王英键和学员在培训基地上课
网络安全不能靠单一学科,软件专业的王英键开始研究电路板等硬件
对于大多数人来说,“黑客”早已不是新鲜词儿。不过“黑客帝国”也分黑白。有一群人专门找出网站漏洞提交给厂商以方便及时修复,这样的“黑客”被称作“白帽子”。
如今这种维护网络安全的人才紧缺,这也是王英键组建“神话”民间培训项目的初衷。他告诉《法制晚报》记者,在他的团队里,半年时间就能培训出合格的白帽黑客。首批学员今天毕业,以后将在各个专业互联网安全平台任职。
关于特训班
黑客不颓 军事化管理培养“阳光娃”
提及黑客,生活邋遢、高技术水平、专司破坏,往往是普通人给他们贴上的标签。对了,香烟泡面和一头乱发也是“标配”。然而,走进位于朝阳区高碑店一座仿古小院内的“神话”培训基地时,上述形象完全被颠覆了。
十几台计算机整齐地摆放在屋里,十多名年轻人聚精会神地看着电脑屏幕前闪过的一组组数据,人群中央站着一个干练稳重的中年人——项目负责人王英键。没有垃圾遍地、没有烟雾缭绕,“颓”字与他们毫不相干。
“神话”团队里,大部分学员都是因为兴趣才进入这一行列的。学员李磊去年5月开始进行“神话”训练,而他的本科专业是室内设计。“特别感兴趣”这五个字,他对记者多次提及。在他的脑海中,白帽黑客不“黑”,而是一群有正义感的人。
虽然培训的是网络安全,但这里的宿舍却连无线网络都没有。
“我培养出的黑客不仅要成为‘白帽子’,生活上也应该站在‘阳光’的一面”。用王英键的话说,黑客也好,“白帽子”也罢,一旦工作起来,通宵达旦废寝忘食是常态,很多人因此放弃了正常的健康生活。这样的生活方式,首先“黑”的是自己的身体健康。
道理谁都懂,但王英键要他的学员们落在实处。因此他取消了宿舍的无线网络,“每天要保证8小时的睡眠”。此外他还常常鼓励年轻的学员们喝白水、喝茶,取代饮料。
不过对学员来说,这里最让他们想不到的,是居然实行准军事化的管理。王英键专门找来一位退伍军人,每天都带着学员们进行体能训练,整理内务。
神话不神 “小白”专注培训能上岗
在学员们看来,管理方式是最大的意外。而在业内人士看来,短短半年的时间,将几乎零基础的“小白”变成一个初具水平的互联网安全从业人员,这事儿几乎不可能。因此,王英键把自己的培训项目叫做“神话”。
在互联网安全领域磨炼了十余年的王英键,在2015年5月份专门设立了这个民间培训项目。他聘请了30多位一线导师,进行计算机攻防、团队精神培养等课程的综合素质训练。学员均是采用海选的方式从几百名报名者中筛选出来的,最终只有30名选手进入免费的封闭特训。
“神话说起来并没有那么‘神’。”王英键给法晚记者算了笔账,这里的学员每天要进行将近10个小时的培训。不准用手机,不能玩游戏,因为有了充足的休息时间自然也不能上课打盹。每周除了周日,完全没有假期。算下来,学员们至少用了1440个小时专注于培训。
而如果正常上大学呢?一名学员也算了算账。听上去有4年时间很长,但刨除假期、打游戏、谈恋爱、上课睡觉、翘课、打工等等,用于专业课程的时间未必会比“神话”多多少。
新手不怯 首次实战发现车锁大漏洞
培训不只是上课,也有“实战”。2015年11月25日,三名白帽黑客对沃尔沃XC90、比亚迪F0以及别克君威三款轿车进行了实验,仅仅用了不到一分钟时间,就破解三车的防盗系统,做到无限次开车门。他们将这个漏洞告知了厂商,厂商承诺将对漏洞进行修补。
三人均是“神话”的学员,年龄最小的才18岁。选择这次实验,一部分靠经验的积累,一部分靠自己的兴趣。一名学员告诉记者,他们在学习中,发现一套远程遥控的编码程序存在漏洞。根据经验,他们认为这套编码程序会被应用到很多的领域中。果然,破解之后,他们打开了基地的车库门。
