“白帽子黑客”行业渐热 收入最高者年入百万-中新网
“白帽子黑客”行业渐热 收入最高者年入百万
　　12306的用户信息泄露漏洞、携程用户信息泄露漏洞……频发的系统漏洞隐患也让网络安全问题愈发受到关注。发现这些安全漏洞的，并不是某个人或者某个公司，而是一个被称为“白帽子”的群体。白帽子属于黑客，但是又在做着守护光明的事情，他们是网络世界白与黑的交集。他们都是些什么样的人?过着怎样的生活?是否像传闻中说的那样动动手指就有大笔收入……记者尝试走进他们的世界，告诉你白帽子们真实的一面。
　　白帽子是谁
　　“换个高大上的说法，白帽子就是网络安全的守卫者。”
　　武侠的世界有“兵器谱”，黑客江湖也有自己的榜单，赵武就是在“中国黑客榜中榜”上标名的人物。赵武年轻时干过“荒唐”的事，而现如今他看起来相当沉稳。赵武已过而立,负责着国内最大的漏洞响应平台补天，这个平台汇集了近万名白帽子，赵武是他们的“带头大哥”。
　　“最初是没有白帽子这个概念的，当时黑客还是一个褒义词，后来外界对黑客有了误解，为了和‘黑产’（利用黑客手段获取非法收入的人）区分开，才有了白帽子的称谓。”
　　赵武介绍，白帽子们做的事情，就是找到电脑系统和网站中的漏洞，并将之公布出来，使其在被不法分子利用前被修复。“换个高大上的说法，白帽子就是网络安全的守卫者。”
　　在人们想象中，黑客都是在键盘上十指舞动如飞、在倒计时读秒中攻破各种防火墙的世外高人，然而在现实里，白帽子中固然有不少高手，但更多的还是入门级的初学者。
　　赵武介绍，在他进入网络安全领域的时候，国内进行这方面研究的人最多只有几百人，如今随着工具下载的便利，成为白帽子的门槛已经相当低了，保守估计，国内具备寻找简单网络漏洞能力的人，起码在10万以上。“只要学会使用漏洞扫描器，你也能当白帽子。”赵武说。
　　另一位白帽子表达更直接，他认为一个“大学计算机二级未通过”的人要学会找简单的漏洞只需几天时间，而想具备一个普通白帽子的水平，“如果有人教只需要三个月”。
　　赵武认为，现在的白帽子们大体可以分成四个层次：最底层的被称为“脚本小子”，这些人没有工具研发能力，只是能够利用别人写的脚本去进行攻击，这部分人占到了白帽子总体的90%以上。第二个层次是有了自己的安全理念、具备代码审计和安全攻防能力。第三个层次的人不仅有自己的想法，也具备工程化的能力，可以自己开发工具和深入挖掘漏洞，能达到这一层次的国内也就几百号人。“从技术上讲，第三层次其实已经到头了，再往上，就是从‘术’到‘道’的飞跃，要能够思考安全的本质，提出完整的安全解决方案。能到这一层次的都是行业精英，国内能有五十个就不错了。”
　　如何成为一个白帽子
　　“白帽子是要讲天赋的，但相比天赋，其实兴趣更加重要。”
　　记者采访了十多位白帽子，这些人绝大部分都是学计算机方面的专业出身，有几个学的就是最对口的信息安全专业，可毫无例外，他们说起自己成为白帽子的经历，都用了“自学”的说法。
　　1990年出生的邓焕是补天平台的另一位技术大牛，就连赵武也承认在某些方面邓焕比自己强。邓焕的经历，很好地诠释了如何能够成为一名出色的白帽子。
　　邓焕最初接触黑客技术，始于上初中的时候。当时他的同桌买了一本黑客技术方面的杂志，邓焕随手翻了翻，竟然一下子被里面的内容吸引了。不久之后，家里买了第一台电脑，邓焕开始按照书中教的内容自己摸索捣腾。实际上，记者所采访的白帽子当中，有好几个都说自己对黑客技术的兴趣是源于此类杂志。
