腹黑:从职业学院里走出来的“白帽黑客”
作者 | 刘冰一
武侠世界有“兵器谱”,黑客江湖也有自己的榜单,腹黑就是“中国白帽黑客榜”上的一枚新星。
1998年出生的腹黑(高昌盛),是 CTF(Capture The Flag)战队 W&M 创始人、国内知名安全团队白帽 100 负责人、第46届世界技能大赛网络安全项目国家集训队队员 、 工信部“车联网漏洞分析专家工作组”专家,也是网络安全工程师培训教材《网络安全Java代码审计实战》的第一作者。
在强敌环伺的信息安全赛事中,他屡屡打败来自名校名企对手。但这样一位“天才白帽黑客”,他的教育背景却只是职业学院,相关技术基本是自学来的。
图注:腹黑
他上初中时,别的同学还在网吧打游戏,他就沉迷于逛论坛找bug,靠提交漏洞逐步实现经济独立。高中,他已经“混”进大学组参加网络安全竞赛拿到第一名,但因为“尚未成年”遭到驱赛。
近来,他因参与两季蚂蚁集团举办的 ATEC 科技精英赛《燃烧吧,天才程序员》出圈,作为攻防选手通过侦破黑产的信息,为 AI 研究者提供所需的特殊样本推进科技反诈。同时,黑客结合 AI 推进网络安全的协作模式,也为可信 AI 提供了有益的探索。
今天,我们走近不走寻常路的他,聆听他的故事。
1
疯起来连自己都打
抢一血,是每个 CTFer 心中原始的贪痴嗔。
腹黑对着满屏的代码抓心挠腮,挖 BUG 是他玩的最溜的事,绝对不能输!当绞尽脑汁突然发现漏洞,第一个提交题目 flag 获得一血的瞬间,一种舒爽充斥四肢百骸,他瞅了瞅还在眉头紧锁盯着显示器的对手,扯出一抹得意的笑。
这是他第 4,5……已经记不清不知道多少次参加 CTF 比赛了,反正他现在的江湖地位可以叉着双臂随便跟小辈们吹牛,还能让对方心满意足感慨一句“学到了”。
CTF(Capture The Flag)又叫夺旗赛,是网络安全领域的技术人员进行技术竞技的一种比赛形式。参赛团队之间通过进行攻防对抗、程序分析等形式,从比赛环境中得到一串具有一定格式的字符串或其他内容并提交得分,现已成为全球范围网络安全圈流行的竞赛形式。
电视剧《亲爱的,热爱的》将 CTF 推向了社会大众视野,腹黑就是电视剧中的那位牵头的“韩商言”,为了使自己的 CTF 战队 W&M 发展壮大 ,他不惜连哄带骗、出卖色相、持续忽悠 CTF 圈里打比赛的人——快加入我们战队,走过路过不要错过,带你躺赢带你飞。
图注:腹黑(右)在CTF比赛现场
你还别提,还真有人给忽悠瘸了,加入 CTF 这个福祸不明的比武擂台。
CTF竞赛模式具体分为三类:解题模式(Jeopardy)、攻防模式(Attack-Defense)和混合模式(Mix)。
在攻防模式的CTF赛制中,参赛双方通过挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。参赛选手拼的不仅是智力和技术,也有体力上的较量(比赛一般会持续48小时及以上),以及团队分工配合协作的考量。
听起来超正气?幻想一下:CTF 的世界里,玩家拥有轻灵的金手指,摆脱沉重的肉体束缚,手持代码铸成的利刃,涤荡人世间的不公……这太优雅了是不是?
