然而在駭客當中,有一個特殊的類別,他們擁有犀利的網路入侵技術,卻在發現安全性漏洞時提醒對方修復,從而抵禦真正的入侵者,外界通常稱之為“白帽子”。
一
時間是淩晨 2:18,昏暗的房間裡,木雁伏在電腦前睡著了,他夢見一輛載著學習用品的貨車開進了山裡,孩子們滿心歡喜地拆開包裹,笑聲是那麼天真無邪。起初木雁心想,孩子們一定想不到這些竟是一群“駭客”捐贈的。可他立刻又想到,這樣貧困的山區裡,連最基本的學習都成問題,更別提瞭解什麼互聯網、駭客了。
夢到這裡木雁忽然驚醒了,電腦螢幕還亮著,他揉揉眼睛繼續敲代碼。在白天,他是阿裡巴巴集團的一名網路安全工程師,此時此刻,他的身份是“白帽子”,正在一家公司的網路系統“體檢”。多找出一個安全性漏洞,就又多改善幾十個貧困孩子的學習條件,哪怕只多一點點。
木雁是一名駭客,卻不是我們傳統印象中,網路世界的入侵者。相反,他在發現企業和機構的安全性漏洞後,會提醒對方及時修補,抵禦真正的入侵者——惡意攻擊和地下黑產。在安全圈裡,像木雁這樣的駭客有一個共同的名字 —— 白帽子。
兩個多月後,木雁和他的同事千宵站在了阿裡雲先知白帽大會捐款儀式的臺上。上臺之前,他其實準備了一些感言,可接過捐贈證書時,一股自豪和幸福感湧上心頭,他卻有些說不出話,最後只簡單說了兩句 “ 能幫助到這些孩子們,我們真的很開心……“,沒想到身旁的同事千宵更誇張,接過話筒,猶豫半天說了一句 “和他差不多吧……”
連帽衛衣、格子襯衫牛仔褲,標準“工程師的模樣”,說的話也像個路人,這一切都和他們腳下擺著的46萬元支票形成強烈的反差。他倆剛剛向中國扶貧基金會捐出了自己挖掘漏洞獲得的46萬元獎金。
現場的一位朋友告訴雷鋒網:“突然覺得這就是做技術人的魅力所在,他們永遠覺得自己所做的很輕,其實意義卻很重。”
此時,阿裡雲首席安全研究員吳翰清(道哥)和先知平臺負責人笑然也坐在觀眾席,他們望著臺上這一切,感慨萬分 ,深知這一切來得不容易。
二
2016年10月12日,道哥和笑然忽然有了個奇特的想法:“先知平臺除了讓白帽子用技術幫助企業之外,是否能為社會做些有溫度的小事?”
這一想法或許源于阿裡巴巴的“公益3小時”計畫。在阿裡巴巴,公益似乎已經變成了企業文化一般的存在。
道哥心想,公益和白帽子或許能有一個好的結合點 —— 既能為社會做點有溫度的事,又能為白帽子群體摘掉一些標籤,塑造些正面形象。資訊安全崗位本身就特別敏感,不光要技術好,同時在道德上也要一定要品行端正。白帽子做公益,也算是對自身道德品性的一次小小的證明。
在此之前,白帽子群體背負了太多爭議和質疑。
據雷鋒網瞭解,企業和白帽子之間原本就存在一種微妙關係。一方面,企業確實在白帽子的幫助下發現很多盲點,提升了安全水準;另一方面,廠商也擔心白帽子在測試時一不小心越過邊界,造成資料洩露或破壞,更害怕有人打著白帽子的旗號,去拖庫、交易這些資料。自2016年,這種微妙的關係逐漸激化,白帽子的行為邊界、法律風險等話題,如今必定出現在國內每一個大大小小的安全會議上。
道哥算了算,阿裡巴巴全集團有一百多名全國最優秀的一批安全工程師,若能借“公益三小時”,號召內部的安全工程師參與“公益眾測”,既能幫助企業解決問題,還能讓大家看到白帽子的情義和正義,更能説明有需要的人,一舉三得。
【道哥】
但他很快意識到一個問題 —— 向其他部門“借人”來參與眾測,這涉及跨部門的人員協調,其中的財務分配、人資調配等相關流程都相當麻煩。況且集團內部出於廉政考慮,並不主張內部的安全工程師參與眾測平臺的活動,怕影響工程師們的本職工作。
果然,當先知平臺的負責人笑然開始著手推進專案,立刻遇到了巨大的阻力。一封郵件群發出去,收到的回復大多是反對。
笑然說,“ 當時一打開郵箱,前兩封郵件就是兩個強烈反對意見,當時心裡咯噔一下,覺得專案懸了。” 此後一周,她又多次嘗試和各個部門重新溝通,無果。
於是她聯繫上了阿裡巴巴社會責任部的負責人華山。
三
華山此時恰好正在琢磨一個問題:怎麼能把公益和一個人的行業更好的結合起來做,產生更大的社會價值。他覺得,每個行業都有自己最擅長的公益方式。
比方說,一名律師去做環保,最好的方式絕不是週末去街上撿幾個塑膠瓶子幾個煙頭,而是為環保機構提供法律援助,或是參與一場環保訴訟案。要知道,在國外一次專業的法律諮詢,一小時支付幾百美金都很平常,讓他們把這幾小時用來撿垃圾做公益,豈不是讓原本能產生的公益價值大打折扣。
當華山聽笑然說了眾測和公益結合的想法,眼前忽然眼前一亮 —— 這不就是安全技術人員做公益的正確姿勢嘛?
