“白帽”黑客：一個月挖出十個微軟漏洞，網絡安全的神秘保安

20世紀90年代後，随着計算機技術的發展，黑客群體逐漸被區分為“白帽子”和“黑帽子”，前者發現網絡漏洞後，提出修改方案維護網絡安全，後者則利用網絡漏洞牟利。tyy和黃正便是黑客群體裡的“白帽子”。

不久前在一項“白帽”黑客的競賽中，畢業于浙江大學計算機專業的“tyy”利用漏洞擷取了評委的共享單車賬号、餘額、騎行記錄等隐私資訊，還通過場外連線，成功讓評委瞬間“穿越”到了上海街頭騎車。另一位“白帽”黑客黃正則利用門鎖通信協定漏洞，獲得了智能門鎖的開鎖密碼。tyy和黃正告訴記者，在發現漏洞後，他們會立刻送出給廠商，而此次共享單車和智能鎖的漏洞，他們在賽前就已通知了廠商。

充滿神秘色彩的“白帽”黑客到底過着怎樣的生活？近日，廣州日報記者對他們進行了專訪。

科班出身的白帽黑客并不占多數，“江湖”上流傳着不少少年天才甚至國小生黑客的傳說，大學就讀于西安電子科技大學微電子專業的黃正就是其中一員。

來自鄉鎮的遊戲少年

晚上下班後，烏泱泱的人群擠進北京西二旗地鐵站。這些人裝扮各異，有的背着雙肩包、衣着樸素，有的還穿着人字拖。戴着眼鏡長相斯文的黃正從人群中冒了出來。他目前是百度安全實驗室 “x-team” 團隊的負責人，也是微軟 “msrc top 100”榜單排名第8的白帽子。“白帽子”，就是“白帽”黑客。

黃正出生于湖南郴州，童年的記憶裡，滿是散着植物香氣的田野和低頭吃草的老牛。幼時，好好讀書，離開鄉土，到城裡找個好工作便是父母對他的全部期望。黃正學習很努力，盡管那時他并不羨慕父母眼中的好工作。

國中，黃正來到縣城開始了寄宿生活。在縣城接觸到網絡的黃正一下子被這個虛拟世界給迷住了。觸手可及的海量資訊，新鮮有趣的網絡遊戲，他一頭撲進了網絡世界。下課或者周末放假，黃正都會準時出現在網吧，為此，他常常和寝室檢查員鬥智鬥勇。

盡管如此，但黃正依然常拿年級第一，這讓知道他沉迷遊戲的老師也無可奈何。初三的一天，黃正到了網吧點開遊戲，以為能如往常一樣刷裝備更新，但一登入黃正就發現，他的賬号被盜了，遊戲裝備全被洗劫一空！一瞬間黃正變得無比沮喪，辛辛苦苦練級、刷裝備最後卻一無所有，他感覺自己在遊戲裡成了一個裸身的人，這讓他開始抗拒玩遊戲。

直至如今，黃正還會開玩笑地說，建議家長在電腦上裝一個鍵盤記錄軟體，盜走孩子的遊戲賬号，以戒除孩子的遊戲瘾。

　　黃正在破解智能門鎖。

黑客不存在天才一說

不再玩遊戲的黃正開始轉移自己的注意力，賬号被盜的痛苦讓他關注起了黑客。一次，去逛書店時黃正留意到了一本黑客類雜志，即使那時候的他并不明白代碼是什麼，甚至很多文章壓根看不懂，但對新知識的渴望讓黃正攢下了每一期雜志，這習慣一直持續到了大學。

上了高中，黃正依舊常會去網吧，不過他可不是去玩遊戲。通過看雜志，黃正開始學習利用黑客工具，實踐雜志上提到的技術。不久，還不到18歲的黃正俨然已是一個小黑客，他甚至覺得雜志上的内容對他而言已沒有什麼技術含量。

盡管在小縣城裡，懂得寫代碼的黃正是一個異類，但直到如今，黃正依然覺得黑客領域出現“少年天才”并不稀奇，因為web漏洞“門檻非常低”，“假如我們去培養一個十歲的小孩子，一周内就能讓他學會程式設計，兩周内就能夠上手，入門真的很簡單，不存在天才不天才一說。”

他掌握了“超能力”

