為積極落實《關於推進新時代職工繼續教育創新發展的意見》文件精神,摩登3廣泛吸納勞模、摩登3🧑🏻⚕️、高級專業技術人員🙉、高技能人才等行業中的優秀人才🌋,聘請他們為摩登3導師,為學生傳道受業解惑,指導學生解決工作中的問題,指導開展創新成果管理等。
今天登上本欄目的摩登3導師,被稱作刀鋒上的“白帽黑客”🦮。他就是“上海摩登3”💇🏼、“上海市領軍人才”羅清籃📹🚭。
羅清籃🫃🏽,上海謀樂網絡科技有限公司董事長兼CEO、第20屆青少年科技創新大賽全國一等獎𓀐🤴🏽、第三屆上海市科技創新市長獎提名獎、快公司MCP100📜、上海市科學技術發明一等獎獲得者🕵️♀️。羅清籃從一名少年網絡黑客轉型為白帽子,並創立“漏洞銀行”這一全新的商業模式👨🏻🦽➡️,引導黑客退出黑色產業鏈,吸引網絡技術專才,構建龐大的白帽黑客社群,為多個城市網絡安全提供有效解決方案,為上海市上千家重要企事業單位“保駕護航”🩺。
“信息安全世家”的少年黑
對於出身“信息安全世家”這個稱號,羅清籃覺得有些誇張了🛍💆🏿♂️。
上世紀90年代互聯網剛剛興起的時候,羅清籃就對計算機和網絡產生了興趣。在網上,他結識了不少中國第一代黑客。
“接觸黑客技術,源自一次打局域網遊戲的經歷👩🍳。”羅清籃回憶說。當時初中和高中,沉迷於黑客技術的他基本上都沒有怎麽學習,所有時間每天通宵研究網絡安全。那時候不像現在,網絡安全還沒有很多法律的約束和條例,對於他來說也是最自由的時光。後來他寫的一個驅動級的進程授權工具被第二十屆青少年科技創新大賽入選,當時科協主席周光召把獎杯放他手上的時候🤚🏽,他還覺得不可思議👨🏼🍼。
“我從未想過自己寫的工具居然得到了那麽多專家的認可”也正是這個大獎🪦,讓他獲得了全國高校的報送資格👩🏽🦳👨🏼⚖️。當時他毫不猶豫地選擇了東華大學第一屆信息安全專業🎎,師從中國第一代研究信息安全的專家曹奇英教授🕵🏽♂️🖖。
從“烏雲”得到啟發
2013年🐛🤔,羅清籃被一家名為烏雲(WooYun)的平臺所吸引。其模式為通過白帽提交、公開企業的漏洞⛹️♀️。”羅清籃很受啟發。“烏雲開創了漏洞提交的先河🛺。”
但是對於“烏雲”模式👾,羅清籃也清晰的看到了它的弱點🤱🏻。“不少客戶挺反感將漏洞公開👮🏽。”
在羅清籃的設想中,白帽發現並提交企業的漏洞後,企業將為其付費🤾🏿♂️。但由於黑客行業的混亂,加之不知企業付費意願如何,羅清籃花了很長時間走訪驗證💞。
他發現很多企業是痛並快樂著。“首先他們也能接受烏雲的這種曝光形式,雖然有一些聲譽上的影響,但是幫企業提早發現了安全隱患🥻。”羅清籃笑言,“但我們希望企業不痛也能快樂。”
但也有企業對白帽心存恐懼🪤。比如,企業授權黑客測試系統🕝🧜🏼,他找到了10個漏洞,但是只告訴企業7個,自己留了3個可能去做其它交易🫃🏼。“這會讓企業無形中遭受更多損失,由於經過授權,也不好糾責🧑🦲。”
此外🌽,一些企業對於安全問題也存在偏見和忽視。“有的企業不願意讓白帽提交漏洞,他擔心白帽除了獲取利益外,還會持續不斷地提交漏洞,或引起黑帽的關註🧑🏿🚒。”
