在Lamo攻擊過(guò)的名單上包括雅虎、花旗銀行、美國(guó)銀行等,白帽子這么干是合法的,因?yàn)樗麄兪芄陀诠荆荓amo 這么做卻是犯法的。”在一本介紹國(guó)外信息安全的雜志上,Adrian Lamo 被譽(yù)為世界五大黑帽子黑客。在他的“戰(zhàn)績(jī)”上,包括65000美元的罰款,一級(jí)六個(gè)月的家庭禁閉和緩刑。
Lamo 的困境是全球Hacker(黑客)們的縮影。在中國(guó),上個(gè)世紀(jì)90年代開(kāi)始,以著名的紅客聯(lián)盟、中國(guó)鷹派聯(lián)盟、中國(guó)黑客聯(lián)盟三大黑客組織為主力軍,中國(guó)第一批觸網(wǎng)的年輕人中開(kāi)始分化出一個(gè)獨(dú)特的團(tuán)體——Hacker,并因中美黑客大戰(zhàn)而名聲大噪。
近20年之后,當(dāng)初因一腔熱血挺身而出的“黑客英雄們”大多退隱江湖,而攻擊技術(shù)門(mén)檻的降低,和因此而造成的信息泄露,已經(jīng)形成一條完整的產(chǎn)業(yè)鏈,威脅著每個(gè)人的隱私和安全。在人們的認(rèn)知中,黑客漸漸失去了其英文Hacker的本意——擅長(zhǎng)IT技術(shù)的計(jì)算機(jī)科學(xué)家,而變成職業(yè)破壞者的代名詞。
其實(shí),傳奇依然在。一些技術(shù)高手開(kāi)始專門(mén)幫網(wǎng)站尋找漏洞,他們有了另一個(gè)稱號(hào)——“白帽子”,還有一些人依然醉心于攻破世上最堅(jiān)固網(wǎng)絡(luò)堡壘,Lamo 做過(guò)的事情,他們都想過(guò),也都做到過(guò),但不愿為人所知,他們?nèi)詧?jiān)持叫自己Hacker。
70、80、90,中國(guó)三代Hacker們走著不同的路。
他們的名字叫Hacker
70后 寂寞的高手
上世紀(jì)90年代,在那個(gè)上網(wǎng)都需要用撥號(hào)解調(diào)器的年代,一名醫(yī)科大學(xué)學(xué)生抓緊時(shí)間在網(wǎng)上下載關(guān)于信息安全的技術(shù)研究報(bào)告。他生怕網(wǎng)絡(luò)不知在什么時(shí)候會(huì)斷,所以在紙上密密麻麻寫(xiě)下了要搜索和下載的最新信息內(nèi)容。
這位當(dāng)年醫(yī)科大學(xué)的學(xué)生如今已是安全界響當(dāng)當(dāng)?shù)?ldquo;TK教主”,是國(guó)內(nèi)Hacker圈為數(shù)不多的傳奇之一。在人們印象中,黑客通常都有點(diǎn)神經(jīng)質(zhì)、獨(dú)來(lái)獨(dú)往、憤世嫉俗,可電話那頭的TK卻語(yǔ)速平緩、講話斯文,在被問(wèn)到國(guó)內(nèi)信息安全水平與國(guó)外的差距時(shí),他用了“越來(lái)越接近”的評(píng)語(yǔ),而不愿給出一個(gè)明確的、尖銳的回答。這位醫(yī)科出身、中國(guó)最早從事信息安全研究的教主級(jí)人物,更像是一位資深的學(xué)者,沉迷于安全領(lǐng)域的研究。
70后生人的TK,頭頂上有一系列光環(huán):公安部奧運(yùn)會(huì)信息網(wǎng)絡(luò)安全指揮部技術(shù)專家、CNCERT奧運(yùn)信息安全保障小組技術(shù)專家、微軟漏洞緩解技術(shù)繞過(guò)懸賞十萬(wàn)美元大獎(jiǎng)全球兩個(gè)獲得者之一,國(guó)內(nèi)第一份對(duì)蠕蟲(chóng)帶來(lái)的新型安全威脅做出多角度分析報(bào)告也正是出自他之手。深厚的技術(shù)積淀,來(lái)自于每個(gè)月只有90 元的飯費(fèi),和一摞一摞用所有生活費(fèi)買回來(lái)的技術(shù)書(shū)籍。
