一封封信從遠方寄來,彙集成整整三摞。信裡是用鉛筆認真寫下的歪歪扭扭的字:“有了這些包裹,我再也不用跟同學借文具了。”
這是工程師木雁收到的一份沉甸甸的禮物。
過去幾年的業餘時間裡,他通過“公益眾測”的形式,用自己的計算機技術給各大企業的網站查找存在安全隱患的漏洞,賺得24萬餘元的獎金。
繁複枯燥的代碼,冰冷中立的技術通過木雁高速運轉的大腦,轉變成了切實可見的溫暖與愛心。這筆鉅額獎金後來變成了一個個裝滿畫筆、水彩筆等禮物的愛心包裹,送到了千里之外,貧困的孩子手裡。
看似輕而易得的獎金背後,是木雁十幾年來對於技術的痴迷與信仰。他與其他一同參加眾測的大多數工程師們一樣,來自一個共同的群體——“白帽子”。
“白帽子”們大多默默無聞地守護在屏幕後面,如果你深入瞭解他們的工作,就會發現他們執行的每一項操作,正與我們的安全生活發生著千絲萬縷的聯繫——我們的手機電腦、賬戶信息等無時無刻不被他們守護著。
看似冰冷中立的技術背後,是這些極客們從年少時期萌生的對於真理與未知的追求,以及對於技術的尊重與理想如何讓他們成為今天的自己,如何用技術反哺虛擬網絡以外的複雜世界。
文 | 夏桑
白帽子
黑客裡也有黑白之分,白帽子與駭客。
他們所做的內容相似:通過代碼尋找計算機與網絡系統中的安全漏洞。白帽子發現漏洞後,會通過提示和公佈等方式,促進漏洞的修補;駭客則進行技術攻擊牟取利益。
如今的木雁是一名碩果累累的白帽子,也是阿里巴巴安全部的安全專家。穿著標準式程序員襯衫的他話不多,回答不上問題時靦腆地笑著。實際上,他是所有安全技術人員中最深藏不露的一個。
在阿里巴巴的“先知”公益眾測的排名中,木雁排名榜首,提交漏洞所獲的獎金幾乎是第二名的5倍,這樣的成績說明,木雁所提交的漏洞在數量和重要程度上都是遙遙領先的,在這場工程師們的業餘比賽裡,木雁投入的精力超乎想象。
2017年阿里巴巴的先知白帽大會 圖 / 網絡
“漏洞”、“眾測”等技術領域的詞彙似乎離我們很遠,甚至有許多人不能理解,為什麼要招募一批白帽子來攻擊自己的網站,給自己增添棘手的修補麻煩?實際上,這種自覺接受攻擊挑戰的另一面,是不斷鞏固自身的屏障。
阿里巴巴安全部高級技術專家千劍向每日人物列舉了“漏洞”對於普通人生活的重要影響。比如網購時商家、快遞的系統裡有無數用戶的信息,如果這些平臺的系統不加以防範,駭客們很容易攻入薄弱的屏障,攫取用戶的資料信息,轉賣數據或者進行詐騙。白帽子的存在,正是為了不斷提升系統的安全性。
有意思的是,因為常年在安全領域與駭客對抗,白帽子們在日常生活中都有相似的防備習慣。他們手機裡幾乎都有一款專門用以儲存密碼的軟件,除此之外,他們的安全意識無所不在。比如,他們寧願用自己手機流量開熱點,也不會去連公共場所的WiFi;他們中有些人甚至會買一個專門的手機號收取快遞……
身處其中,他們更加深了自身的安全使命感。
如今,從事安全工作多年的木雁所做的工作是“攻”的一方,他與同事們分為兩隊,木雁模擬駭客通過漏洞進行攻擊,同事的隊伍則負責抵禦,這是阿里安全於2016年在國內創立的紅藍軍攻防體系。
7月的杭州綠樹葳蕤,蟬鳴不絕,這些工程師每天的工作框定在了眼前的電腦屏幕裡,閃動的代碼,此起彼伏的鍵盤敲擊聲,一場場無聲的模擬戰役時刻在上演。
Blur
白帽子的起點,大多起於他們的少年時代。
談及入門時刻,許多白帽子都會提到一本雜誌《黑客X檔案》,這是他們通往這個群體的秘鑰。在這本網絡安全雜誌裡,少年白帽子們對照著教程一步步學習windows系統、編程語言。一些簡易的黑客把戲讓他們興奮不已,木雁記得最早很多黑客會在QQ空間裡輸入一串代碼,刷新空間裡的裝扮。
