在Lamo攻擊過的(de)名單上包括雅虎、花旗銀行、美(měi)國銀行等,白帽子這(zhè)麽幹是合法的(de),因爲他(tā)們受雇于公司,但是 Lamo 這(zhè)麽做(zuò)卻是犯法的(de)。”在一本介紹國外信息安全的(de)雜(zá)志上,Adrian Lamo 被譽爲世界五大(dà)黑(hēi)帽子黑(hēi)客。在他(tā)的(de)“戰績”上,包括65000美(měi)元的(de)罰款,一級六個(gè)月(yuè)的(de)家庭禁閉和(hé)緩刑。
Lamo 的(de)困境是全球Hacker(黑(hēi)客)們的(de)縮影(yǐng)。在中國,上個(gè)世紀90年代開始,以著名的(de)紅客聯盟、中國鷹派聯盟、中國黑(hēi)客聯盟三大(dà)黑(hēi)客組織爲主力軍,中國第一批觸網的(de)年輕人(rén)中開始分(fēn)化(huà)出一個(gè)獨特的(de)團體——Hacker,并因中美(měi)黑(hēi)客大(dà)戰而名聲大(dà)噪。
近20年之後,當初因一腔熱(rè)血挺身而出的(de)“黑(hēi)客英雄們”大(dà)多(duō)退隐江湖,而攻擊技術門檻的(de)降低,和(hé)因此而造成的(de)信息洩露,已經形成一條完整的(de)産業鏈,威脅著(zhe)每個(gè)人(rén)的(de)隐私和(hé)安全。在人(rén)們的(de)認知中,黑(hēi)客漸漸失去了(le)其英文Hacker的(de)本意——擅長(cháng)IT技術的(de)計算(suàn)機科學家,而變成職業破壞者的(de)代名詞。
其實,傳奇依然在。一些技術高(gāo)手開始專門幫網站尋找漏洞,他(tā)們有了(le)另一個(gè)稱号——“白帽子”,還(hái)有一些人(rén)依然醉心于攻破世上最堅固網絡堡壘,Lamo 做(zuò)過的(de)事情,他(tā)們都想過,也(yě)都做(zuò)到過,但不願爲人(rén)所知,他(tā)們仍堅持叫自己Hacker。
70、80、90,中國三代Hacker們走著(zhe)不同的(de)路。他(tā)們的(de)名字叫Hacker。
70後 寂寞的(de)高(gāo)手
上世紀90年代,在那個(gè)上網都需要用(yòng)撥号解調器的(de)年代,一名醫科大(dà)學學生抓緊時(shí)間在網上下(xià)載關于信息安全的(de)技術研究報告。他(tā)生怕網絡不知在什(shén)麽時(shí)候會斷,所以在紙上密密麻麻寫下(xià)了(le)要搜索和(hé)下(xià)載的(de)最新信息内容。
這(zhè)位當年醫科大(dà)學的(de)學生如今已是安全界響當當的(de)“TK教主”,是國内Hacker圈爲數不多(duō)的(de)傳奇之一。在人(rén)們印象中,黑(hēi)客通(tōng)常都有點神經質、獨來(lái)獨往、憤世嫉俗,可(kě)電話(huà)那頭的(de)TK卻語速平緩、講話(huà)斯文,在被問到國内信息安全水(shuǐ)平與國外的(de)差距時(shí),他(tā)用(yòng)了(le)“越來(lái)越接近”的(de)評語,而不願給出一個(gè)明(míng)确的(de)、尖銳的(de)回答(dá)。這(zhè)位醫科出身、中國最早從事信息安全研究的(de)教主級人(rén)物(wù),更像是一位資深的(de)學者,沉迷于安全領域的(de)研究。
70後生人(rén)的(de)TK,頭頂上有一系列光(guāng)環:公安部奧運會信息網絡安全指揮部技術專家、CNCERT奧運信息安全保障小組技術專家、微軟漏洞緩解技術繞過懸賞十萬美(měi)元大(dà)獎全球兩個(gè)獲得(de)者之一,國内第一份對(duì)蠕蟲帶來(lái)的(de)新型安全威脅做(zuò)出多(duō)角度分(fēn)析報告也(yě)正是出自他(tā)之手。深厚的(de)技術積澱,來(lái)自于每個(gè)月(yuè)隻有90 元的(de)飯費,和(hé)一摞一摞用(yòng)所有生活費買回來(lái)的(de)技術書(shū)籍。