醒一醒!真实的 CTF 赛场上伴随着高压和刺激,赛场经常碰到“世界名校”、“超强大脑”等来头不小的对手。腹黑和他的队友常常为了解题啥都顾不得,光着膀子,踩着拖鞋,吃饭全靠外卖,比赛全靠熬夜。一比就是几周,每天睡一两个小时吊口仙气,比完一场连睡两天才能回血。决赛的房间可能也惨不忍睹,吃剩的外卖来不及扔,地上甚至能找到几双臭袜子。
正所谓,苦你心智、劳你筋骨、饿你体肤,空乏你身,却不一定每次都降你大奖牌和大红包。
酒壮怂人胆,腹黑还有喝酒一计。有一次比赛,他拉着其他战队的人喝酒,在一杯杯深藏功与名的小酒里对手果然醉倒,第二天全体迟到。腹黑辩解他本人“又菜又爱喝”,谁知道对手更不能喝啊。
总之,跟他做队友可收获满满的安心,做对手就很可怕了,他在技术上和战术上都很有一套。
图注:腹黑(第一排右一)和队友共研赛题
赛场会碰到各种意外情况,攻防选手思维不能太常规,要不很难发现隐藏 Flag。在腹黑参加比赛的过程中,删除服务器的代码这种“疯起来连自己都打”的事情他也做的,因担心电脑被入侵后失去机密,干脆删除服务器自毁。
通过比赛可以和各路大神碰撞出来不同的火花,刷新信息安全的前沿认知,研究更多的技术技巧,以比赛的形式证明自己——所以腹黑很享受比赛。
据不完全统计,腹黑先后获得2019年ByteCTF线上赛第一名、2020年SCTF国际网络安全夺旗赛第一名、“第五空间”网络安全创新能力大赛一等奖、2021年智能网联汽车破解悬赏赛第一名、第四届“强网杯”全国网络安全挑战赛二等奖等等优异成绩。
图注:部分参赛证
2
白帽黑客成长记
渴望证明自己,几乎是每个青年行走江湖的人生驱动力。只是在腹黑的身上,这份渴望多了一份纯粹,即腹黑本人对网络安全的热爱。
凭借多年的参赛经历,虽然年纪轻轻,但腹黑在网安世界里已经小有名气。“CTF战队W&M创始人”,听起来不乏一方掌门人的气势,即使没有达到叱咤风云的震慑力,但放在一个23岁少年的身上,也足以传递不容小觑的潜力。
有人也许会好奇:这块“钢铁”是怎么炼成的?
先说了,你若想听一个造神的故事,这里没有。
腹黑的学历背景是职业学院,专科。得失相倚,他在兴趣上投注了过多的精力,学业和兴趣之间没能很好地平衡。高考失利恍若一记闷拳打下,但他还是“从一个失误中反省出梦想”——将自己的报考志愿全都填为自己感兴趣的信息安全专业。2017年,他入学台州科技职业学院的信息安全与管理专业。
但草蛇灰线,他对技术的偏执有迹可循。
世纪之交,《黑客帝国》等电影让人们认识到黑客这样酷炫的身份存在,当时的电影海报贴满大街小巷,吸引了无数科幻迷。2000年的《万王之王》开启了中国的网游新篇章,网吧的黄金时代就此到来,许多“网虫”的互联网初体验从此开始。
图注:1999年《黑客帝国》电影海报
腹黑出生于1998年,他的成长地浙江温州紧跟时代脉搏,沿街的网吧招牌如雨后春笋般涌现。江浙人聪慧精干,对于新兴事物积极主动,吸收迅速。他的成长无法回避全民拥抱互联网的趋势,也从很小便对网络、黑客、网络安全技术产生关注和兴趣。
童年的腹黑,妥妥一枚“熊孩子”。
他让父母格外头疼:精力旺盛、好奇心强、经常一溜烟找不到人……有次,他和一群小伙伴跑到家附近的山上玩,那是座比较危险的坟山,他和小伙伴无意间打死了一条蛇,回家也不敢吭声,查了资料发现居然是眼镜蛇,后怕不已。
拆家坏器常有的事,他还经常偷偷跑网吧,被他爸爸拧着耳朵就回来了,也不好好写作业,常惹得爸爸追着打,妈妈从中调和。
初二暑假在家,他一时兴起想破解邻居家的 Wi-Fi 密码,于是翻看网上资料找寻破解方法。虽然最终没能成功,但是阴差阳错的,他打开了一扇有着神奇魔力的大门——
他第一次知道网络是有很多漏洞的,慢慢接触到“网络安全”领域。当时年龄小,他挖到一个漏洞就去网络炫耀,在论坛上,大家对技术很是崇拜,他会因为这种崇拜激励自己找到更高级的漏洞,别人挖到一个,他就决心要挖到一个更厉害的。