《黑客X檔案》,該雜誌已於2013年停刊。 圖 / 網絡
當時,年輕的他還沒有完全意識到技術帶來的危險一面。因為缺乏疏導與管制,一部分還未成長為白帽子的黑客們轉向了駭客的歧途。程序員朗澤也是混跡多年的白帽子,他聽說,身邊很多做技術的朋友的QQ總會收到一些“黑產”的邀請。“黑產”意味著網絡安全中的黑色產業鏈,擁有黑客的技術人員通過各種手段攻擊網站,盜取遊戲裝備或者用戶信息。
巨大的利益誘惑擺在面前,年少無知的白帽子經常如履薄冰地處在黑與白的邊緣。熟知業內行情的人都清楚,一些從事黑產的駭客一個月的收入能達到上百萬。但從此他們都過上了擔驚受怕的日子。
此前的一份關於網絡黑色產業鏈的數據報告也顯示,從業者大多是年齡介於15至25歲之間的無業年輕人。木雁說,如果身邊有哪個朋友突然消失了,他們要不是從事黑產逃到了國外,就是被逮捕了。朗澤則記得當時有一個相熟的好友還在教室裡上課,就被警方帶走了。
“其實拋開這些因素看,他和我們平常一起搞安全的人沒有什麼區別,他也會跟我們討論技術。他們可能沒有意識到後果的嚴重性,心想跟平時當白帽子時去挖漏洞一樣的。”許多年後,已經成為一名高級工程師的千霄為昔日的好友惋惜。
這些最後能夠在安全領域成為工程師的白帽子,其實是被篩選過的人。篩選的標準與機制裡,有時機,有技術能力,有道德與正義,也有難以把握的命運。
互聯網安全技術高速發展的美國,在更早的時期就發現了白帽子群體中的尷尬問題。我們可以在將近20年前的《紐約時報》中找到當時的人們對於白帽子的憂慮——“Blur”,他們用這個詞,“模糊不清的事物”來定義這個群體——“在黑客的世界裡,好人與壞人常常是模糊的。”
當時,美國一些互聯網公司的做法是,專門為青少年白帽子們開設網絡安全課堂,讓那些平均年齡只有16歲的孩子學習Mac或Unix操作系統,以及編寫計算機程序。更重要的是,教會他們“use their skills for good instead of evil”,在技術的世界裡,擇善而從。
善意
幾年後,相似的“for good”做法在中國出現。
首先是白帽子們在身份上的自我認同。早年的報道中記錄過彼時白帽子們尷尬的處境:一位鑽研了一整夜技術的白帽子在早上準備睡覺時,發現電視裡“神5”上天了。他不無心酸地說:“這才是科學。我天天以為我做的是高精尖的東西,實際上發現它沒有發揮什麼價值。”
朗澤也在大學階段發現了網絡安全行業的稀缺與尷尬,因為從事互聯網安全工作的人員太少了,更別提從事教育的專業人員。學生們在課堂上基本學不到真正的互聯網安全知識,全班100多號人裡,最後只有朗澤一個人成為了安全工程師。
其次是廠商的認可。過去,白帽子向廠商提交漏洞,有些廠商認為這是來自白帽子們的要挾與挑釁,被指出漏洞,意味著他們要花費成本進行修復。這涉及到更深遠的觀念問題,一個人,一個企業如何看待自己身上的“錯誤”,它是意味著不好的東西,還是能使自己更加完善的東西。
改變正在發生。一些具有前瞻性的企業開始設立了網絡安全的崗位,讓那些具備相應技術能力的白帽子有了一個更加明確而正式的身份:安全工程師。
出生於1992年的千霄恰好趕上了這樣的好時機,他與白帽子們有著相似的成長軌跡,在黑客技術裡萌生了對計算機技術的熱愛,大學時選擇了計算機專業。大學期間,他在阿里巴巴舉辦的CTF大賽(一項網絡安全技術競賽)中拿到第二名,畢業後直接到了阿里雲的安全部門工作。