準醫生畢業後,TK并沒有成爲一名“白衣天使”,而是進入了(le)當時(shí)國内爲數不多(duō)的(de)安全企業,收入起點8000元。20世紀初,國内很少有人(rén)理(lǐ)解信息安全究竟是什(shén)麽。爲了(le)省事,TK介紹自己工作時(shí),直接說是搞計算(suàn)機的(de),在很長(cháng)時(shí)間内,他(tā)都被誤認爲就是個(gè)裝電腦(nǎo)的(de)。他(tā)也(yě)懶得(de)解釋,在他(tā)看來(lái),安全領域研究本就寂寞。
此後,TK進入騰訊,創辦了(le)自己的(de)玄武實驗室,收入不菲,看似功成名就,但他(tā)至今都認爲,當時(shí)“改行”從未想過任何物(wù)質的(de)回報,做(zuò)安全研究,即便有高(gāo)收入,很多(duō)人(rén)都未必“做(zuò)得(de)了(le)”和(hé)“願意做(zuò)”。
80後 “攻防大(dà)戰隻是小說”
2002年4月(yuè),中國互聯網協會公告制止有組織的(de)攻擊行爲。紅盟至此一蹶不振,最早一批的(de)Hacker,或是放棄,或是進入科技公司,在随後慢(màn)慢(màn)升溫的(de)互聯網中謀得(de)一席之地。但也(yě)有一些人(rén),願意堅守Hacker初心,過著(zhe)不爲人(rén)所知的(de)雙重生活。
H的(de)本職工作是一家打印機店(diàn)的(de)老闆,他(tā)人(rén)生另一面則是一位資深的(de)Hacker。他(tā)用(yòng)本職工作賺來(lái)的(de)錢,換取獨立研究的(de)資金支持和(hé)空間。H每天用(yòng)十幾個(gè)小時(shí)研究開發防禦工具,然後第一時(shí)間放到安全社區(qū)或論壇的(de)平台上,免費向所有人(rén)開放。他(tā)很認真地認爲,“收錢豈不是沒人(rén)用(yòng)了(le)”,他(tā)并不打算(suàn)用(yòng)此來(lái)養活自己,研究出能否防止攻擊的(de)工具比獲得(de)金錢更有意義。
H并不習(xí)慣自己被稱爲 “白帽子”,在他(tā)看來(lái),這(zhè)個(gè)來(lái)源于國外的(de)“White Hat Hacker”的(de)稱呼,間接等同于“挖漏洞”的(de)代名詞。“每天刷垃圾漏洞還(hái)搞什(shén)麽研究?”真正的(de)Hacker圈,沒有人(rén)們想象中攻防對(duì)抗的(de)激烈,沒有進入系統竊取信息的(de)刺激,更多(duō)的(de)是潛心工程技術的(de)搭建與研究。他(tā)們要解決的(de)并不是一兩個(gè)漏洞,而是系統性的(de)安全問題,“攻防大(dà)戰不過是媒體賦予的(de)小說情節。”H說。
90後 靠挖漏洞就業
與低調的(de)70後、80後相比,新生代的(de)Hacker則高(gāo)調許多(duō)。李超(化(huà)名)是新疆某中學高(gāo)中生,這(zhè)位1997年出生的(de)年輕人(rén),已經擁有了(le)不下(xià)十年的(de)黑(hēi)客經曆。當記者找到他(tā)時(shí),他(tā)爽快(kuài)地答(dá)應了(le)采訪,毫無芥蒂地講了(le)他(tā)的(de)“成長(cháng)故事”。因爲小時(shí)候的(de)一個(gè)遊戲賬号被盜,李超氣憤之餘便開始自學盜号技術,也(yě)偷偷盜過别人(rén)賬号,後來(lái)才慢(màn)慢(màn)發展成挖漏洞,現在他(tā)在補天平台上已挖了(le)400多(duō)個(gè)漏洞。