　　到了高中，邓焕的黑客功夫已经有了相当火候，他进高中不久就入侵了学校的网站。当时被他经常“祸害”的还有校外的网吧，每次到网吧上网，他都会接管整个网吧的管理权限，不仅让自己免费上网，还能看到网吧里每一个人所浏览的内容，他甚至会在临走时把全网吧的电脑重启，然后在一片惊呼声中扬长而去。
　　几乎每个从计算机专业出来的白帽子都干过入侵自己学校系统的事，邓焕也是如此。他发现在大学里上网还要花钱，于是破解了学校的网络计费系统，让自己可以免费上网，之后一不做二不休，干脆把学校里的各个系统都入侵了个遍。邓焕把他发现的学校系统漏洞总结成一份报告，发给了系主任。不久后，邓焕在课堂上被系主任和辅导员“请”了出去。最终邓焕没有受到任何处分，相反他得到了可以在学校网络中心办公室上网的待遇，还顺便帮学校做网络维护，之后还代表学校参加了湖南省的信息安全大赛。
　　邓焕代表了一大批白帽子的经历，他们虽然学习计算机专业，可黑客技术还都是自学来的。邓焕告诉记者，这是因为学校里教授的知识偏重于理论，很少涉及黑客技术方面。事实上，他还在大一的时候，就有学校的老师向他请教问题，到大二时，学校已经为他开了绿灯，他无需再上课，跑到北京来工作，直到毕业时回去参加答辩就可以了。
　　“什么样的人能够成为一名出色的白帽子？”面对这样的提问，有的白帽子认为是要讲天赋的，邓焕则认为，相比天赋，兴趣更加重要。“研究技术就是我的游戏，从中获得的成就感是其他任何事都达不到的。”邓焕认为，他之所以能成为白帽子当中的佼佼者，是因为他愿意把大量的时间和精力都花在这上面。
　　现在还没有大学毕业的白帽子鲍宇也认同兴趣至关重要的观点。他告诉记者，他大学是学编程的，在他的同学当中，只有他自己对黑客技术感兴趣，其他人即便偶尔有了兴趣，可都是三分钟热度，很快就不愿意学了，所以一个班上只出了他这么一个白帽子。
　　优秀女白帽子比大熊猫还稀罕
　　“在白帽子这个圈子里，一个女生的水平高低并不重要，都会被其他人供起来。”
　　黑客的世界，一向被认为是男人的世界，而白帽子当中的女生更是凤毛麟角。按照邓焕的说法，补天平台上近万的注册白帽子中，他知道的女生只有十几个，说千里挑一都不夸张。“在这个圈子里，一个女生水平高低并不重要，都会被其他人供起来。如果是技术又牛，长得又漂亮的女生，那简直比大熊猫还珍稀，基本上圈子里没有人会不知道。”邓焕笑着说。
　　“小惠子”是个刚刚20岁的女白帽子，还在读大二的她做白帽子才半年时间，用她的话说，“随便碰到一个白帽子都是我的师父”。当被问到为什么会做白帽子时，小姑娘给出了这样的回答：“上大学前很爱玩游戏，后来考上大学也不知学什么好，觉得这个（信息安全）专业挺好玩的，于是就报了。”
　　虽然学信息安全的女生本就不多，但“小惠子”班上54个人里还是有14个女生的，可做白帽子的只有她一个。“她们都喜欢聊QQ打游戏什么的，只有我觉得挖漏洞还挺好玩。”让她更得意的是，作为一个“女白帽子”，她遇到的其他白帽子对她都很热情。“班上有男生也想学，可别人都不怎么愿意教他们。”说到这，小姑娘笑得很开心。
　　“小惠子”和其他记者接触过的白帽子还有一点不同，那就是其他白帽子虽然专业技术很牛，可学习成绩普遍一般，而这个姑娘可是当之无愧的“学霸”。“我觉得做白帽子对学习还是很有帮助的。”
　　在国内安全圈里鼎鼎大名的“碳基体”则是邓焕口中“技术牛、长得漂亮”的“大熊猫”级的女白帽子，虽然她的网络ID很难让人和一位美女联想到一起。和“小惠子”这样的初学女白帽子备受“宠爱”不同，到了“碳基体”这个级别，除了她老公偶尔在人前夸耀“我老婆可是个黑客”，其他时候，女性身份根本不会给她带来什么便利。
