《大西洋月刊》報(bào)道稱，網(wǎng)絡(luò)安全專家基斯·洛克（Chris Rock）是個(gè)非比尋常的“殺手”。在今年的世界黑客大會DEFCON上，洛克展示了黑客如何通過醫(yī)生的信息系統(tǒng)生成一個(gè)真正的“死亡”證書，這樣，想讓誰死，誰就能死。而黑客背后的動機(jī)，也許就是為了復(fù)仇，或者是想竊取人壽保險(xiǎn)利益等等。

洛克從去年開始調(diào)查這些黑客，當(dāng)時(shí)墨爾本醫(yī)院錯(cuò)誤地發(fā)行了200張死亡證明。而入侵醫(yī)療系統(tǒng)信息系統(tǒng)不僅能讓人死，也能讓人生——洛克也揭露了黑客能夠偽造出生證明，造出一個(gè)虛假嬰兒的漏洞。犯罪黑客為他們申請社會保障號、工作，申請結(jié)婚等等。洛克的演示意味著，黑客有了下一代的身份盜竊技術(shù)，能夠產(chǎn)生新類型的洗錢和保險(xiǎn)欺詐行為。

在黑客世界中，基斯·洛克（Chris Rock）是著名的“白帽子”——有道德正義感的正面黑客，主要負(fù)責(zé)識別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。幫助單位組織在被其他人（例如黑帽子）利用之前來修補(bǔ)漏洞。近年來，隨著各類公司都要聘請像洛克這樣的白帽子來對網(wǎng)絡(luò)犯罪進(jìn)行防御，白帽子的身價(jià)也越來越高。

但是，要與老練、狡詐的黑帽子作斗爭，白帽子黑客產(chǎn)業(yè)還有很長的路要走。

黑客暗戰(zhàn)如此艱難，其實(shí)不是技術(shù)的原因

美國國家情報(bào)局今年早些時(shí)候公布的一份報(bào)告顯示，網(wǎng)絡(luò)犯罪是全球安全的頭號威脅，嚴(yán)重于恐怖襲擊和大規(guī)模殺傷性武器。報(bào)告指出：“2014年，惡意的網(wǎng)絡(luò)活動規(guī)模和次數(shù)都在增長，比如企業(yè)數(shù)據(jù)被盜、個(gè)人身份信息被盜（PII）等等。”據(jù)統(tǒng)計(jì)，去年大約有10億個(gè)身份數(shù)據(jù)被盜用。

普華永道全球及美國網(wǎng)絡(luò)安全主管大衛(wèi)·伯格（David Burg）表示，公共數(shù)據(jù)泄露——像Ashley Madison被拖庫、索尼黑客事件等等——而這只是黑客犯罪活動的前奏。這些數(shù)據(jù)的盜用涉及身份信息盜用、偽造信息套現(xiàn)信用卡等等，或者許多未曾公開過的經(jīng)濟(jì)間諜輸出本應(yīng)被保密的健康信息等等。“網(wǎng)絡(luò)攻擊行為背后都蘊(yùn)藏著巨大的商業(yè)鏈。分分鐘涉及全球中數(shù)億萬美元的財(cái)富轉(zhuǎn)移。”

在回應(yīng)網(wǎng)絡(luò)攻擊的需要之下，一些大公司已經(jīng)增加了安全防御的資金投入。根據(jù)PwC的報(bào)告，在過去的兩年中，美國公司在網(wǎng)絡(luò)安全方面的預(yù)算已經(jīng)平均提高至信息技術(shù)投入預(yù)算的兩倍之多。一些公司聘請像洛克一樣的外部信息安全專家來承擔(dān)對其軟件系統(tǒng)進(jìn)行滲透性測試的工作——像黑客攻擊那樣，攻擊自己的系統(tǒng)來發(fā)現(xiàn)漏洞。另外部分公司是推出Bug Bounty項(xiàng)目來懸賞漏洞。

這些項(xiàng)目也有可能是內(nèi)部運(yùn)行——比如谷歌，該公司自2010年起就建立起自家的Bug Bounty系統(tǒng)，對每個(gè)漏洞懸賞2萬美元——又或者外包給HackerOne和BugCrowd一類的獨(dú)立公司。

HackerOne首席技術(shù)官（CTO）、Facebook產(chǎn)品安全團(tuán)隊(duì)組建人亞歷克斯·萊斯（Alex Rice）表示，HackerOne的全球網(wǎng)絡(luò)中，大約包括2000名付黑客，他們大多數(shù)都有一份正經(jīng)的全職工作，黑客只是兼職項(xiàng)目。Synack主要為客戶提供訂閱系統(tǒng)防御方案，該公司CEO卡普蘭（Jay Kaplan）稱，旗下的黑客基礎(chǔ)遍布35個(gè)國家，部分將白帽子作為副業(yè)，而另一部分則完全依靠白帽子事業(yè)來養(yǎng)活自己，尤其是在中國、印度、東歐等欠發(fā)達(dá)的地方?？ㄆ仗m透露，支付給白帽子的報(bào)酬很大程度上有項(xiàng)目性質(zhì)確定。“市價(jià)由該項(xiàng)目的覆蓋范圍和對組織的影響力大小來決定。”

然而在許多情況下，許多白帽子其實(shí)難以維持生計(jì)?？死蛱?middot;里戈（Clifford Trigo）一名來自菲律賓保和市的22歲全職白帽子，2014年加入HackerOne。他的收入主要依靠Bug Bounty項(xiàng)目懸賞和測試演示，不過，Bug Bounty的機(jī)會并不多。一般來說，里戈幾個(gè)月才會找到一個(gè)價(jià)值幾千美元的bug。“如果有新的bug-bounty下來，我通常可以將它當(dāng)作一筆大收獲了，”里戈說道。但更多的是，“你也可以做上幾個(gè)小時(shí)的研究，然后拿到50至100美元的報(bào)酬。”里戈表示，他認(rèn)識好一些白帽子黑客，為了增補(bǔ)收入不惜去參加一些骯臟的活動，比如利用自己的技術(shù)來獲取人們的信用卡信息。

既然能防御，也就能攻擊

這些“灰帽子”黑客暴露了科技行業(yè)的窘境：防御所需要的技術(shù)，與攻擊所用的相同。洛克指出，白帽子也會從事黑帽子性質(zhì)的行動，而且這樣的情況還有可能繼續(xù)擴(kuò)展。“許多公司聲稱不會雇用黑帽子，但大多數(shù)情況他們還是會這么做。”

前美國國安局反恐分析師卡普蘭對此并不同意。“Synack對所有的候選研究人員都采取周密的面試和背景調(diào)查。”

大衛(wèi)·伯格則認(rèn)為，聘用白帽子的的好處要大于風(fēng)險(xiǎn)。“愿意接受漏洞排查的組織和第三方獨(dú)立機(jī)構(gòu)的研究員都有能力把控網(wǎng)絡(luò)威脅。”而且，未來政府組織仍會有相關(guān)政策和行動支持白帽子黑客產(chǎn)業(yè)的發(fā)展，比如10月剛通過參議院審議的法案，呼吁了聯(lián)邦政府降低網(wǎng)絡(luò)安全威脅情報(bào)機(jī)密度，讓私營企業(yè)能夠獲得更多的信息。