在烏雲團隊聯合創始人(rén)孟卓看來(lái),用(yòng)安全技術來(lái)“炫技”是不少90後加入安全團隊的(de)重要推動力之一。鄧煥,360補天團隊的(de)技術人(rén)員(yuán),高(gāo)中時(shí)期,他(tā)曾入侵過學校的(de)網站,去網吧,也(yě)會搶占整個(gè)網吧的(de)管理(lǐ)權限,不僅讓自己享受免費上網“特權”,還(hái)能順便看到網吧裏每一個(gè)客人(rén)所浏覽的(de)内容,爲了(le)秀技,他(tā)還(hái)會在臨走時(shí)把全網吧的(de)電腦(nǎo)重啓,“然後在一片驚呼聲中揚長(cháng)而去”。上大(dà)學後,鄧煥破解了(le)學校的(de)網絡計費系統,不僅僅是爲了(le)免費上網,還(hái)能順便把學校裏的(de)各個(gè)系統都入侵一遍。爲此,他(tā)曾在課堂上被系主任和(hé)輔導員(yuán)“請”去談話(huà)……
這(zhè)樣的(de)故事,似乎更符合人(rén)們對(duì)Hacker們擁有某種神通(tōng)的(de)想象。
如今,類似烏雲、補天這(zhè)樣公益性質的(de)漏洞舉報平台上,聚集了(le)越來(lái)越多(duō)年輕的(de)Hacker,據統計,烏雲上的(de)白帽子達到1.1萬個(gè),補天上民間“挖洞”團隊也(yě)達數百個(gè)。這(zhè)基本代表了(le)國内“活躍”的(de)白帽子總數。
深度閱讀
從黑(hēi)到白的(de)中國安全界
用(yòng)TK的(de)話(huà)說,比起自己那個(gè)年代,如今的(de)安全圈已經發生了(le)翻天覆地的(de)變化(huà)。幾個(gè)月(yuè)前,國内兩家安全企業爲究竟是誰在那場(chǎng)著名的(de)國際安全賽事中獲得(de)真正的(de)第一争得(de)面紅耳赤;而在接下(xià)來(lái)的(de)幾個(gè)月(yuè)中,國内還(hái)将有不下(xià)五場(chǎng)關于信息安全相關的(de)比賽、論壇、交流活動陸續舉行。2014年2月(yuè)27日,中央網絡安全和(hé)信息化(huà)領導小組宣告成立,信息安全上升爲國家戰略之後,Hacker圈開始了(le)異乎尋常的(de)熱(rè)鬧。
從“被歧視”到“被挖角”
2002年以後,不少Hacker們都曾經度過一段月(yuè)收入不足3000元、因“黑(hēi)客”而備受“歧視”的(de)黑(hēi)暗時(shí)期。那個(gè)時(shí)候,國内安全領域沒有巨頭公司,每個(gè)頂尖的(de)Hacker都像散落的(de)棋子。
如今,“一個(gè)有5年以上經驗的(de)高(gāo)水(shuǐ)平白帽子,基本都可(kě)以拿到50萬以上的(de)年薪。”孟卓透露。 楊卿,國内某安全平台的(de)負責人(rén)。10年前入行時(shí),他(tā)作爲一名負責WEB業務安全測試工程師的(de)收入僅2500元,幾乎不到一名技術開發人(rén)員(yuán)收入的(de)一半,哪怕是在阿裏巴巴這(zhè)樣的(de)互聯網企業。在他(tā)周圍,很少有人(rén)願意從事安全。即便進入這(zhè)一領域,就業範圍也(yě)很狹窄,“安全公司大(dà)多(duō)是乙方,隻有甲方公司出現安全問題,才會想到安全人(rén)員(yuán)。”
如今,白帽子的(de)收入今非昔比。普通(tōng)安全技術人(rén)員(yuán)一進入互聯網公司的(de)起薪可(kě)達到十幾萬元。即便是“民間組織”,全靠挖漏洞也(yě)能獲得(de)豐厚報酬,因爲有互聯網公司在網上公開爲自己的(de)漏洞懸賞。
