安全是一個黑白的世界,這裡無時不刻都在上演著黑帽黑客和白帽黑客(被稱為白帽子)之間攻防,無論是黑客還是白帽子都充滿了神秘的色彩。近日,360發布的 《2014年中國網站安全報告》(以下簡稱《報告》)中,為我們揭秘了白帽子這一神秘群體的面紗: 一個充滿活力的,年輕人主宰的男人幫。
近7成白帽子是90後 絕大部分為男性
漏洞一直是威脅網站安全的最重要因素。《報告》顯示,2014年全年,360網站安全檢測平臺共掃描各類網站164.2萬個;其中,存在安全漏洞的網站為61.7萬個,佔掃描網站總數的37.6%;存在高危安全漏洞的網站共有27.9萬個,佔掃描網站總數的17.0%。
白帽子可以說是網站漏洞的「人肉檢測器」。雖然是黑客的一種,但白帽子是絕對的「正面黑客」。他們可以識別計算機系統或網絡系統中的安全漏洞,但並不會去惡意利用,而是公布其漏洞,以幫助系統在被其他人利用之前進行修補。
圖1:白帽子的年齡分布圖
有數據表明,白帽子群體正在逐漸年輕化。根據《報告》披露,2014年,在所有向補天平臺(全球最大的漏洞響應平臺)提交漏洞報告的白帽子中,90後佔比高達63.8%,已經成為白帽子的絕對主力,00後也進入到了白帽子的陣營中,佔比1.8%。
此外,白帽子的世界還是一個名符其實的「男人幫」。向補天平臺提交漏洞報告的白帽子中,有2486名為男性,僅4名為女性,男性佔比高達99.8%,女性僅佔不足0.2%。
中國最小白帽子年僅13歲 5年敲壞頂配筆記本
據悉,補天平臺中,年齡最小的白帽子年僅13歲,名叫汪正揚,就讀於清華附中初一。汪正揚從8歲起就開始寫代碼,寫了5年代碼,敲壞了一臺頂配筆記本電腦。2014年4月27日, 13歲的白帽子汪正揚向補天平臺提交了第一個漏洞——可影響上百家教育網站的某數字平臺的權限繞過高危漏洞。隨後,汪正揚又接連提交了多個系統的高危漏洞。
圖2:中國最小的白帽子汪正揚在中國網際網路安全大會
補天平臺負責人趙武認為,雖然汪正揚提交的漏洞較為初級,但其網絡技術以及網際網路安全意識遠超同齡人。因此,這位補天平臺年齡最小的白帽子,2014年10月被邀請參加了ISC2014中國網際網路安全大會,並一舉成名。
網站安全任重道遠 90後白帽子是重要補充
《報告》指出,2014年網站漏洞大規模爆發,大量用戶隱私遭到洩露。根據360網站安全檢測數據顯示,全年共掃描發現網站高危漏洞462.1萬次,平均每天約13836次。此外,360網站安全檢測對8409臺網站伺服器進行了網站後門檢測後發現,約3465臺伺服器存在後門,佔所有掃描網站伺服器的41.2%。
與網站安全受到嚴重威脅的現實相對應的,是讓人堪憂的修復速度。《報告》顯示,網站修復安全漏洞平均周期為78天。其中,高危漏洞修復平均周期最長,為118天,中危、低危漏洞的平均修復周期分別為57天、58天。而伺服器刪除新發現後門的平均周期也需要8.28天。
《報告》預計,2015年,網站攻擊與漏洞利用將更加規模化,安全形勢更加不容樂觀。「白帽子群體的年輕化是一個好現象。90後白帽子的出現,對網絡安全隊伍是一個重要補充。補天平臺也在推動白帽子走向職業化,歡迎更多90後、00後的年輕人加入白帽子的隊伍,和我們一起,為共同維護網際網路信息安全出一份力。」趙武最後說。