　　“碳基体”是一家安全企业的技术人员，她告诉记者，在她的工作环境中，人们看重的只有能力和技术。“我入职面试的时候，被问的都是技术问题，答得上来留下，答不上来走人。”和其他女生一样，“碳基体”也爱逛街打扮，可一旦进入工作状态，“该吼就吼，根本不顾什么形象。”
　　“碳基体”告诉记者，女性在安全行业当中的人数虽然少，但是并没有外界想象中的那么稀罕，而且随着就业环境越来越好，从事这个行业的女生也越来越多了。但是她也承认，很多女生在做过几年技术工作后，也会转到管理岗位上，“不过我是希望一直在技术一线工作，因为我确实喜欢研究技术。”
　　收入最高者年入百万
　　“网络安全事件频发，信息安全的概念开始深入人心，企业都开始设立专门的网络安全岗位，这方面的人才一下子成为了稀缺资源。”
　　白帽子这个行业真正火起来，也就是最近两三年的事情，而最直接的因素就是收入情况的好转。
　　在三年前，白帽子们挣钱只有几条道：成立安全公司或者团队，开发产品，为企业提供这方面的服务，不过这只限于少数真正的技术大牛；接一些网站或者厂商产品众测的活儿，不过这种活儿都是临时性的；再不就只能做普通的程序员，每月挣四五千元，这些白帽子在网络安全方面的特长根本无用武之地。最近几年，这一情况发生了极大的改善。一方面，由于网络安全事件频发，信息安全的概念开始深入人心，一些企业开始设立专门的网络安全岗位，这方面的人才一下子成为了稀缺资源，企业开出的价码也水涨船高，不少白帽子都投身到“豪门”；另外一方面，像补天这样的漏洞提交平台的建立，也给白帽子们创造了一个平台，找漏洞不再是义务劳动。
　　据了解，如今国内顶级安全人才的年收入可以达到百万元水平；高水平的白帽子，加入互联网公司的，一年挣个十几万几十万也属平常；即便是那些依旧散兵游勇的白帽子，通过在平台上提交漏洞，有的也可以月入数万元。
　　李寅是补天平台上收入最高的白帽子。据他介绍，他平均一个月在补天上获得的奖金在2万元左右，而最多的时候，他一个月就拿到了超过6万元的奖金。要知道，补天提交一个漏洞获得的奖金也就几百元，最多不过一两千元，可见他每月提交的漏洞数量有多少。
　　“最初我找漏洞就纯粹是个人的业余爱好，后来到补天上发现既能找漏洞又能提高技术水平，何乐而不为啊！所以我在补天上发漏洞的积极性就比较高。”李寅对记者表示，与之前相比，他现在更加注重提交漏洞的质量，而不是再一味求数量，加上目前他正在筹备自己的创业项目精力有限，现在他在补天上的收入也没有之前那么高了。
　　李寅这样的白帽子毕竟是少数，不过每月能从补天平台上拿到几千元奖金的白帽子还不在少数。赵武介绍，目前补天平台每月向白帽子们发放的奖金和物质奖励加起来能有四五十万元，其中一部分是被发现漏洞企业出的奖金，而大部分还是补天平台自己支付的。
　　收入条件的好转，带来的直接影响就是愿意投身白帽子的人越来越多了。今年7月才大学毕业的鲍宇对记者说，之前他也动员过其他同学来学习白帽子技术，可他们都不感兴趣。不过当别人发现他签下的工作收入要明显高于一般的程序员工作后，还是对他很羡慕的。“就业条件好了，现在刚进大学的人对于做白帽子的兴趣就比我那个时候更大了，人数也多了，不像我当时那样孤军奋战了。”鲍宇说道。
【编辑:陈鑫】
>相关新闻：
>经济新闻精选：
?? ????? ?
