天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 软件 > 安全>新闻>SRC部落张雅弛 谈她眼中的白帽子

SRC部落'掌门人'张雅弛 谈她眼中的白帽子

Yesky软件频道2017-08-09 18:00我要吐槽

  就像世界上存在着黑和白,hacker的群体也分裂成白帽子和黑帽子。黑帽子自然不用说,而就像这世上很多的白和黑、好和坏的界限不那么明显一样,很多人对白帽子的态度也各自不同。在以前的相当长一段时间,他们挣扎在理想和现实的边缘,更多的时候,充当着互联网世界的“守护者”,为网络的安全贡献着自己的力量。

  “师克在和不在众,行军打仗不在于人多势众,而在于求和的过程,在我看来,网络安全就是在寻求和的过程中。” 在i春秋学院运营SRC部落的美女运营张雅弛在阿里安全峰会上说。

SRC部落'掌门人'张雅弛 谈她眼中的白帽子
SRC部落运营总监张雅弛

  出身文科的雅弛,谦虚地称自己为“安全麻瓜“,由于工作的性质,她经常混迹在白帽子群体中,也和很多互联网安全公司部门和安全企业打过交道,还学习了国内外一流安全法律......这些工作阅历,让她对于网络安全行业和白帽子群体有着自己独到的看法。在她演讲完之后,天极网采访了雅弛,在会场旁边的咖啡厅聊了一个小时左右。

  1、天平的两端:安全和自由

  “这是最好的时代,也是最坏的时代。”雅弛说。她认为,在国家政策推进下,整个网络安全行业是一个无限的蓝海景象,但也有很多亟待被解决的灰色地带和敏感领域。前辈们已经开辟了安全的新大陆,正是安全从业者需要开拓和参与的时代。这个时代要怎么被开拓?“我想是通过三方求和达成的,通过国家、企业和公民,通过这三方的求和达成的。”之后,她讲了三个有关于她口中“求和”的故事,很发人深省:

  第一个是国家和企业在安全上达成最初的求和。最早追溯到1995年,那时候互联网迅猛发展,一些黄色、暴力信息充斥在网上,美国国会为了加强对信息的监管起草了CDA法案,这个草案在后续的几年中被美国最高法院不断的驳斥,但其中有一条是很少被驳斥也是最重要的一部分,就是第230条--网络供应商可以不被当做内容的发布者来对待。这是国家对于大型互联网公司达成的一个最早的求和,以人为鉴、以史为鉴,安全和自由是天平的两端,国家充当的就是一个维稳者,既需要创造有序的互联网环境,同时也需要把这个天平向大型企业倾斜,给他们打造一方可以暴风发展的净土。

  第二个是国家和公民间的“求和”。美国的女律师詹妮弗,是斯坦福大学网络与社会公民自由研究所的负责人,她曾经为加州监狱的犯人做过辩护,这个犯人改写了自己付费电话的程序,来使他的狱友免费和家人通话,后来被狱方知道了要问责他,这个事件在美国引起了很大的讨论。这个女律师无偿为这个白帽子辩护,说应该通过规则去鼓励有能力的人,让他们把能力用在适当的地方,安全的重心不应该放在惩罚上,这也是国家和公民求和的关键所在。

  第三个例子是企业和公民之间的“求和”。企业创造产品是为了实现用户价值,从而实现商业价值,但选择是双向的,用户有权挑选他们喜欢的产品,但如果这个产品不能满足我的需求,我有没有权利优化它?改造它?从历史发展的眼光上来看,很多卓越的产品(例如iPhone)都是通过规则的挑战者来破坏规则,冲破边界,挑战权利而创造出来的。这也就是近两年被广泛探讨的问题--版权问题。作为用户,拥有产品的使用权,是否拥有对这个产品改造的权利?它的边界又是什么?

