百度贴吧里曾经有过一篇帖子,问的是:你愿意嫁给方小顿同学吗?马上有人跟帖:“剑心(方小顿的网名)这样的大牛也要征婚啊?”2010年,方小顿跟着百度CEO李彦宏参加一档综艺节目,成了第一个上娱乐节目的黑客。他说自己是白帽子,“就是好的黑客。”在黑客攻击百度时负责抵御。这个顶着一头非主流的发型、腼腆可爱的技术男吸引了众多粉丝,甚至有网友为他开通了“方小顿”百度贴吧。
在那一年,包括方小顿在内的三个“白帽子”一起创立了网络漏洞报告平台——乌云,这是国内第一个厂商和安全研究者之间的安全问题反馈平台。发展至今,在乌云注册的白帽子团队将近5000人,其中核心黑客超过100人,是国内最有影响力的网络安全问题反馈平台。
不久前的“心脏漏血”高危漏洞,乌云平台在短短数小时内提交了上百份高危漏洞预警,涉及大量互联网企业与电商,让人震惊的同时,也让一直只在小圈子里活跃的白帽子们走进了大众视野。
顶尖白帽子有多牛
15秒攻破最新苹果系统
加拿大温哥华,今年的Pwn2Own比赛现场。在这项由微软、谷歌、苹果等全球知名软件厂商提供赞助的赛事中,苹果的桌面操作系统Mac OS已连续三年保持“金身”不破。今年,上海Keen团队主攻手陈良,用15秒攻破最新的苹果桌面操作系统MacOS X,破了苹果的“金身”,同时用20秒攻破Windows8.1系统。
顶尖白帽子就是这么牛。
于是,有人担心,如果白帽子不讲职业道德会怎么样,因为几乎所有的系统防护在他们面前几乎形同虚设。
“不会的,黑帽子转白还有可能,但白帽子一旦有意涉足互联网黑色产业,就再也不会被信息安全圈内接受了。”乌云联合创始人之一孟卓斩钉截铁地说,白帽子通常不喜欢以“黑客”自称,如果一定要用也得加上“白帽子”做前缀,“坚决与黑产划清界限,这是圈内的共识,也可以说是道德洁癖。”
孟卓,85后,东北汉子,相比本名,倒是更多人知道“FengGou”这个网名。在创立乌云之前,他在新浪负责线上产品与企业安全等工作。
孟卓也是个“白帽子”,不过在他看来,“白帽子”与其说是一种身份认定,不如说是在互联网安全领域的处事态度。
白帽子是些什么人
高考状元、商场保安、外科医生
顶尖白帽子团队Keen的成员曾用“三个二分之一”来形容自己:二分之一是各地的历年高考状元,二分之一是数学专业,二分之一来自微软。
神秘且高大上,Keen团队的成员构成满足了外界想象中对白帽子的所有设定。
事实上,乌云的三位联合创始人也有着相似的工作历经:都来自知名互联网企业(百度、新浪、360);都负责过安全防护领域;都对网络攻防技术有浓厚兴趣……
“创立乌云就是因为我们在实际工作中深切感受到了安全领域的各种无奈,希望经过平台的努力让大家看到安全从业者的重要性,以公平中立的角度让公众了解网络安全现状并促使各方面加以改善。”最初,乌云只是想成为安全研究者与厂商之间沟通的通道,孟卓也说最早向乌云提交漏洞报告的大多是圈子里的朋友、同行。
发展了四年之后,情况发生了明显的变化。圈内最著名的段子是:某天,一个白帽子发现了图虫网的一个漏洞,乌云去确认的时候,接电话的人了解情况后说,那是我儿子,他还在上小学六年级。当时,这个段子曾引起一众大牛的惊呼,直叹后生可畏。
孟卓说他不确定这个段子是否属实,但乌云上有16岁以下的白帽子,确有其事。实际上,白帽子们并不都是科班出身的技术大牛。比如方小顿,在哈尔滨理工大学时读得是化学专业;比如业界鼎鼎大名的黑客“黑哥”周景平在做转白之前,是一名有5年多从业经验的外科医生;比如在乌云平台上活跃着的约5000名白帽子里,就有商场保安、普通职员、教师……
“网上有很多互联网技术教程和讨论社区,只要肯学,每个人都能成为技术高手,安全技术绝不是学校里能教出来的。”在方小顿眼中,技术其实没什么,靠自学就能成专家,反而是非科班生,因为有着与科班生不同的观察视角,往往能用简单的方法或者独特的角度,发现一些大牛们都没有意识到的问题。
白帽子并不神秘,他们外表普通。或许,那个穿着T恤、牛仔裤与你擦肩而过的年轻人就是在圈内崇拜者无数的核心白帽子。
白帽子为何而战
生命尊严、生存压力都重要
记者有机会接触的几位白帽子大牛都很年轻,没有超过35岁的;都很低调,并非不善言辞,但回答问题相当简洁,这或许与他们常常要从数千万代码中发现漏洞的正确方向有关;接触后发现其实挺有想法和激情。
白帽子们都有一个习惯,就是“混社区”,那些大大小小的技术社区里聚集着领域内的顶尖高手,组织虽然松散,以网名互称,有着自己的一套沟通方式和价值认同,论资排辈。
“在社区里,只要你足够优秀,就有很多人会认同和推荐你。”白帽子Job说,有一些核心白帽子就是从网络社区里被大公司发现,然后被高薪挖角的,“虽然混社区的本意并不是找工作,但确实有很多技术大牛因此跳槽。”
并不是所有的白帽子都能将兴趣变成职业,也有退出的。曾经在某安全社区小有名气的H,三年前因为对互联安全技术感兴趣而只身北漂,今年初又选择了回家乡创业,不做白帽子改当烘焙师。白帽子虽然给他带来了成就感,却没有带给他多少经济收入,不得不向现实妥协。
“网络信息安全就像一个有裂纹的空杯子,没水的时候看不出问题,一旦注入水,很快就会漏光。”一位大牛说,因为目前国内网络安全信息相应的法律法规缺位,只有当黑客窃取信息进行网络犯罪后才能被定性,进而引起大家关注与重视。“这其实很危险,他们却没有意识到。”
用孟卓的话来说:“黑与白,并不是水火不容,黑的也能变成白的,只不过大部分禁不住暴利收入的诱惑无法自拔。我们希望能提供一些合法的收入渠道或工作岗位,让更多人能做一些对业界更有贡献的事情,有一个好的环境和机会,谁会愿意利用自己的技术冒着风险去牟利。”
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/44594.html