工匠风采丨刀锋上的"白帽黑客"罗清篮

时间:2023-02-22浏览:17

为积极落实《关于推进新时代职工继续教育创新发展的意见》文件精神,上海工匠学院广泛吸纳劳模、工匠、高级专业技术人员、高技能人才等行业中的优秀人才,聘请他们为工匠导师,为学生传道受业解惑,指导学生解决工作中的问题,指导开展创新成果管理等。


今天登上本栏目的工匠导师,被称作刀锋上的“白帽黑客”。他就是“上海工匠”、“上海市领军人才”罗清篮。

罗清篮,上海谋乐网络科技有限公司董事长兼CEO、第20届青少年科技创新大赛全国一等奖、第三届上海市科技创新市长奖提名奖、快公司MCP100、上海市科学技术发明一等奖获得者。罗清篮从一名少年网络黑客转型为白帽子,并创立“漏洞银行”这一全新的商业模式,引导黑客退出黑色产业链,吸引网络技术专才,构建庞大的白帽黑客社群,为多个城市网络安全提供有效解决方案,为上海市上千家重要企事业单位“保驾护航”。



信息安全世家”的少年黑

对于出身“信息安全世家”这个称号,罗清篮觉得有些夸张了。


上世纪90年代互联网刚刚兴起的时候,罗清篮就对计算机和网络产生了兴趣。在网上,他结识了不少中国第一代黑客。

接触黑客技术,源自一次打局域网游戏的经历。”罗清篮回忆说。当时初中和高中,沉迷于黑客技术的他基本上都没有怎么学习,所有时间每天通宵研究网络安全。那时候不像现在,网络安全还没有很多法律的约束和条例,对于他来说也是最自由的时光。后来他写的一个驱动级的进程授权工具被第二十届青少年科技创新大赛入选,当时科协主席周光召把奖杯放他手上的时候,他还觉得不可思议。

我从未想过自己写的工具居然得到了那么多专家的认可”也正是这个大奖,让他获得了全国高校的报送资格。当时他毫不犹豫地选择了东华大学第一届信息安全专业,师从中国第一代研究信息安全的专家曹奇英教授。



从“乌云”得到启发

2013年,罗清篮被一家名为乌云(WooYun)的平台所吸引。其模式为通过白帽提交、公开企业的漏洞。”罗清篮很受启发。“乌云开创了漏洞提交的先河。”


但是对于“乌云”模式,罗清篮也清晰的看到了它的弱点。“不少客户挺反感将漏洞公开。”

在罗清篮的设想中,白帽发现并提交企业的漏洞后,企业将为其付费。但由于黑客行业的混乱,加之不知企业付费意愿如何,罗清篮花了很长时间走访验证。


他发现很多企业是痛并快乐着。“首先他们也能接受乌云的这种曝光形式,虽然有一些声誉上的影响,但是帮企业提早发现了安全隐患。”罗清篮笑言,“但我们希望企业不痛也能快乐。”

但也有企业对白帽心存恐惧。比如,企业授权黑客测试系统,他找到了10个漏洞,但是只告诉企业7个,自己留了3个可能去做其它交易。“这会让企业无形中遭受更多损失,由于经过授权,也不好纠责。”


此外,一些企业对于安全问题也存在偏见和忽视。“有的企业不愿意让白帽提交漏洞,他担心白帽除了获取利益外,还会持续不断地提交漏洞,或引起黑帽的关注。”

有些处于早期的企业,忙于业务发展,并不愿在安全上投入。“等之后业务做大出现安全问题,他们再亡羊补牢,发现付出的成本更大,我见过很多鲜活的例子。”


2015年,漏洞银行进行网站上线,罗清篮没有大张旗鼓宣传,而是默默地做起了内测。“先要让企业提升对安全的认知度,并且依靠市场机制聚拢白帽群体,或许能让黑帽转白帽。”



为企业和白帽搭起一座桥

网站上线后,罗清篮邀请了几十家之前积累的企业用户参与,平台同时也入驻了一批圈内知名的白帽。“全靠白帽朋友之间互相介绍。”

为了能够顺利测试,罗清篮设置了几个规则。首先,内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”;其次,平台要对白帽有保护机制。


经过半年内测,平台汇集了约3000个白帽,约500家企业,每月提交漏洞约1000个。罗清篮觉得模式已跑通,决定正式运营漏洞银行。

漏洞银行的业务流程如下:企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价。“把定价的权限交给企业。”


费用由企业通过平台支付给白帽,白帽不与企业直接沟通。“白帽是一群技术人员,不太懂商务那一套;企业方可能认为白帽在拿漏洞威胁。”平台从中做沟通,制定标准和规则。“我们会告诉企业其它平台的定价范围,任他们参考。”

同时为提高白帽的活跃度,他还上线社区栏目“PWN”(黑客俚语,代表攻击成功)。在这里,黑客可以自由发表观点、上传检测报告(必须对企业信息打码处理)、分享新技术等。



黑”与“白”的一线之间

罗清篮对于漏洞银行的未来发展很有信心,但不可否认的是“黑”与“白”在很多时候还是一线之隔。

都游走在法律的边缘。”安全专家李夏(化名)表示,“黑客”是把漏洞卖到黑市,谋取巨额利益。“白帽”是把漏洞提交给厂商,让厂商及时修复漏洞保护用户信息。


按照业内资深人士的说法,“白帽”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以处于一个“不算违法”的情况。和“黑客”贩卖网络漏洞获得高额收入相比,“白帽”更多被认为是一种“情怀主义”。


价格都在几千美元到几万美元不等,这当然不能与“黑客”相比,一个高危漏洞在黑市上卖出上百万美元都很正常。“白帽不能沾那些事情,一旦沾了,就回不了头。”李夏特别强调。

对于“白帽”近来被推到风口浪尖,罗清篮有自己的看法。“这个群体非常低调,而且都是技术控,他们并没有太多获取利益的想法,更多是想展现自己的技术。”罗清篮说道,我对现在这种抵制“白帽”的声音不太认同,“白帽”这个群体有他们存在的价值。


漏洞银行的价值观是“创造未知,惠及世界”。罗清篮解释道,“创造未知,指的是创新,未知是过去没有的东西,惠及世界指的是,我们希望利用这些巨大的力量,去改变世界,让世界变的更美好。我们相信只要把力量往正确的方向去引导,就可以改变世界,造福世界。”


返回原图
/