直隶巴人的原贴：我国实施高温补贴政策已有年头了，但是多地标准已数年未涨，高温津贴落实遭遇尴尬。
66833 34708 30649 18963 18348 16939 12753 12482 12188 12157
　| 　|　　|　　|　　|　　|　　|　
本网站所刊载信息，不代表中新社和中新网观点。 刊用本网站稿件，务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像，违者将依法追究法律责任。
[] [] [京公网安备:-1] [] 总机：86-10-
Copyright &
. All Rights Reserved白帽子是如何炼成的？乌云网创始人如是说
虎嗅注：漏洞事件不仅令携程网深陷漩涡，连最初曝出漏洞的乌云网也成为众人瞩目的焦点，更引起人们对公关以漏洞作为攻击目标的忧虑（《》）。创始人方小顿有着什么背景？他怎么看国内网络安全环境？本文来自，虎嗅进行了摘编。黑客一词源自英文hacker，最初曾指热心于计算机技术、水平高超的电脑玩家，尤其是程序设计人员，但随着互联网行业的逐渐成熟，黑客的属性也分为白帽子和黑帽子。方小顿就是白帽黑客中的佼佼者。他是国内著名安全组织80sec的成员。也曾经是百度安全专家，负责对黑客袭击百度网站的抵御工作，曾发现多个知名底层和脚本安全漏洞。随后他又创立了网络漏洞报告平台——乌云，作为一个厂商和安全研究者之间的安全问题反馈平台，乌云提供给互联网公司很多漏洞及风险报告，帮助他们防患于未然。随着乌云影响力的提高，旗下白帽子团队也达到了近5000人，其中核心黑客超过100人。黑帽子指泛指那些专门利用电脑网络搞破坏或恶作剧的黑客，并通过网络漏洞非法牟利，在英文中这些人叫做cracker。而白帽子指对网络技术防御的黑客， 他们可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞，以便系统可以在被其他人（例如黑帽子）利用之前来修补漏洞。方小顿对白帽子这个职业有着自己的见解。在他看来，白帽子最难的就是坚持自己的理想，不计眼前的利益诱惑，从整个行业着眼为网络安全贡献自己的力量。在他眼里，白帽子是一群挣扎在理想和现实边缘的黑客。“白帽子”是如何炼成的2002年，15岁的方小顿便考上了哈尔滨理工大学的化学专业，也是在那一年，他开始接触互联网，接触网络安全。方小顿称，由于对化学专业没有太大的兴趣，基本上除去上课、睡觉，大学全部的时间都扑在网络安全研究上。从那时开始，方小顿经常给国内顶尖网络安全杂志投稿，稿件多被录用。在大学期间还受聘给某网络安全培训机构的学生授课。但他并不认为课堂中会出网络安全人才。“网络安全问题本身就存在于破坏规范中，处理网络安全问题的核心就在于不守规矩，所以在规范的教育体系下，很难出网络安全人才。”方小顿指出，网络安全是一门兴趣指引下的学问，他需要黑客亲身去钻研，不能把别人过往的经验总结成课程来学习。方小顿自己的经历完全可以印证这一点。最初他对网络安全产生兴趣，源于课余时间同学之间在网络上的互相攻击。彼时可借鉴参考的资料基本属于空白，完全依靠自己的钻研。随后他又与大学同学一起黑入一家网站的主页并善意提醒了这家公司存在漏洞问题。这家公司在2006年也为方小顿提供了他大学毕业后的第一份工作。2008年，方小顿加盟了百度，负责网络安全。在百度，他获得了从大平台的角度去学习认知互联网安全的机会。但百度的主体业务是搜索引擎，由于其在整个互联网领域的局限性，对于2010年的方小顿，留给他施展的空间也极为有限。方小顿称，离开百度主要还是因为理想，他想利用自己的技术来为更多的互联网公司解决安全问题。他认为，一名白帽子黑客除了要有这方面兴趣之外，另一点就是必须拥有一个正能量的理想。同样利用技术发现漏洞，黑帽子黑客往往利用漏洞通过不法手段来获取利益，这部分利益能多到哪种程度呢？方小顿称，可能是一个并不起眼的黑客，某一天你就会发现他住上了好房，开起了好车。他表示，目前最强的黑帽子和白帽子收入的差距大概是日薪一万和月薪一万的差距。正因如此所有白帽子黑客都是站在了理想和现实边缘。方小顿认为，白帽子黑客必须认清自己的核心诉求不一样，在理想和现实中更加重视个人的成长。他同时指 出，以黑帽子黑客赚钱的方式往往会令人变得浮躁，这种心态会不利于自身对技术的学习，从个人技术发展角度讲，这并不是一件好事。