这两天,网上一位360的黑客小哥火了。他在虎扑上开帖科普安全知识、黑客文化,短短20小时,阅读量已突破80万,评论数近1500条。
“安卓真的没有iOS系统安全吗?都安全,对于普通人都安全,没人把核武器用在平民身上。”
“电影里面的黑客形象和现实里面的差距大吗?敲几下键盘就把核武器发射按钮控制了。你觉得可能吗?”
在帖子中,他现身说法揭开黑客的神秘面纱,为“菜鸟”进阶“大神”指点迷津,也一针见血为大众的信息安全问题答疑解惑。
当然,也有人提出了非分之请。
有求盗QQ号的。
有求财的。
有工作上不顺心求助的。
也有为了“爱情”的。
总之,慕名来看帖提问的网友越聚越多,有网友还戏称“活捉一名真黑客”。那么,让我们一起看看这个黑客到底什么来头?
两年发现超百个安卓漏洞 受邀参加谷歌年度答谢会
经小编向360公司求证,ele7enxxh确实隶属于360核心安全事业部,专注于Android漏洞挖掘。
在谷歌网站上,几乎每个月的安卓漏洞报告都能找到ele7enxxh的名字,这代表着他提交的漏洞获得谷歌认可。
因为提交漏洞多、质量高,ele7enxxh还受邀参加了谷歌安卓团队的年度答谢会——Researcher Appreciation Event。
ele7enxxh在2017年提交的漏洞
从业两年来,ele7enxxh已挖掘超百个漏洞。而这些漏洞中,很多漏洞都与我们的手机安全大有关系。
ele7enxxh曾挖到安卓的多媒体漏洞,用户收到一条彩信就会中招,黑客可以在不知不觉中监听用户的通话和短信,并且获取用户手机中的个人隐私。
有的安卓漏洞甚至会让用户遭遇“一觉醒来,手机上全是不明来历的软件”灵异一幕。
这就是ele7enxxh发现的一个能实现在用户手机上“静默安装、卸载”的漏洞。黑客可以在用户毫无察觉的情况下卸载掉安全软件,安装上恶意软件,窃取用户隐私或偷跑流量。
今年,ele7enxxh还发现了多个蓝牙漏洞。这些安全漏洞让攻击者可以侨务生意地控制开启了蓝牙功能的手机,并让受害者面临勒索软件攻击的风险,或感染上破坏安全系统的病毒。
“有时候挖到一个漏洞需要两三个月,靠技术也拼耐心,但是挖到后会非常有成就感”,ele7enxxh说,他热爱自己的工作。
路见不平 白帽子开帖正风气
说起开帖目的,ele7enxxh义愤难平:“我是常年潜水,但看见有人败坏圈子的风气,生气”。原来,他在看帖时发现一个名为花无涯的ID在虎扑开帖科普黑客知识。第一直觉就判断是假的:“正经的问题不回答,反倒吊人胃口,拉人进群”。
而随后他发现此人曾在知乎、豆瓣被人揭露为“骗子”,通过欺骗小白,“打着培训的名义,翻录教程,贩卖盈利”。
ele7enxxh坦言,开帖就是为了能揭穿花无涯,让大伙不要上当受骗,真真正正给大众做一场科普。
网上大量帖子质疑花无涯行骗
而在ele7enxxh发帖后,也引发大量用户集体质疑花无涯。目前,花无涯的帖子已被虎扑删除。
Root是把双刃剑 小心“引狼入室”
作为一名“白帽子”黑客,ele7enxxh还对我们日常生活的信息安全问题提出了建议。他建议安卓用户慎用“Root”,因为这会“引狼入室”,给不法黑客开了后门,甚至不知不觉中给手机装了“病毒”。
Root在Android系统特指超级用户,可拥有系统中全部权限,如开启或终止一个进程,删除预装软件等。所谓Root权限,事实上代表着获取该手机的最高权限。
据悉,在安卓用户群体中,很多用户热衷“玩机”,也就是为手机开启Root权限。ele7enxxh告诉小编,手机Root后,确实给手机用户带来了较大的自主权,但同时也给恶意软件打开了方便之门。恶意软件可以比平時更容易侵入手机,带来隐私泄露、财产损失等问题。
另外,ele7enxxh还建议保护好我们的“重要密码”:区分重要密码与次要密码,在一些次重要的、不常用的网站、APP注册时,密码不要与重要且常用网站、APP的密码一致,防止密码泄露“殃及池鱼”。
要做黑客 除了有兴趣更要稳扎稳打
在帖子上,很多用户发帖询问如何成为一名黑客。ele7enxxh的回答是“稳扎稳打,从入门开始,先了解行业,再选择具体方向深入”。
“很多人对黑客有误解,认为做了黑客就能盗号、上学校网站改成绩,但实际上黑客是一个很广阔的行业。很多人对黑客的误解来源于好奇,或者是受了电影的影响,认为敲几下键盘就可以控制整个网络”,ele7enxxh说。
ele7enxxh还讲述自己的启蒙过程:因为痴迷一款游戏,希望能让游戏角色获得“永生”,便专心钻研破解之道,独立完成了反编译、查找关键代码、修改代码,重新编译的全过程,成功破解游戏后还在网上发了攻略,一时间成为“热帖”。这次经历让他颇有成就感,也启发他在之后的工作中从点到面,发散思维,各个击破。
据统计,目前我国网络安全人才面临的人才缺口2017年已经高达70万,缺口率95%,到2020年这一数据将增长至140万。网络安全人才培养正越来越受到重视,“受教育条件”日趋改善。比如,360公司就建立了面向网络安全领域深入教研的职业技能培训机构360网络安全学院,此外,还通过与北京大学、浙江大学、武汉大学等高校共建实验室或安全研究院,打造国内完善的网络安全教育生态。
“希望更多的人能从兴趣入门,并坚持下来,深入到信息安全行业,一起维护‘世界和平’”,ele7enxxh说。
