白帽子的劍走偏鋒:從大學機房起步 法律是必修課
2017年03月21日10:51

  這個在這個浮躁社會中,財富能力、社會地位、顏值、情感……等等“成功”標籤,正在固化無數奮鬥在大城市人的終極夢想。

  然而,有那麼一群人,沒掙到多少錢,卻費了不少力、吃了不少苦,他們並不刻意去追求社會的普世成功,卻在自己熱愛的領域,做出了世人可能並不知曉,但絕對意外的成績。

  劍走偏鋒,自繪人生。

  92年、95年、96年,當三位出生在上述年份的年輕人坐在記者的對面時,記者怎麼也無法將他們的形象和職業聯繫起來。兩個臉色略白的大男孩,一位笑容甜美的女孩,看起來與同齡人並沒有什麼不同。採訪剛開始時,他們很是緊張,頻頻摸著自己的額頭、在桌子下面搓手。

  他們三人都是或曾經是黑客,白帽子,黑客。

三位【偏鋒】成員看到這個畫面驚呼:好強好神奇!這是幹啥呢?衰大:我就找個word……
三位【偏鋒】成員看到這個畫面驚呼:好強好神奇!這是幹啥呢?衰大:我就找個word……

  帽子的顏色

  新華網北京3月20日電(黃博陽 陳凱茵 遊蘇杭)“黑客”這一詞彙來自於英文Hacker,泛指擅長IT技術的人群、計算機科學家,簡單而言可以理解為“電腦高手”。在我國部分地區也會音譯為駭客。但無論是“黑”、“駭”、還是英文“Hack”,都會讓大眾對黑客這一神秘群體有一種負面的印象,究其本意,只不過是技術、手法和思維高超而已。

  在時代飛速發展的今天,越來越多的人打開了自身信息的大門,擁有屬於自己的數據空間。而這扇大門的“鎖”卻並不結實,導致個人隱私泄露、權益受到侵害的事件頻有發生,個人信息成為了許多不法之人牟利的手段。因此,網絡信息安全成為擺在世人面前的重要問題。

  從技術上講,有時發現漏洞、驗證漏洞的過程,與利用漏洞進行破壞的原理並無二致。不同之處在於,尋找漏洞的初衷以及最終結果。這也是為什麼後來在黑客中有了白帽子、灰帽子、甚至黑帽子之分。

  補天漏洞響應平台在今年年初發佈的《2016年中國網站安全漏洞形勢分析報告》中指出,截至到2016年11月15日,全年遭受到漏洞攻擊的網站共計63.6萬個,平均每月有14.3萬個網站遭遇各類漏洞攻擊。同期,共有2362名白帽子向補天平台提交有效漏洞37188個,其中公有SRC(應急響應中心)收錄32277個,私有SRC收錄4911個。

  這兩千餘位神秘的“白帽子”,就是《偏鋒》走近的對象。據補天方面透露,他們當中年齡最小的年僅14歲,讀初中;年齡最大的已經66歲,已退休。

  整體而言,“90後”是這個目前是白帽子的絕對主力,占白帽子總量的70.7%――《偏鋒》選擇了三個年輕人,試圖“複原”他們如何成為“白帽子”的。

三個“同事”第一次“同框”
三個“同事”第一次“同框”

  ID:衰大,在補天排名中位列第15名,在其所屬的POI團隊中位列第二。公開的已知數據顯示,從2015年1月份至2016年7月份,他共提交了近300個安全漏洞,覆蓋一些人氣頗高的視頻網站、遊戲網站等等。而現實中,他今年24歲,是個烏魯木齊小夥,在家鄉某家公司做網絡安全相關工作,利用業餘時間在網絡世界中尋覓有價值的各種漏洞;

  ID:麥香濃鬱。身上聞不到麥香,但是氣質挺濃鬱的一個95年小夥。曾是一度叱吒的白帽子黑客,如今是360補天平台的工作人員,主要負責對白帽子提交的漏洞進行審核;