不过,他对游戏不感兴趣,去网吧是想尝试一些“奇怪”的东西,比如,琢磨怎么开挂不被封号;发掘一些绕过收费系统的漏洞等——小时候零花钱少,他便想方设法免费上网。
当时,他只觉得自己做的事情“好玩”,并不知道这是“黑客”行为。随着接触的深入,他逐渐了解到红客文化、白帽子……慢慢地,他对“黑客”群体产生了一些敬畏和别样的情愫。
互联网诞生之初,黑客还是一个中性的概念。直到1988年,康奈尔大学的在读研究生罗伯特·莫里斯的一个测试程序中的代码变成了危险的蠕虫病毒,这个程序将不计其数的数据和资料毁于一夜之间。无意之间诞生于网络的蠕虫病毒开启了人类在网络世界博弈的新篇章,与此同时,黑客一词被赋予了“网络攻击者”的含义。
所谓的白帽黑客,相对于使用技术作恶的黑帽黑客/骇客,是锻炼技能、技术为善、合法赚取赏金的黑客。成为一名白帽黑客,要懂得编程、善于逆向思维、知晓如何对抗程序员写的层层防护,最重要的是要有道德底线。
在黑产团伙眼中,白帽黑客绝对是一群傻瓜,拿着价值几十万上百万的漏洞,去换取几百元、几千元的赏金。
每个男孩都有个英雄梦,腹黑中二地认为,白帽黑客是正义的化身!在现代网络世界里,黑客就是除暴安良的时尚英雄。这个英雄也许是一个经年蛰伏在网络深处,拥有独立的灵魂,凝视着深渊,随时为正义揭竿而起的绿林游侠。
图源网络
后来,腹黑发现一个专门反馈各种系统漏洞的平台。他尝试提交一些自己发现的漏洞,居然可以赚取报酬!从那个时候开始,他逐渐不跟家里伸手要钱,靠找漏洞和参赛奖金养活自己。
到了高二,他开始接触 CTF,报名时误填了大学组,结果他一个高中生拿到了大学组一等奖,兴致勃勃地准备线下决赛,决赛前才突然接到不能参赛的通知,因为核查他的年龄是未成年。结果,他终究没能参加决赛,但主办方还是给了他线上赛的一等奖。
有了一些名气之后,一个深圳举办的信息安全大会邀请他参会,对于一个还在念书的高中生来说,独自出远门机会甚少,他的阿姨还犯嘀咕:“这孩子不会是被骗去传销组织了吧?”但最终他的父母还是支持他去了,因为经过长期观察,家人发现他并非“不务正业”,对他捣鼓电脑态度有了转变,逐渐理解和支持他。
他在家有了自己的小工作台,摆满了风枪、电路板等乱七八糟的东西,包揽了家里所有手机、电脑等电子电器的维修工作。
图注:工作台角落
初涉网络信息安全圈子时,他想了一个拉风的 ID 名——“腹黑攻”,在键盘上 F、H、G 三个字母是连着的,打字不顺手,便把“攻”字去掉了,不过腹黑一词倒是很贴合他不按套路出牌、机灵爱玩的性格特点。如今,“腹黑”在圈里已经是个响亮的名字。
一个合格的黑客要掌握汇编、操作系统、数据结构、离散数学、TCP协议、实战等等技术;还需要每天留出大量的学习时间,每一项新的技术出现,黑客就必须在最短的时间内学会,并且做到方方面面的精通,一个黑客一旦停止学习,仅靠吃老本用不了多久便会成为一个平庸之辈。
腹黑像是天生就是吃这碗饭的,从初中接触到网络安全漏洞开始,他每天便留出大量时间死磕技术难题,以中有足乐者,废寝忘食地沉浸在技术世界里常有的事。
但命运的馈赠,早在暗中标上价码。腹黑的文化课并未像在网络技术上表现的那般出彩。2017年,他收拾好行囊,赴台州科技职业学院上学。
不争馒头争口气,他决心要在自己擅长的地方玩出点名堂。
入学后便是天高任鸟飞,他去往全国各处比赛实战,“野路子”终于找到了“大部队”。所幸,在网络安全的世界中,技能等级优于学历证书,腹黑凭借自己的一技之长,找到了更广阔的的舞台,也展现出在网络安全研究方面的天赋。
通过竞赛和活动,他认识了更多信息安全竞赛队友,他经常泡在资料中寻找解题方法,凭借精湛的技术和一腔热爱,他拿奖拿到手软,毕业时证书奖状厚厚一摞。
图注:部分获奖证书