在渴望用技術冒險的高中生黃正心裡，原本大學資訊安全專業是一個不錯的選擇，然而，聯考前夕，黃正在雜志上看到一個新聞——“熊貓燒香”電腦病毒制造者李俊在武漢落網。對“熊貓燒香”病毒，他曾經不無好奇，但現在，黃正有些心驚。他第一次意識到，做“黑帽子”黑客有風險，保不準有一天會失業或者被抓。

黃正開始有了新的想法——學習微電子。他設想得很美好：電腦的核心部件是晶片通過微電子、內建電路制作而成，如果選擇微電子專業，就可以學習到制造計算機的核心技術，他依然可以學習到高精尖的技術。

然而上大學之後，一次學院老師來做講座，分享他們的最新研究成果——他們造出了一種半導體器件，提高了led燈的光電轉化效率，并達到世界頂尖水準。這讓黃正開始懷疑自己的專業選擇，他原本想要造的是電腦的核心處理器，而不是led燈。對技術的渴望讓黃正再次開始自學黑客技術。

撿起了自己的老本行，技術狂黃正再一次讓同學們刮目相看。黃正有時甚至還會用自己的技術“造福”同學。當時的他已掌握了學校教務系統的漏洞，能夠破解教師賬号、登入教務系統，是以他能夠提前看到同學的考試分數，這對期末考試後人心惶惶的同學來說，不啻為天大的福音。

甚至隻要他願意，他還能修改分數。黃正心裡知道，自己已經掌握了“超能力”，能夠随心所欲地打破網絡的護盾。但他最後還是忍住了，并沒有對學校的教務系統做任何修改。

如今，黃正提起當年的事依然會有後怕，“萬一學校追責了呢？”

一個月挖出10個微軟漏洞

大三暑假，黃正進入百度實習。原本隻熟悉腳本、web系統的他意識到，若要進入安全行業，自己便需要轉型，要學新的程式設計語言，了解防毒軟體、windows核心。有兩個月，黃正沒有去上過課，從早上8時到晚上11時，甚至通宵，他都在學習程式設計、看代碼，學習到了走火入魔的狀态。

順利進入百度後，黃正主要負責檢測挂馬網頁，屏蔽挂有木馬可能會導緻使用者電腦中毒的網頁。他要利用公司有限的伺服器和帶寬，在有限的時間内檢測完幾億個甚至是十幾億個網頁，還要保證檢出率。

如今，黃正喜歡和下屬說“不革自己的命，你可能永遠都不知道自己有多牛”。2014年，喜歡挑戰新事物的黃正又逼了自己一把，他從安全開發轉到去做安全研究，做漏洞挖掘，這對從小做着黑客夢的黃正來說，充滿魅力。

然而，最初工作并不順利。黃正半年裡隻找到一個漏洞。這讓他很挫敗，有時下了班回家之後他依然會找資料學習，不停的實踐讓他進步很快，之後一個月内，他便挖掘出了10個微軟的漏洞，而這些漏洞可能導緻使用者計算機被控制。如今在漏洞挖掘領域，黃正已經罕有敵手，在2016年微軟的“msrc top100”黑客貢獻榜上，黃正位列中國第一。

不僅逼自己，黃正還逼自己的女友，讓女朋友和自己一樣也成為白帽黑客。

于是每天晚上，兩人便開始線上教學，學c語言、php、sql注入……經過努力，七八個月後，女朋友便順利地在北京找到了一份與網絡安全相關的工作。但喜愛“逼自己一把”的黃正還覺得女朋友學得不夠快，“如果是一個真正想轉型、改變自己生活的人，一個月就能搞定。”

他從來不用防毒軟體

工作之外，黃正并非是個邋裡邋遢的程式員。他買了幾個鏡頭，認真學習攝影，誓要給女朋友拍出美照。他也養鳥、養魚、種花種草，對每一株花草，他都拿出挖漏洞的精神，弄清楚花草病蟲害的原因。

做了多年安全開發工程師，黃正養成了很多習慣，不同的網站用不同的密碼，及時更新系統。他也不用安全軟體和防毒軟體，自己測試電腦安全與否。對于如今十分火熱的智能家居，黃正也很謹慎，“見過了太多的智能家居存在安全問題，要用也是用我自己開發的”。

黃正能做到的，就是在自己的領域将網絡安全做到最好，做到“使用者感覺不到網絡護盾的存在”。“我希望我的團隊除了處理浏覽器、作業系統的漏洞，還能處理别的漏洞，就像這次我們發現智能鎖的漏洞一樣。在未來其他場景下，需要我們的時候我們也能派上用場。”

本文轉自d1net（轉載）