  ID:思思。在這個圈子裡,女黑客可是珍稀物種。提起她們,很多人腦中都會有非常朋克的腦補畫面,和這位笑容甜美的大四妹子搭不上一點聯繫。

  她的夢想是組建一支女性白帽子天團,讓這個行業的從業者走到大家面前。

  神奇的機房

  第一次接觸網絡安全的知識,可能是在書本,可能是在屏幕,可能在手機。但那第一次的“小興奮”,往往是在學校的機房。

  衰大回憶:第一次“Hack”是因為當時上課,老師教我們java開發。一開始的S1、S2課程都是給我們PPT可以回寢室複習。後來S3了,告訴我們說他的PPT有版權,就不分享了,讓我們老老實實聽課。

  “不給就不給唄,一開始是這麼想,但回去一查資料就發現可以做出一個提權,發現竟然把整個機房給控製了。”衰大回憶,當時的感覺有些小興奮,小意外。

  在麥香的口中,適用的場景則更加“生活化”:“在學校的內網試試各種東西啊……改改水卡啊、飯卡啊……什麼的。”但他有些支支吾吾,讓人感覺還有很多事蹟想講但是沒講。

在此次採訪前,三人從未在現實中見過彼此,僅有“網聞”
在此次採訪前,三人從未在現實中見過彼此,僅有“網聞”

  事實上不僅是黑客,當今很多互聯網行業的企業家、學者、名人,第一次真正體驗到IT技術在網絡安全方面的威力和刺激,都是在機房。就如很多畫家、作家都是從書架、畫室中走出來的一樣,機房有著特殊啟蒙的意味。

  其實,這個小空間也不過是大學這個大環境中的一角。

  在知名的黑客圈子中,海外不乏高中成名、大學輟學的人物,在國內學曆為中專、職高的高手也大有人在。於是乎給外界造成一種錯覺:一個厲害黑客不需要在知名的學府中完成系統性的教育,“野路子”就是好路子。

  三位白帽子並不這麼看。

  “事實證明,能夠考上名校的學生,他的學習能力和對新事物的理解能力普遍更強。”麥香從他接觸黑客的經驗角度講到,一個優秀的學習環境和靈感激發環境對任何類型的創造都極其重要。

  另一方面,從白帽子的角度上來說,高校環境內也更容易孕育堅定自覺的法製理念和道德準則。對這個行業來說,此兩點尤為重要。

麥香已有了新的道路,而衰大始終都在思考自己未來的轉型。
麥香已有了新的道路,而衰大始終都在思考自己未來的轉型。

  法律意識是必修課

  一個假設:如果把一家公司的網絡安全套用到現實中來,比作一把鎖。一個對鎖有著極高專業知識的人,在你晚上回家正熟睡時開鎖進入,逛了一圈,然後放了一張紙條說:你家鎖不結實,找我可以給你優化下。

  一個問題:等你真見了這個人,是上前去諮詢鎖的事,還是報警?

  “技術是中立的,但當技術遭遇法律,當技術帶來了法律所不允許的風險的時候,那麼技術的運用就不再是中性的。”在不久前,由360安全應急響應中心“IoT安全守護計劃”發佈活動中,北京金杜律師事務所律師陳聖如此總結。

  的確,從技術上來看,在尋找一個網絡安全漏洞並且證實漏洞存在的過程中,距離利用這個漏洞進行破壞或者竊取僅一步之遙。一位擁有強大技術能力的黑客是否越線,不僅決定了這一刻“帽子的顏色”,更直接關乎是否碰觸法律的底線。

  麥香表示,從技術手段來看最重要的就是流量和數據。驗證一個漏洞的危險等級有時會使用部分模擬手段,獲得的數據和流量,必須要按照我們這個業內公認的安全手段進行加密,並且及時向平台進行報告。

  衰大也認為,必須要始終把法律的紅線懸在腦中,補天平台的法製課程培訓雖然不會給自己的技能帶來什麼新思路,但強化了自我保護意識,不敢馬虎。

關注我們Facebook專頁
    相關新聞
      更多瀏覽