2016年,阿里雲主辦的“先知”公益眾測平臺上線,“先知”計劃搭建起了一個平臺,聯結了企業機構與白帽子兩端,讓優秀的白帽子在授權的情況下,在企業的系統中查找漏洞,有的放矢地向廠商提交漏洞。而根據每個漏洞的危險等級,白帽子們會收穫相應數量的獎金,獎金會投入到公益事業裡。
有人開玩笑稱,這個項目正是發揮了技術人員“宅”的特性,“一個月坐在家裡十幾個小時就可以向公益組織捐錢”。如今,阿里巴巴已經有超過60位安全工程師加入了先知公益計劃,漏洞獎勵的金額已經累計100多萬元,其中的46萬捐贈給了中國扶貧基金會的“愛心包裹”項目。
加入“先知”平臺之後,木雁的週末常常是在電腦前度過的,有時候吃完午飯坐下來,再一抬頭已經到了晚飯時間。如今,他已經累計捐贈了自己斬獲的24.62萬元獎金,這意味著,有2462名小朋友收到了他的“愛心包裹”。
對於木雁而言,這些包裹就像一種善意的輪迴。過去的他家境貧寒,高中時,一筆2000元的扶貧基金讓他擁有了第一部智能手機。由此他進入了新的世界,進入了白帽子的圈子。技術帶給他幸運,現在又讓他給他人帶來幸運。
收到“愛心包裹”的小朋友們寄來的感謝信。 圖 / 受訪者
冒險的,迷人的
技術帶來的,還有一些更深遠的東西。
“綠洲”,是木雁對於自己大腦中世界的形容。他說自己的大腦就像一個個根據代碼區隔開的房間,就像《頭號玩家》裡的“綠洲”一樣。過去他也與其他白帽子在線下聚會、見面,正像《頭號玩家》裡遊戲對手在現實中見面的場景。一些在代碼的字裡行間看起來強大無比的人,現實中卻很瘦弱。
在大學期間,千霄每年都會和隊友們一起到全國各地參加CTF等安全技術比賽,除了豐厚的獎金和獎品之外,激烈的比賽過程是他直到現在都清晰記得的美好回憶。
參賽的隊伍分佈在賽場的各個區域,各自在電腦上進行進攻與防守,攻破對方的靶機,防止對方拿到自己的key。戰火通過噼裡啪啦的鍵盤聲此起彼伏,講解員不斷地講解著比賽賽課,大屏幕上實時顯示著每個隊的攻擊流量。每當一個隊伍成功攻破了另一隊防線時,屏幕上的虛擬大炮就會射出一枚炮彈。
“轟”,像一場真正的戰役。
2016年的世界黑客大師賽(WCTF)在北京舉行。 圖 / 網絡
技術能力並不是唯一的決定因素。無論是在比賽還是在現實的攻破中,白帽子常常面臨一連幾天毫無進展的情況,考驗人的是在煩躁的情況下保持耐心與細心。
千霄深知那種沉浸其中的感覺,“就像有10萬行代碼,每天看一萬行,可能都沒有發現問題,突然有一天你看到這個地方,這個人寫代碼的時候發了一個小錯誤,讓你發現了一個漏洞,你會有一種眼前一亮的感覺。”
“挖漏洞其實是在找人性的漏洞。”這是看似冰冷的技術裡最深邃迷人的地方,“所有代碼都是人寫出來的,你找漏洞其實是在找寫代碼的人思維上出現的漏洞。”
當技術越來越深入的時候,白帽子們追求的是一種對於技術的超越,那是物質利益無法滿足的東西——真正掌握一種未知事物的力量感。正如千霄提到的最有成就感的時刻,你從對方的代碼中讀出對方是個高手,最後你發現了他的漏洞。
採訪的這一天,千霄與阿里雲園區的其他程序員著裝相似,一件T恤,一條牛仔褲。他的黑T恤上印著3個英文字母,不太在意外表的千霄似乎之前沒有發現過自己衣服上的這些印記。在他興致勃勃地描述著年少時延續至今,沉浸在查找漏洞的快樂時,這些單詞恰好給他和白帽子們寫下了註腳:
Freedom,Passion,Adventure.
想看更多,請移步每日人物微信公號(ID:meirirenwu)
閱讀更多 每日人物 的文章