準(zhǔn)醫(yī)生畢業(yè)后,TK并沒(méi)有成為一名“白衣天使”,而是進(jìn)入了當(dāng)時(shí)國(guó)內(nèi)為數(shù)不多的安全企業(yè),收入起點(diǎn)8000元。20世紀(jì)初,國(guó)內(nèi)很少有人理解信息安全究竟是什么。為了省事,TK介紹自己工作時(shí),直接說(shuō)是搞計(jì)算機(jī)的,在很長(zhǎng)時(shí)間內(nèi),他都被誤認(rèn)為就是個(gè)裝電腦的。他也懶得解釋,在他看來(lái),安全領(lǐng)域研究本就寂寞。
此后,TK進(jìn)入騰訊,創(chuàng)辦了自己的玄武實(shí)驗(yàn)室,收入不菲,看似功成名就,但他至今都認(rèn)為,當(dāng)時(shí)“改行”從未想過(guò)任何物質(zhì)的回報(bào),做安全研究,即便有高收入,很多人都未必“做得了”和“愿意做”。
80后 “攻防大戰(zhàn)只是小說(shuō)”
2002年4月,中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)公告制止有組織的攻擊行為。紅盟至此一蹶不振,最早一批的Hacker,或是放棄,或是進(jìn)入科技公司,在隨后慢慢升溫的互聯(lián)網(wǎng)中謀得一席之地。但也有一些人,愿意堅(jiān)守Hacker初心,過(guò)著不為人所知的雙重生活。
H的本職工作是一家打印機(jī)店的老板,他人生另一面則是一位資深的Hacker。他用本職工作賺來(lái)的錢(qián),換取獨(dú)立研究的資金支持和空間。H每天用十幾個(gè)小時(shí)研究開(kāi)發(fā)防御工具,然后第一時(shí)間放到安全社區(qū)或論壇的平臺(tái)上,免費(fèi)向所有人開(kāi)放。他很認(rèn)真地認(rèn)為,“收錢(qián)豈不是沒(méi)人用了”,他并不打算用此來(lái)養(yǎng)活自己,研究出能否防止攻擊的工具比獲得金錢(qián)更有意義。
H并不習(xí)慣自己被稱為 “白帽子”,在他看來(lái),這個(gè)來(lái)源于國(guó)外的“White Hat Hacker”的稱呼,間接等同于“挖漏洞”的代名詞。“每天刷垃圾漏洞還搞什么研究?”真正的Hacker圈,沒(méi)有人們想象中攻防對(duì)抗的激烈,沒(méi)有進(jìn)入系統(tǒng)竊取信息的刺激,更多的是潛心工程技術(shù)的搭建與研究。他們要解決的并不是一兩個(gè)漏洞,而是系統(tǒng)性的安全問(wèn)題,“攻防大戰(zhàn)不過(guò)是媒體賦予的小說(shuō)情節(jié)。”H說(shuō)。
90后 靠挖漏洞就業(yè)
與低調(diào)的70后、80后相比,新生代的Hacker則高調(diào)許多。李超(化名)是新疆某中學(xué)高中生,這位1997年出生的年輕人,已經(jīng)擁有了不下十年的黑客經(jīng)歷。當(dāng)記者找到他時(shí),他爽快地答應(yīng)了采訪,毫無(wú)芥蒂地講了他的“成長(zhǎng)故事”。因?yàn)樾r(shí)候的一個(gè)游戲賬號(hào)被盜,李超氣憤之余便開(kāi)始自學(xué)盜號(hào)技術(shù),也偷偷盜過(guò)別人賬號(hào),后來(lái)才慢慢發(fā)展成挖漏洞,現(xiàn)在他在補(bǔ)天平臺(tái)上已挖了400多個(gè)漏洞。