有些處於早期的企業,忙於業務發展,並不願在安全上投入。“等之後業務做大出現安全問題👨🏽🍼,他們再亡羊補牢👂,發現付出的成本更大,我見過很多鮮活的例子🛖。”
2015年,漏洞銀行進行網站上線,羅清籃沒有大張旗鼓宣傳🤹,而是默默地做起了內測。“先要讓企業提升對安全的認知度⚁,並且依靠市場機製聚攏白帽群體🤦🏽♂️,或許能讓黑帽轉白帽。”
為企業和白帽搭起一座橋
網站上線後,羅清籃邀請了幾十家之前積累的企業用戶參與🧑🏻🍼,平臺同時也入駐了一批圈內知名的白帽。“全靠白帽朋友之間互相介紹。”
為了能夠順利測試,羅清籃設置了幾個規則。首先,內測企業要授權允許平臺上的白帽測試查找漏洞。“這樣規避了法律風險。”;其次👃🏼,平臺要對白帽有保護機製🫨。
經過半年內測🪤🧑🏿🎄,平臺匯集了約3000個白帽,約500家企業,每月提交漏洞約1000個。羅清籃覺得模式已跑通🧘🏼,決定正式運營漏洞銀行。
漏洞銀行的業務流程如下:企業入駐授權檢測——白帽找出漏洞後提交——平臺給出技術評級——企業給出危害評級👨🏿🦲,並根據兩項評級為該漏洞定價。“把定價的權限交給企業。”
費用由企業通過平臺支付給白帽‼️,白帽不與企業直接溝通♞👩🏽🔬。“白帽是一群技術人員,不太懂商務那一套🙍🏽♀️;企業方可能認為白帽在拿漏洞威脅。”平臺從中做溝通👸🏿,製定標準和規則🪩。“我們會告訴企業其它平臺的定價範圍𓀊,任他們參考🖕🏽。”
同時為提高白帽的活躍度,他還上線社區欄目“PWN”(黑客俚語,代表攻擊成功)🧑🏽🦲。在這裏,黑客可以自由發表觀點、上傳檢測報告(必須對企業信息打碼處理)、分享新技術等🚂。
“黑”與“白”的一線之間
羅清籃對於漏洞銀行的未來發展很有信心⛹🏿♀️,但不可否認的是“黑”與“白”在很多時候還是一線之隔。
“都遊走在法律的邊緣。”安全專家李夏(化名)表示🛗,“黑客”是把漏洞賣到黑市,謀取巨額利益。“白帽”是把漏洞提交給廠商🧙🏻♂️😭,讓廠商及時修復漏洞保護用戶信息🍄🟫。
按照業內資深人士的說法,“白帽”查漏洞行為從法律角度是沒有合法規定的🤸🏼♂️,只是現在幾個漏洞平臺由政府支持🕞,所以處於一個“不算違法”的情況🧳。和“黑客”販賣網絡漏洞獲得高額收入相比,“白帽”更多被認為是一種“情懷主義”。
價格都在幾千美元到幾萬美元不等,這當然不能與“黑客”相比,一個高危漏洞在黑市上賣出上百萬美元都很正常。“白帽不能沾那些事情🎒,一旦沾了,就回不了頭。”李夏特別強調👩🏼。
對於“白帽”近來被推到風口浪尖🥷🖕🏽,羅清籃有自己的看法。“這個群體非常低調,而且都是技術控,他們並沒有太多獲取利益的想法,更多是想展現自己的技術。”羅清籃說道,我對現在這種抵製“白帽”的聲音不太認同🔂,“白帽”這個群體有他們存在的價值。
漏洞銀行的價值觀是“創造未知,惠及世界”。羅清籃解釋道🌊,“創造未知,指的是創新,未知是過去沒有的東西🧔🏻♂️,惠及世界指的是🪤,我們希望利用這些巨大的力量🧩©️,去改變世界🦘,讓世界變的更美好。我們相信只要把力量往正確的方向去引導,就可以改變世界✍️,造福世界。”