来看,90后目前是白帽黑客的绝对主力,占总量的75.2%,而00后正在快速崛起。2016 年,00后白帽占比只有2.6%,而2017年,17 岁及以下的白帽已经占到了9.1%。
Adrian到2018年才刚刚摆脱了“17岁及以下”的白帽分类,刚刚成年的他在白帽群体中却早已名声在外。作为补天平台上排名第三的著名“小白帽”,Adrian对《环球时报》表示,“黑客”这个词实际上被污名化了,令人只能想到黑帽黑客,但实际上黑客精神更多的是关于互助和骑士精神。
这种精神早在2008年就展示出来了。那时8岁的Adrian不小心在上网的时候下载了病毒导致家里电脑出现了故障,因此而罚站的他从此下定决心要保护自己,也要保护更多和他一样的孩子们不再被无辜牵连。
但是并不是所有人都像Adrian一样从一开始就理解黑客精神,甚至有人着迷黑客技术的原因只是想要“QQ蓝钻”。好在大家殊途同归,最终他们都走到一起为网络安全查漏补缺,扎紧企业和社会防护篱笆的同时,自己也收获了不少精神和物质奖励。
不仅有各大厂商提供的礼物和旅行奖励,年薪10万这个在很多90后刚工作的人心中的高薪目标在这些同样年轻的技术人才面前都是小菜一碟。物以稀为贵在中国黑客的世界里体现得非常到位。由于网络安全人才缺口已高达70万人,高薪抢人的现象在“黑客圈”里屡见不鲜。24岁的白帽黑客Sqler在毕业三年的时间里换了两份工作,目前年薪已过20万。
总部位于美国旧金山的国际漏洞奖励平台HackerOne发布的 2018年度报告显示,该平台上的顶级白帽黑客平均收入比所在国家的软件工程师高2.7倍。在中国,这个比例达到了3.7倍。而中国信息安全评估中心的一项调查显示,2017年中国网络安全专业人员的平均年薪为12.2万至17.8万元,而IT人员的平均年薪为12万元。
凭着一腔热情或是被高薪吸引加入白帽子是容易的,难的是坚持。白帽子们对《环球时报》表示由于挖漏洞等测试工作不仅消耗时间和精力,还需要坚持学习更新自己的网络安全知识,有些人在工作后便放弃了白帽工作,泯然于众人。那些还在坚持的白帽黑客则表示做“黑客”更重要的是热爱和兴趣。
挖漏洞是很多白帽口中的兴趣爱好,这个外人看起来很枯燥的排查工作在他们眼中则是充满了刺激和荣誉感。修复了一个影响范围很广的漏洞的心情“就像是雕刻师的一件作品雕完了最后一笔”,Sqler如此描述道。
和银屏上的“黑客”形象不同,中国的黑客们没有戏剧性和引人注目的外表,有的甚至大腹便便满脸胡碴,看起来不好亲近。然而就像还长着青春痘的Adrian一样,他们其实相处起来很容易,非常友好,带着一股罗宾汉行侠仗义,要保护世界的梦想,年轻的他们也像其他人一样聊起天来都是表情包,唯一能看出他们的不同的是他们在撸串喝酒的时候聊起工作和技术不会冷场,因为那是他们生活的一部分。
中国网络安全往哪里去?最新的华住集团个人隐私泄露事件再度引发了人们对万物互联时代数据保护的担忧。对此,齐向东表示,绝大多数企业的网络安全防护水平其实和华住集团在同一水平,也可能更多的企业数据已经被窃取了,只是绝大多数数据并没有在公开市场上叫卖。
安全行业里有这样一句话:世界上只有两种人,一种人是已经被攻击了,另外一种是自己被攻击了还不知道的。
齐向东表示,传统的网络安全技术按用途来进行隔离,物理隔离或者逻辑隔离,但传统IT网络已经落后了,今天所有人都在互联网化,因此需要更进一步的进行大数据化和智能化。同时,应用新技术,包括“互联网+”、大数据、人工智能,越快的企业,安全的薄弱环节就会越多,暴露在互联网上的东西也就会越多,就越容易攻击成功。
“尽管有这么大的风险,但是很多行业成为大数据、人工智能的先驱不会改变,因为遇到的风险是一部分,这个人工智能和大数据的应用,给他们带来的好处可能是指数级的,安全应该在发展中”,齐向东说。
在Adrian和Sqler看来,我国的网络安全形势和中国黑客的生存环境在不断优化,国家对网络安全从立法到大学专业设置的支持已经让越来越多的人意识到了网络安全的重要性,也认识了白帽子这个特殊的群体,正是他们每天努力挖漏洞争取减少华住集团类似的数据泄露,从而减少老百姓被“精准分析”的诈骗电话。
“这次ISC主题是‘安全从0开始’,我认为现在的飞速发展让一些人忘了这个行业的初心:做黑客是要有更强的网络安全能力帮助社会国家发展,抵御真正的黑帽黑客盗取个人信息,保护个人隐私,让网络安全、便捷”,Adrian说。