门开之后,里面的轿车又吸引了他们的注意力。“试一把呗?”这才有了后面的实验。
王英键告诉记者,在“白帽子”领域,一般都会在自己的兴趣范围内,对当下“最红”的事物展开攻击,一是攻击的人多,能不能先人一步,是对自己水平的考量。二是,这样的漏洞通常危害更大,自然也更吸引业界注意。当然有时候运气也是一个重要因素。
关于白帽子
由黑到防 不过是一个名称的区别
王英键对“神话”的信心,来自自己的“黑”历史。王英键给自己的评价是淘气,从小喜欢干一些“出格”的事。
上世纪90年代初期,他利用从杂志和报纸上学来的技术,第一次“黑”了自己的计算机。用现在的标准,那至多能叫做“刷机”——把电脑的处理器进行超频处理,性能有了稳步提升。
再之后互联网出现了,这个新事物让王英键“痴迷”,也让他知道了什么叫做“黑客”。当时国内关于黑客技术的教程和软件非常少,技术来源只能是盗版光碟。大学时,他选择了计算机专业。“黑”一把学校的服务器,成了他入学后最想做的事情,当然,他成功了。
后来,王英键也认识了不少“黑客”圈的朋友,大三暑假时,他经朋友介绍,开始从事互联网安全的工作,还未毕业就成了网络安全工程师。
从“黑”到“防”,在王英键看来,远没有那么复杂。王英键告诉记者,在2000年前后,黑客也好、安全工程师也好,不过是一个名称的区别,终归都是对互联网安全进行研究的人,寻找、攻击、修正漏洞才是最终目的。与现在商业经济利益的驱动下黑客的攻击行为是完全不同的。
也是在那时,他意识到在实践中获得的知识,远比课本上获取的要多得多。专一地从事这一工作,效率也比学校的学习要高。
人才紧缺 能坚持大多是兴趣使然
多年的工作经验让王英键看到中国互联网安全人才的缺失。
借用即将上映的电影名称,他告诉法晚记者,想当“白帽子黑客”,兴趣“原力”,源动力。
在补天漏洞平台上,他见过的最小的白帽子才13岁,年龄最大的已过古稀。大多数“白帽子”如江湖大侠,漂泊在各个角落,凭着兴趣和执著“灵光一闪”。如果发现了重大漏洞,也就只能得点零花钱。“业余‘白帽子’的收入与付出,不成正比,不是兴趣浓厚,估计没有多少人会坚持下去。”
但危险的是,一些犯罪分子高薪诱惑这些白帽子去从事黑色产业,比如去盗取一些敏感单位的数据库信息,而这就走上了犯罪道路。
王英键希望通过这样的训练计划,让更多有兴趣、有正义感的人加入职业“白帽子”的行列。
企业资助 学员将在专业平台任职
今天,经过半年的训练,第一批神话学员就要毕业了。毕业后,有的学员将进入360、补天这样的专业互联网安全平台任职。有的会进入王英键的团队从事安全工程,还有一些精心挑选的学员,将会留在“神话”成为下一批学员的经验范本。
王英键告诉记者,其实这批学员距离他的预想还是有些差距的。比如,半年的时间,虽然培养了技术,但实战经验还是没有很好地解决。
此外,他也发现自己有些不了解现在的年轻人,一些观念的培养还是按照他年轻时的思维设计的。“这在下一期培训的时候,要有所改进。”王英键告诉记者,下一期的培训将在2016年的二季度开始。
好在当初有一些具备相当实力的安全企业关注并资助了神话的项目,这些学员可以顺利地找到工作。“这对于企业来说,也是帮助他们自己培养了人才。”
补天漏洞响应平台负责人告诉记者,“可以这么说,有时候几个月都找不到一个合格的人才。”网络安全刚刚成为国家一级学科,每年毕业人数屈指可数,根本不够抢,而企业自己培养一个熟手怎么也需要三五年的时间。这么久是企业“等不起”的,因此,资助“神话”,也可以说是一种捷径。(记者 范博韬)