  2、“不同意你破坏规则,但愿意捍卫你善良的创造力”

  雅弛回忆起最初和SRC交流的时候,他们想要建立一个白帽子的黑名单,也就是什么样的白帽子会涉灰、涉黑,但是,通过这样拉黑名单或者惩罚的机制,并不能根本解决安全的问题,一旦被拉进黑名单,白帽子很可能再换一个身份、换一个网站来攻击你,“我们想站在白帽子身边,通过价值观来疏导白帽子,引导他们对于正确的事物保持敬畏之心。走上安全的岗位,可以不涉灰、不涉黑也可以获得利益和价值。”

SRC部落'掌门人'张雅弛 谈她眼中的白帽子

  雅弛认为,白帽子拥有可以改造网络世界的洪荒之力,但也可以去破坏这个世界。企业背负着社会价值和安全责任,安全也需要通过规则来约束,需要拥抱法律、拥抱国家政策。

  在《网络安全法》刚刚实施的时候,i春秋进行解读并放到网上供白帽子学习。“和白帽子的接触我很了解,很多时候并不是说他们想要破坏规则,而是他们不知道边界在哪里。”

  2016年9月,”SRC部落“正式上线,是雅弛带领的团队的求和之路。“我们希望建立国家、企业和公民白帽子之间的纽带。而i春秋有50万注册用户,这些用户里面有信息安全的爱好者、从业者和学习者,引导他们把力量用在正确的地方,就变成了SRC部落的使命所在,我们希望白帽子在i春秋平台学习知识,通过网络安全竞赛增长技能,从而被塑造成全方位、立体的安全人才,最终输送到企业去体现更大的社会价值,形成安全人才生态的闭环。”自从SRC部落上线之后,截至到采访时,已经有49家国内的SRC,一家海外的SRC参与进来。

SRC部落'掌门人'张雅弛 谈她眼中的白帽子

  从去年9月到现在,雅弛运营的SRC部落做了很多努力,也做了很多事情,例如,今年4月份,做了首次尝试,联合同程SRC发布了任务,为同程输送了很多有技能的白帽子,在7月,又和百度安全BSRC举办“漏洞巡缉”计划,第一个提交严重漏洞的白帽子可以跟随百度,参加美国DEF CON 25 & Black Hat 2017。

  3、从“双低”走向“双高”

  虽然混安全圈的时间不算长,但雅弛说,她的“安全的三观”被颠覆了,以前觉得白帽子学历都比较低、年龄比较小,大家都觉得自己的技能比较厉害,因为没有正规的书本可以告诉一个安全的负责人他是怎么成长起来的,所以对于白帽子,怀抱着神秘感和距离感,是一个很复杂的情感,在i春秋的工作经历,使她发现,现在的时代和之前前辈传授的经验是不同的。“4月我们做的一个白帽子互动,给同程输送了很多白帽子,有一个大三的学生,是物理专业的,他因为之前看上了一个礼品商城的烤箱,非常想要这个烤箱,在此之前没有系统学习过怎样去提交漏洞,也算是机缘巧合,他是i春秋的用户,看到我们的活动来参加,就得了第一名。”

  总之,如果说以前的白帽子大多数是低龄、低学历的少年黑客,现在已经完全不一样了,超高学历、双商很高,已经从匪军变成了正规军,也越来越“可怕”了。

  她还透露,可能多数人并不知道,中国的白帽子在世界范围内的安全圈做了很大的努力,例如,微软每年的漏洞提交情况有三分之一是来自中国的白帽子。可能很多人跟我一样,经常能看到媒体的报道,“XXX白帽子提交漏洞拿奖金,从而发家致富、走向人生巅峰”的故事。在雅弛看来,SRC厂商之间也有攀比的情况,漏洞分为:严重、高危、中危、低危,漏洞本身的评级相对固定,但如果是针对核心产品,厂商会提高奖励倍数,鼓励白帽子来自己的平台挖漏洞,一个严重的漏洞,市面上折合人民币是600—8000不等,拿到的奖金不一定能在北京二环买房,但提交漏洞,解放自己不用上班、过上美好生活是没有问题的。比如百度“漏洞巡缉”,严重漏洞最高可以乘以六倍积分,这还不包括其对高质量漏洞的月评,有2万到10万的现金奖励,白帽子可以通过增长积分的方式,获得非常不错的收入。

作者:嘉文责任编辑:嘉文)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
热点推荐
微软Windows 10操作系统Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。[详细]
Windows 10 新视界 [进入频道][使用技巧][微博互动]
手机整机DIY企业级