【華山】
他覺得這件事不僅阿裡內部的人要做,還應該發動更多的白帽子來做。
在華山的概念裡,白帽子駭客的形象就像互聯網中的大俠,正直之下,有自己的一套行為模式,能力強大又放蕩不羈。他自己就見識過一個白帽子自己摸進公益組織的網站後臺,留下一份匿名的安全報告說,
看到這麼多善款不安全,我實在忍不住,網站有許多安全性漏洞,我已經查了個遍,望能儘快修復,修復方法如下……
華山心想,這不就像小說裡行走江湖的大俠,或者“怪俠”幹的事嗎? 或許他的初衷是好的,但方式卻未必是對的,甚至,不打招呼就就滲透進來還可能犯法了。
與其一棍子打死,倒不如給他們一個正規的管道,讓他們能名正言順地來做這些確實有益的事情。如今絕大部分的捐贈都發生線上上交易,大量的善款在網上流動,但大部分公益組織並沒有網路安全防範意識或能力,萬一出現資訊洩露或是財務損失,傷的是社會上那些愛心人士、捐贈人的心。
一番討論之後,他們又在計畫中加了幾條:
在平臺上開放公益眾測項目,企業和白帽子可以自願捐出部分或全部收益。
公益機構在先知平臺發佈安全測試需求,平臺白帽子和阿裡云云盾都可以為他們輸出安全能力。
白帽子有他們最擅長的方式來做公益,他們能做的事情是其他許多行業做不了的。也和去大街上撿垃圾、刻意拿出錢來捐款完全不一樣的。
華山告訴雷鋒網:“把公益揉碎了融入到一個人的工作生活當中,這是我們一直想做的事情。當你買一個環保的商品,哪怕為環境做出一點點貢獻;網上兩個同樣的商品,你選擇參與公益活動的哪一個,哪怕每次只捐出去一毛錢一分錢,都會逐漸在你的良知裡沉澱下來,你讓這個社會又變好了一點點。一個人越幫助別人,做的事情就會越來越正面。
四
笑然在阿裡巴巴內部號召安全工程師做公益的事情,也在這時出現了轉機。當她忐忑地打開一封一封郵件,很多工程師都在問她怎麼參與這個項目。最讓她驚訝的是,其中就有原本極力反對該項目的人。在公益的感召下,人們的態度發生了 180 度轉變。
幾天之內,20 名安全工程師加入,而且人數仍在不斷增加,這超出了笑然的預期。此時距離最初項目提議,已經過去一個多月。這一個月裡,她來回奔走於法務、財務、人資、合規以及各個涉及安全的部門,討論、敲定項目運作的細節,以及探討公益計畫未來的規劃。從普通工程師一直找到M5級別的負責人(注:再往上就是集團副總裁)
如今她終於松了一口氣。
2017年3月24日的雲盾先知白帽大會上,笑然在臺上講述她眼中白帽子的樣子,她說:”我眼中的白帽子,是一群技術又好、又勤奮、靠譜的人……“
此時,PPT上出現的是工作群裡的一段對話:
“和大家同步下進度,到今天淩晨三點測試已全部完成,目前正在整理測試報告……”
“好的,謝謝! 辛苦了@笑然”
在此之前,他們已經連續幾天徹夜開工,因為不能影響本職工作,他們只能抽出週末以及每天下班之後的時間來完成。當整整八十五頁的漏洞報告整理完畢,第一個公益眾測專案結束了。這意味著第一批善款終於有了著落,也意味著一個新的開始。
白帽子用找漏洞的方式來提升安全,這種方式註定他們將要飽受猜忌。你知道的,猜忌是摧毀善意最快的方式,慶倖的是,真正的白帽子對這個世界的善意並沒有被猜忌所摧毀,他們仍在用自己的方式讓這個世界貢多一些美好,哪怕只是一點點。