在烏云團(tuán)隊(duì)聯(lián)合創(chuàng)始人孟卓看來(lái),用安全技術(shù)來(lái)“炫技”是不少90后加入安全團(tuán)隊(duì)的重要推動(dòng)力之一。鄧煥,360補(bǔ)天團(tuán)隊(duì)的技術(shù)人員,高中時(shí)期,他曾入侵過(guò)學(xué)校的網(wǎng)站,去網(wǎng)吧,也會(huì)搶占整個(gè)網(wǎng)吧的管理權(quán)限,不僅讓自己享受免費(fèi)上網(wǎng)“特權(quán)”,還能順便看到網(wǎng)吧里每一個(gè)客人所瀏覽的內(nèi)容,為了秀技,他還會(huì)在臨走時(shí)把全網(wǎng)吧的電腦重啟,“然后在一片驚呼聲中揚(yáng)長(zhǎng)而去”。上大學(xué)后,鄧煥破解了學(xué)校的網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng),不僅僅是為了免費(fèi)上網(wǎng),還能順便把學(xué)校里的各個(gè)系統(tǒng)都入侵一遍。為此,他曾在課堂上被系主任和輔導(dǎo)員“請(qǐng)”去談話……
這樣的故事,似乎更符合人們對(duì)Hacker們擁有某種神通的想象。
如今,類似烏云、補(bǔ)天這樣公益性質(zhì)的漏洞舉報(bào)平臺(tái)上,聚集了越來(lái)越多年輕的Hacker,據(jù)統(tǒng)計(jì),烏云上的白帽子達(dá)到1.1萬(wàn)個(gè),補(bǔ)天上民間“挖洞”團(tuán)隊(duì)也達(dá)數(shù)百個(gè)。這基本代表了國(guó)內(nèi)“活躍”的白帽子總數(shù)。
深度閱讀
從黑到白的中國(guó)安全界
用TK的話說(shuō),比起自己那個(gè)年代,如今的安全圈已經(jīng)發(fā)生了翻天覆地的變化。幾個(gè)月前,國(guó)內(nèi)兩家安全企業(yè)為究竟是誰(shuí)在那場(chǎng)著名的國(guó)際安全賽事中獲得真正的第一爭(zhēng)得面紅耳赤;而在接下來(lái)的幾個(gè)月中,國(guó)內(nèi)還將有不下五場(chǎng)關(guān)于信息安全相關(guān)的比賽、論壇、交流活動(dòng)陸續(xù)舉行。2014年2月27日,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立,信息安全上升為國(guó)家戰(zhàn)略之后,Hacker圈開(kāi)始了異乎尋常的熱鬧。
從“被歧視”到“被挖角”
2002年以后,不少Hacker們都曾經(jīng)度過(guò)一段月收入不足3000元、因“黑客”而備受“歧視”的黑暗時(shí)期。那個(gè)時(shí)候,國(guó)內(nèi)安全領(lǐng)域沒(méi)有巨頭公司,每個(gè)頂尖的Hacker都像散落的棋子。
如今,“一個(gè)有5年以上經(jīng)驗(yàn)的高水平白帽子,基本都可以拿到50萬(wàn)以上的年薪。”孟卓透露。 楊卿,國(guó)內(nèi)某安全平臺(tái)的負(fù)責(zé)人。10年前入行時(shí),他作為一名負(fù)責(zé)WEB業(yè)務(wù)安全測(cè)試工程師的收入僅2500元,幾乎不到一名技術(shù)開(kāi)發(fā)人員收入的一半,哪怕是在阿里巴巴這樣的互聯(lián)網(wǎng)企業(yè)。在他周圍,很少有人愿意從事安全。即便進(jìn)入這一領(lǐng)域,就業(yè)范圍也很狹窄,“安全公司大多是乙方,只有甲方公司出現(xiàn)安全問(wèn)題,才會(huì)想到安全人員。”
如今,白帽子的收入今非昔比。普通安全技術(shù)人員一進(jìn)入互聯(lián)網(wǎng)公司的起薪可達(dá)到十幾萬(wàn)元。即便是“民間組織”,全靠挖漏洞也能獲得豐厚報(bào)酬,因?yàn)橛谢ヂ?lián)網(wǎng)公司在網(wǎng)上公開(kāi)為自己的漏洞懸賞。