后来,他还将在做专业比赛选手时的知识与经验构逐渐形成相对完整的网络安全知识体系,出版了《网络安全Java代码审计实战》一书。这本书深入浅出地介绍了基础Java开发环境搭建、代码审计环境搭建、常见漏洞的成因以及审计和修复的技巧和代码审计实战,作为网络安全工程师入门教材受到了广泛的欢迎。
图注:《网络安全Java代码审计实战》书样
投身正义的“黑客”腹黑,在安全研究这条路上的成就越来越多,信念也愈加坚定:他想做网络世界的守护者。
3
圈内与圈外
现在,腹黑是安恒车联网天问实验室的主任,主要研究车联网与物联网车辆安全,成了一名“白帽”卫士。
图注:腹黑工作
但网络安全的场景多样,要成为一名侠客,腹黑深知光打比赛是不够的。如果把守护技能比喻成一把剑,那么纯网络安全领域的比赛只能算“小试牛剑”。要想更上一层楼,化身“SSS”级大师,必须到更丰富的场景中,比如个人隐私防护。
隐私保护是“可信AI”的四个核心之一,强调使用差分隐私、联邦学习等AI技术,使 AI 模型在为用户提供精准服务时保护用户隐私。但如今,传统的防御方式已经难以有效抵挡日益复杂的黑产攻击。
近两年,腹黑就参加了蚂蚁集团主办的《燃烧吧 天才程序员》,将黑客技术运用到 AI 中,协助 AI 研究者挖掘黑产攻击手段和欺诈交易特征,作网络安全与 AI 技术创新的结合。在这次比赛中,腹黑不仅涉猎了AI,还成功出圈。
腹黑参加过两季天才程序员。
他回忆第一季报名时打趣:当时他是在网络上看到赛事信息,打眼一看“一百万奖金”?此等金钱主义罪过,我不下地狱谁下?不难,他通过了层层层层层面试拿到了参赛资格。
赛场碰到了很多赛圈老友,像小刀、gml。节目保密做的贼好,赛前完全不知道赛制的,甚至禁止选手见面,他和小刀几人偷吃夜宵曾被导演抓了个现行,节目开始录制拿到技术文件隐约猜出应该是内网渗透相关的题目,据他回忆,当时心里很没底了,因为工作性质原因,他很少接触域渗透,此行可能兵败。
那也不能白来啊,玩就是了呗。他选择用毕生所学来“搅屎”,最开始时还尊重比赛规则地搅,只对漏洞进行相应的暴力修复(在CTF线下赛挺常见的)。当他发现其他队伍也在捣乱时,他开始了进一步的搅屎,rm-rf 了整个 Web 目录,上传了他的黑页搞对手心态。
图注:腹黑攻入对手页面
第一季被老友小刀欺负了,他跟小刀约赛第二季一雪前耻,节目组鉴于他第一季的出色表现直接给他免试,第二季开赛关头,得知小刀把他鸽了。
腹黑的小脑袋瓜儿迅速盘了盘,卷土重来势必是有优势的,他决定第二季赛出风采。
他提前做一些功课,想以一个优美的姿势参与本次上镜的比赛。他信誓旦旦地告诉节目 PD:“这次一定不卷!我要躺平!我就是来混的!”
真到比赛时,大家拉他吃饭他不吃,喊他睡觉他不去。节目 PD 问他“你不是说你不卷了吗?”腹黑打趣:“男人说的话你也敢信?”赢这种信念天然地刻在他的基因里,一旦投入到工作状态,“卷”、“拼”就是他甩不掉的特质。
第二季赛题是可信 AI,主办方将攻防选手引入节目环节中开启赛题。攻防选手帮助 AI 选手获取有异于普通用户的黑产用户的资料,帮助 AI 选手获取特征值,建立更加可靠的模型。在本节目中,像腹黑这样的攻防选手通过侦破黑产的信息,攻入黑产系统,截获、抓取黑产的数据资料,为 AI 研究者提供所需的特殊样本,帮助 AI 选手进行增量学习。
结果很好,腹黑率先取得优势,为队友争取到额外时间。他所在的队伍赢得没有悬念,最终获得冠军。
这一实践启迪了黑客可与 AI 结合推进网络安全,也为可信 AI 的发展提供了有益的探索。AI+X的“X”中,黑客技术也能有一席之地。这让腹黑这位白帽卫士很有成就感。
网络安全越是风严霜重,越需要守护者春风化雨,让黑产等不法分子如鲠在喉。
腹黑挥挥手:他在黑产防御上的征途也只是写了一个开头,后事如何,就江湖见分晓。
雷峰网原创文章,未经授权禁止转载。详情见。