白帽子的剑走偏锋:从大学机房起步 法律是必修课
这个在这个浮躁社会中,财富能力、社会地位、颜值、情感……等等“成功”标签,正在固化无数奋斗在大城市人的终极梦想。
然而,有那么一群人,没挣到多少钱,却费了不少力、吃了不少苦,他们并不刻意去追求社会的普世成功,却在自己热爱的领域,做出了世人可能并不知晓,但绝对意外的成绩。
剑走偏锋,自绘人生。
92年、95年、96年,当三位出生在上述年份的年轻人坐在记者的对面时,记者怎么也无法将他们的形象和职业联系起来。两个脸色略白的大男孩,一位笑容甜美的女孩,看起来与同龄人并没有什么不同。采访刚开始时,他们很是紧张,频频摸着自己的额头、在桌子下面搓手。
他们三人都是或曾经是黑客,白帽子,黑客。
帽子的颜色
新华网北京3月20日电(黄博阳 陈凯茵 游苏杭)“黑客”这一词汇来自于英文Hacker,泛指擅长IT技术的人群、计算机科学家,简单而言可以理解为“电脑高手”。在我国部分地区也会音译为骇客。但无论是“黑”、“骇”、还是英文“Hack”,都会让大众对黑客这一神秘群体有一种负面的印象,究其本意,只不过是技术、手法和思维高超而已。
在时代飞速发展的今天,越来越多的人打开了自身信息的大门,拥有属于自己的数据空间。而这扇大门的“锁”却并不结实,导致个人隐私泄露、权益受到侵害的事件频有发生,个人信息成为了许多不法之人牟利的手段。因此,网络信息安全成为摆在世人面前的重要问题。
从技术上讲,有时发现漏洞、验证漏洞的过程,与利用漏洞进行破坏的原理并无二致。不同之处在于,寻找漏洞的初衷以及最终结果。这也是为什么后来在黑客中有了白帽子、灰帽子、甚至黑帽子之分。
补天漏洞响应平台在今年年初发布的《2016年中国网站安全漏洞形势分析报告》中指出,截至到2016年11月15日,全年遭受到漏洞攻击的网站共计63.6万个,平均每月有14.3万个网站遭遇各类漏洞攻击。同期,共有2362名白帽子向补天平台提交有效漏洞37188个,其中公有SRC(应急响应中心)收录32277个,私有SRC收录4911个。
这两千余位神秘的“白帽子”,就是《偏锋》走近的对象。据补天方面透露,他们当中年龄最小的年仅14岁,读初中;年龄最大的已经66岁,已退休。
整体而言,“90后”是这个目前是白帽子的绝对主力,占白帽子总量的70.7%——《偏锋》选择了三个年轻人,试图“复原”他们如何成为“白帽子”的。
ID:衰大,在补天排名中位列第15名,在其所属的POI团队中位列第二。公开的已知数据显示,从2015年1月份至2016年7月份,他共提交了近300个安全漏洞,覆盖一些人气颇高的视频网站、游戏网站等等。而现实中,他今年24岁,是个乌鲁木齐小伙,在家乡某家公司做网络安全相关工作,利用业余时间在网络世界中寻觅有价值的各种漏洞;
ID:麦香浓郁。身上闻不到麦香,但是气质挺浓郁的一个95年小伙。曾是一度叱咤的白帽子黑客,如今是360补天平台的工作人员,主要负责对白帽子提交的漏洞进行审核;
ID:思思。在这个圈子里,女黑客可是珍稀物种。提起她们,很多人脑中都会有非常朋克的脑补画面,和这位笑容甜美的大四妹子搭不上一点联系。
她的梦想是组建一支女性白帽子天团,让这个行业的从业者走到大家面前。
神奇的机房
第一次接触网络安全的知识,可能是在书本,可能是在屏幕,可能在手机。但那第一次的“小兴奋”,往往是在学校的机房。
衰大回忆:第一次“Hack”是因为当时上课,老师教我们java开发。一开始的S1、S2课程都是给我们PPT可以回寝室复习。后来S3了,告诉我们说他的PPT有版权,就不分享了,让我们老老实实听课。
“不给就不给呗,一开始是这么想,但回去一查资料就发现可以做出一个提权,发现竟然把整个机房给控制了。”衰大回忆,当时的感觉有些小兴奋,小意外。
在麦香的口中,适用的场景则更加“生活化”:“在学校的内网试试各种东西啊……改改水卡啊、饭卡啊……什么的。”但他有些支支吾吾,让人感觉还有很多事迹想讲但是没讲。
事实上不仅是黑客,当今很多互联网行业的企业家、学者、名人,第一次真正体验到IT技术在网络安全方面的威力和刺激,都是在机房。就如很多画家、作家都是从书架、画室中走出来的一样,机房有着特殊启蒙的意味。
其实,这个小空间也不过是大学这个大环境中的一角。
在知名的黑客圈子中,海外不乏高中成名、大学辍学的人物,在国内学历为中专、职高的高手也大有人在。于是乎给外界造成一种错觉:一个厉害黑客不需要在知名的学府中完成系统性的教育,“野路子”就是好路子。
三位白帽子并不这么看。
“事实证明,能够考上名校的学生,他的学习能力和对新事物的理解能力普遍更强。”麦香从他接触黑客的经验角度讲到,一个优秀的学习环境和灵感激发环境对任何类型的创造都极其重要。
另一方面,从白帽子的角度上来说,高校环境内也更容易孕育坚定自觉的法制理念和道德准则。对这个行业来说,此两点尤为重要。
法律意识是必修课
一个假设:如果把一家公司的网络安全套用到现实中来,比作一把锁。一个对锁有着极高专业知识的人,在你晚上回家正熟睡时开锁进入,逛了一圈,然后放了一张纸条说:你家锁不结实,找我可以给你优化下。
一个问题:等你真见了这个人,是上前去咨询锁的事,还是报警?
“技术是中立的,但当技术遭遇法律,当技术带来了法律所不允许的风险的时候,那么技术的运用就不再是中性的。”在不久前,由360安全应急响应中心“IoT安全守护计划”发布活动中,北京金杜律师事务所律师陈圣如此总结。
的确,从技术上来看,在寻找一个网络安全漏洞并且证实漏洞存在的过程中,距离利用这个漏洞进行破坏或者窃取仅一步之遥。一位拥有强大技术能力的黑客是否越线,不仅决定了这一刻“帽子的颜色”,更直接关乎是否碰触法律的底线。
麦香表示,从技术手段来看最重要的就是流量和数据。验证一个漏洞的危险等级有时会使用部分模拟手段,获得的数据和流量,必须要按照我们这个业内公认的安全手段进行加密,并且及时向平台进行报告。
衰大也认为,必须要始终把法律的红线悬在脑中,补天平台的法制课程培训虽然不会给自己的技能带来什么新思路,但强化了自我保护意识,不敢马虎。