李超如今每個(gè)月挖漏洞的收入是1萬(wàn)元左右,在他們?nèi)ψ觾?nèi),如果找到高質(zhì)量的漏洞,一個(gè)月能賺五六萬(wàn)元。“BAT這樣的金主給的報(bào)酬也比較高。” 盡管還沒(méi)考大學(xué),李超已經(jīng)決心要進(jìn)入安全領(lǐng)域。
收入上升,吸引著越來(lái)越多年輕人加入安全領(lǐng)域。楊卿告訴記者,隨著工具下載的便利,成為白帽子的門(mén)檻已經(jīng)相當(dāng)?shù)土?,保守估?jì),國(guó)內(nèi)具備尋找簡(jiǎn)單網(wǎng)絡(luò)漏洞能力的人,起碼在10萬(wàn)以上。
圈里人通常將Hacker分為四個(gè)層次:最底層的被稱為“腳本小子”,他們沒(méi)有工具研發(fā)能力,只能夠利用別人的腳本進(jìn)行攻擊,這部分人占到目前白帽子整體人群的90%以上;第二層Hacker有安全理念、具備代碼審計(jì)和安全攻防能力;第三層,不僅有自己的想法,也具備工程化的能力,可以利用自己的開(kāi)發(fā)工具深入挖掘漏洞,能達(dá)到這一層次的Hacker,國(guó)內(nèi)不足千人。再往上,就是能夠思考安全的本質(zhì),提出完整安全解決方案的Hacker。能到這一層次的都是行業(yè)精英,國(guó)內(nèi)能有五十個(gè)就不錯(cuò)了。盡管像BAT這樣的互聯(lián)網(wǎng)公司為這些人開(kāi)出百萬(wàn)元以上的年薪,卻依然很少有人能做到。
就在接受《IT時(shí)報(bào)》記者采訪前不久,H剛剛拒絕了來(lái)自互聯(lián)網(wǎng)巨頭之一的邀請(qǐng),他說(shuō)自己有小伙伴進(jìn)了那里的安全團(tuán)隊(duì),每天都心系“整個(gè)國(guó)家的信息安危”,這樣大的“壓力”讓他有點(diǎn)受不了。他更喜歡自由,但同時(shí)也承認(rèn),在國(guó)內(nèi)真正算得上Hacker中的頂尖人物,能夠做到完全獨(dú)立又能養(yǎng)活自己的很少,“太多人都耐不住寂寞。”
最大對(duì)手是名利
國(guó)內(nèi)頂尖人才少,關(guān)鍵不在錢(qián)少,而是在錢(qián)太多。“因?yàn)槠鸩捷^晚,我們之前與國(guó)外頂尖Hacker的技術(shù)差距有十年,但現(xiàn)在看來(lái),這一差距并沒(méi)有縮小。”
對(duì)于Hacker圈來(lái)說(shuō),最大的對(duì)手并不是黑客犯罪者,而是“名利”。“我們中的很多人都舍不下名利,放棄了最初的鉆研。加入BAT的大圈,加入了所謂組織聯(lián)盟的建設(shè)中。”H說(shuō)。W是國(guó)內(nèi)最早一批進(jìn)入安全圈的Hacker,在當(dāng)時(shí)的Hacker團(tuán)隊(duì)中,他絕對(duì)屬于頂尖高手。但隨著名氣越來(lái)越大,最終,他離開(kāi)了團(tuán)隊(duì),獨(dú)立搭建了安全平臺(tái),但也從那個(gè)時(shí)期開(kāi)始,他再也沒(méi)有在論壇上發(fā)表過(guò)任何安全技術(shù)的研究報(bào)告,而是經(jīng)常亮相于各種活動(dòng)中。
“一些優(yōu)秀的白帽子進(jìn)入了BAT和360等大型互聯(lián)網(wǎng)公司后,由于各種限制變得越來(lái)越封閉,技術(shù)就停留在一定水平再也無(wú)法突破了。”據(jù)一位業(yè)內(nèi)人士透露,目前一批頂尖Hacker高手已悄然被BAT三家巨頭收入門(mén)下。這對(duì)于行業(yè)發(fā)展形成新格局的同時(shí),也帶來(lái)一定制約。