网络安全需要更多参与者离开百度的方小顿，为了自己的理想在2010年5月创立了乌云。在日，乌云曝出国内知名技术社区CSDN的600余万用户资料被泄露。此后又陆续曝出多玩800万用户信息、7K7K小游戏的2000万用户、网站的1000万用户资料，以及人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库遭遇不同程度的外泄。该事件引起各界人士讨论，一时间网友纷纷修改网站密码，并直呼“修改到手抖”，促使各方更加重视网络安全，乌云平台也因此名声大震。在此后的这几年，乌云平台不断发布在各个网站发现的漏洞，并且快速成长为一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台，同时它也是服务于互联网IT人士技术开发的互动平台。最近的携程漏洞曝光后，引起极大反响，携程股价一度下跌近10%。乌云再次以强势的姿态冲进人们的视野，并且一次次带给人们更大的震撼。方小顿指出，目前安全行业环境不够好，与互联网提倡的开放和分享走得很远，不利于整个社区的成长和行业的发展。他透露，乌云在把部分厂商的漏洞公开后，会受到来自厂商的一些报复，最严重的乌云服务器还被拔过线。他认为，目前信息安全的问题是行业环境的问题，不够公开不够透明的问题导致很难像其他行业一样被人了解和理解，而互联网安全从业者在不了解和不理解的前提下很难将事情做好。“如果我家里没有上锁，可以说是我自己的事情，无关他人。但如果你是家银行，你管理的东西都不是你的，那就有必要也有义务让用户知道你管理的真实情况。”方小顿解释道，公开漏洞信息另一方面的重要原因是，让同类企业引以为戒，并节省整个行业的安全成本。他进一步表示，乌云将坚持开放和分享的核心运营思路，通过信息的流动带来社区的活跃，在积累了大量的安全问题基础数据之后，希望能够与白帽子一起除发现问题之后还能为企业解决和规避安全问题。目前，乌云仍属于一个非盈利组织，网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。接近5000人的白帽子黑客全部为乌云义务提供服务。方小顿认为，互联网安全行业应该受到更高的重视，还需要像国家、企业、媒体以及第三方平台等参与进来。“来自各行各业的人士会从不同的角度分析判断网络安全问题，从而会更容易发现漏洞，减少损失；另一方面，企业的参与也能够从一定程度上改善白帽子黑客的生活质量，对其也是一种正确方向的引导。”移动安全问题核心不在终端不过，网络安全参与者的增长速度，显然没有麻烦制造者的增长速度快。随着移动互联网的兴起，一些由手机等移动设备曝出的网络安全问题，已经成为了近两年3·15晚会的常客。但方小顿认为，移动互联网的安全问题核心不在移动终端，归根结底还是互联网服务的漏洞越来越多。他表示，回归到安全漏洞的本质，漏洞与数据是相对应的，一个不能影响数据的漏洞只能说是个Bug，无论用户用什么手机，它最终只承载了互联网服务入口的使命。方小顿称，移动安全问题的增多，主要是因为人们越来越频繁的通过手机等移动设备使用互联网云服务。“现在的移动智能终端都在强调一个数据云处理的概念，邮件、照片、通讯录等用户数据都在云端，一旦出了安全问题，还是在云服务器中存在漏洞隐患。”从目前来看，苹果生态系统的安全性是被普遍认可的。由于iOS系统的封闭性，以及App Store的自有生态体系下，出现任何安全问题，苹果都会快速做出合理的决策反应，从而保证其品牌利益。而在安全方面经常被诟病的Android设备，在方小顿看来与苹果的安全水平也属同一级别。他解释道，目前品牌Android设备的开放属于一种相对的开放，终端厂商为了自己的品牌利益，会对自己产品中内置应用做出严格的审核，对待自己品牌的应用分发市场也会采取相同的态度，但对于第三方应用市场的产品，终端厂商还是无法进行审查的。方小顿认为，基于云时代的互联网安全状况，企业在一定程度上应把数据的控制权交还给用户，给用户一个选择权，让用户有权利删除记录，以保障这部分数据的安全性。另一方面，国家或第三方监管机构加强对终端公司的把控，防止企业在用户不知情的情况下收集用户电脑里的数据、记录，甚至从云端下发策略。
未来面前，你我还都是孩子，还不去下载 猛嗅创新！
后参与评论2710被浏览170894分享邀请回答0添加评论分享收藏感谢收起