李超如今每個(gè)月(yuè)挖漏洞的(de)收入是1萬元左右,在他(tā)們圈子内,如果找到高(gāo)質量的(de)漏洞,一個(gè)月(yuè)能賺五六萬元。“BAT這(zhè)樣的(de)金主給的(de)報酬也(yě)比較高(gāo)。” 盡管還(hái)沒考大(dà)學,李超已經決心要進入安全領域。
收入上升,吸引著(zhe)越來(lái)越多(duō)年輕人(rén)加入安全領域。楊卿告訴記者,随著(zhe)工具下(xià)載的(de)便利,成爲白帽子的(de)門檻已經相當低了(le),保守估計,國内具備尋找簡單網絡漏洞能力的(de)人(rén),起碼在10萬以上。
圈裏人(rén)通(tōng)常将Hacker分(fēn)爲四個(gè)層次:最底層的(de)被稱爲“腳本小子”,他(tā)們沒有工具研發能力,隻能夠利用(yòng)别人(rén)的(de)腳本進行攻擊,這(zhè)部分(fēn)人(rén)占到目前白帽子整體人(rén)群的(de)90%以上;第二層Hacker有安全理(lǐ)念、具備代碼審計和(hé)安全攻防能力;第三層,不僅有自己的(de)想法,也(yě)具備工程化(huà)的(de)能力,可(kě)以利用(yòng)自己的(de)開發工具深入挖掘漏洞,能達到這(zhè)一層次的(de)Hacker,國内不足千人(rén)。再往上,就是能夠思考安全的(de)本質,提出完整安全解決方案的(de)Hacker。能到這(zhè)一層次的(de)都是行業精英,國内能有五十個(gè)就不錯了(le)。盡管像BAT這(zhè)樣的(de)互聯網公司爲這(zhè)些人(rén)開出百萬元以上的(de)年薪,卻依然很少有人(rén)能做(zuò)到。
就在接受《IT時(shí)報》記者采訪前不久,H剛剛拒絕了(le)來(lái)自互聯網巨頭之一的(de)邀請,他(tā)說自己有小夥伴進了(le)那裏的(de)安全團隊,每天都心系“整個(gè)國家的(de)信息安危”,這(zhè)樣大(dà)的(de)“壓力”讓他(tā)有點受不了(le)。他(tā)更喜歡自由,但同時(shí)也(yě)承認,在國内真正算(suàn)得(de)上Hacker中的(de)頂尖人(rén)物(wù),能夠做(zuò)到完全獨立又能養活自己的(de)很少,“太多(duō)人(rén)都耐不住寂寞。”
最大(dà)對(duì)手是名利
國内頂尖人(rén)才少,關鍵不在錢少,而是在錢太多(duō)。“因爲起步較晚,我們之前與國外頂尖Hacker的(de)技術差距有十年,但現在看來(lái),這(zhè)一差距并沒有縮小。”
對(duì)于Hacker圈來(lái)說,最大(dà)的(de)對(duì)手并不是黑(hēi)客犯罪者,而是“名利”。“我們中的(de)很多(duō)人(rén)都舍不下(xià)名利,放棄了(le)最初的(de)鑽研。加入BAT的(de)大(dà)圈,加入了(le)所謂組織聯盟的(de)建設中。”H說。W是國内最早一批進入安全圈的(de)Hacker,在當時(shí)的(de)Hacker團隊中,他(tā)絕對(duì)屬于頂尖高(gāo)手。但随著(zhe)名氣越來(lái)越大(dà),最終,他(tā)離開了(le)團隊,獨立搭建了(le)安全平台,但也(yě)從那個(gè)時(shí)期開始,他(tā)再也(yě)沒有在論壇上發表過任何安全技術的(de)研究報告,而是經常亮相于各種活動中。
“一些優秀的(de)白帽子進入了(le)BAT和(hé)360等大(dà)型互聯網公司後,由于各種限制變得(de)越來(lái)越封閉,技術就停留在一定水(shuǐ)平再也(yě)無法突破了(le)。”據一位業内人(rén)士透露,目前一批頂尖Hacker高(gāo)手已悄然被BAT三家巨頭收入門下(xià)。這(zhè)對(duì)于行業發展形成新格局的(de)同時(shí),也(yě)帶來(lái)一定制約。
