专业IT科技资讯平台,关注科技、手机、电脑、智能硬件、电脑知识!
当前位置:主页 > 建站 > 技术分享 >

王琦:白帽黑客不是“砸人家玻璃”

导读:

王琦,行业别名“大牛蛙”,国内顶尖的白帽黑客团队KEEN的创始人兼CEO。他所创办的KEEN公司的研究团队曾

王琦,行业别名“大牛蛙”,国内顶尖的白帽黑客团队KEEN的创始人兼CEO。他所创办的KEEN公司的研究团队曾在全世界最著名、奖金最丰厚的黑客大赛Pwn2Own上连续三年获得五个冠军,也是有着“黑客奥运会”之称的GeekPwn国际性智能软硬件挑战赛的主办方。

王琦对《第一财经日报》记者强调,不同于“骇客”,GeekPwn是关注未来智能安全的黑客赛事,初衷是披露漏洞,改善安全人才培养土壤。白帽黑客做的事不是“砸人家玻璃”。

10月24日,GeekPwn2015国际性智能软硬件挑战赛上,大疆无人机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机、多款O2O类APP的移动支付、奇酷手机的指纹支付……超过40款主流软硬件产品被选手一一攻破。

24日当天,支付宝于第一时间发布回应称,有极客演示的某美甲APP系统的漏洞与支付接口无关,原因是商户APP发送付款单据给支付应用时,在商户APP内部被中间人劫持并篡改所致,支付宝已第一时间联系该美甲APP,并愿意为其紧急修复提供帮助。

360也于25日发微博称,“感谢KeenTeam对360奇酷手机安全作出的努力,360安全应急响应中心第一时间对收到的安全报告进行响应,目前已进入验证漏洞流程。”

“有漏洞不代表有问题,安全是个独立的东西,白帽黑客做的事不是‘砸人家玻璃’,我们的初衷是披露漏洞,改善安全人才培养土壤。”王琦表示。

上海交大硕士毕业后,王琦先在一家公司做安全产品开发,2005年加入微软,负责网络安全方面的工作。虽然那时互联网已经兴起,但网络安全还处于较为新兴的领域。王琦和他的伙伴们认为,用他们的技术,可以做出更适应市场需求更有价值的产品,而当时国内也缺乏好的安全公司。所以,他和同事朋友一起组建了KeenTeam,正式踏上了组建安全团队的创业之路。

“未知攻,焉知防,厂商产品的安全性有说服力,很多时候反而体现在对抗过,经历过攻击而不倒。”王琦告诉《第一财经日报》记者,在物联网前的PC时代、移动互联网时代,像谷歌、微软、腾讯等,都曾经历过无数攻击,它们建立了一整套完善的安全体系。

“除了不断强化自身的安全能力,这些大企业通常都会以非常开放的心态,去支持甚至奖励全社会来挖掘自家产品的漏洞。”这也是王琦理想中这个行业应该有的样子。不过,这个行业在国内普及度极低,企业也多对“白帽黑客”的存在并不理解。

“勇于承认自身有问题的企业并不多。特别是在国内,很多企业并没有太多安全的意识,对于我们行为的目的性也表示怀疑。所以,即使高含金量的安全能力,最终还是会陷入低接受度的窘境。”王琦感慨。

王琦把为厂商提供高级安全检测比喻成“体检”,“我们先要告诉别人体检很重要,并向别人证明我们能检查出别人检查不出的问题。安全公司知道很多人是病人,可有些人不在乎。所以我们还不得不承担用户教育的责任:体检不是让你花现在的钱,而是为了让你身体好从而未来有更好的发展。”

事实上,电子产品、信息产品、智能产品由于复杂性决定了其在设计、开发、测试中存在了不同程度的“缺陷”和“问题”,厂商也是在不断的迭代过程中寻求功能与体验的平衡。白帽黑客利用自己的专业知识和能力,通常会发现类似产品的缺陷和问题,但这也并不意味着这些产品质量有问题。

不过,“直到现在,回老家别人问我你是干吗的,我说做安全的,人就说‘哦,你是360的’。”王琦笑道。

“我们人力也有限,不可能做个执法部门。”王琦对《第一财经日报》记者表示,“希望能够真正能够培养好尊重知识、尊重人、尊重白帽黑客的环境,希望厂商对自己的安全问题抱有负责任的态度。”