在普通人眼中,黑客的印象更多來自於影視,坐在一臺電腦前面對網絡,轉瞬便能攻破各種系統,施展出自己的「黑客魔法」。那麼,現實生活中的「白帽黑客」,是一個怎樣的存在?他們真的亦正亦邪能夠自由穿梭在黑白邊緣嗎?近日,北京晚報記者採訪了三名90後「小鮮肉」黑客,看看新生代「白帽黑客」的真實狀況,跟你想的可能不太一樣。
黑客能盜取社交帳號嗎?
上午9點,在位於海澱區北四環西路的中國技術交易大廈內,三名90後安全研究員開始了一天的工作。相比於略顯平淡安全研究員,他們有個更酷炫的頭銜——「白帽黑客」。但讓記者略意外的是,他們均表示自己內心對「白帽黑客」的這一稱呼並不認同。
提起「黑客」,來自北京交通大學的吳澤楷,內心有著特有的驕傲,「『黑客』從來不是指那些不負責任,利用低等技術手段去肆意侵犯他人隱私,危害信息安全的破壞者與犯罪者,那些人叫『駭客』。」
吳澤楷今年只有21歲,是枚標準的「95」後,提起「黑客」滿懷熱情,又帶點對自己技術不甚自信的小青澀。在他看來,「黑客」更多是一群對計算機文化,對計算能力,對網際網路文化充滿敬畏和狂熱的技術專家。與其他「半路出家」的黑客不同,吳澤楷的大學專業就是信息安全。「正是我在課堂上見到了太多高危險等級的病毒給社會帶來的危害,才會對破壞信息安全的行為深惡痛絕。」他告訴記者,自己之所以選擇成為一名「白帽黑客」,正是源於那股在課堂上湧出的「守護」情結,「感覺自己想做一名騎士,想去對抗眼前網絡的黑與惡。」
提起行外人對黑客的刻板印象與誤解,吳澤楷與同伴相視一笑,略無奈地說:「十個阿姨輩的人,九個都會問我,你是黑客,你能幫我打開別人的社交帳號嗎?」對於這個經典誤解,吳澤楷表示,黑客肯定不能盜取他人的社交帳號,「因為《安全法》有明確規定,搞不好判刑三年。更何況,哪怕我們有這個技術能力去實現,也絕不會做,這和我投身這個職業的初衷是完全相背離的。」
值得一提的是,德國安全研究實驗室首席科學家Karsten Nohl對「黑客」行為的理解更為有趣,他曾在去年發現谷歌、三星、小米、中興等安卓系統存在不完整補丁而收到多家廠商感謝。「我認為接近和理解黑客行為的最好途徑是把它看成一項運動,一項腦力與體力的競賽。它主要是去解決挑戰和謎題,根本不是要侵入一個真正的系統,跟犯罪活動更是無關。」 Karsten告訴記者,黑客就像運動員,只有通過不停挑戰,不停完成一個個目標,才能在技術上變得越來越強。
黑客都是電腦天才嗎?
畢業自北京大學的秦策,出生於1992年。在他的身上,記者看到了典型的「黑客氣質」:為人略靦腆,回答前多有思考,話不多但時有灼見。「很多人覺得我是黑客,我就一定很聰明,聰明到能轉瞬攻破各種網絡系統。」秦策聳聳肩表示,其實自己每日的工作並沒有大家想像的那麼刺激,「哪有動不動就掀起網絡攻防戰,挖掘並分析常用軟體和主流作業系統安全漏洞才是日常。對於我來說,可能在辦公桌前低頭看一些有關瀏覽器的國外研究論文和源碼,再分析分析漏洞,就是緊張充實的一天。」
儘管畢業自一流高校,但秦策常常覺得自己的智商在「坐過山車」。「我只有在挖到漏洞的那一剎那才覺得自己很聰明,而此前搜尋的漫漫時間裡,我都覺得我自己特別笨。」秦策告訴記者,自己常常會花好幾個月的時間去研究一個查勘系統,去一點點讀代碼,理解代碼的行為邏輯,設計思路,「整個過程非常煩,只有不斷把碎片化的知識匯總,有一天突然找到聯繫,豁然開朗。」
挖掘作業系統漏洞,與國際網際網路廠商「鬥智鬥勇」並不容易。「像蘋果、谷歌,他們的程式設計師都是世界一流的,資源也非常豐富,他們開發出來的軟體,幾乎不可能有簡單漏洞,何況他們自己也在有意識地不斷查找、彌補漏洞。」秦策說,自己有時候一個人工作到深夜,感覺自己要去對抗交手的,都是這個世界上的頂尖程序精英,「相比於天分,這一行裡努力和勤奮更重要,要耐得住寂寞,也能坐得了很長時間的冷板凳。」
然而,不是每一個人都有著這樣日復一日的耐心與持之以恆的毅力。「我的專業是軟體工程,我們那屆有50多個研究生,畢業後出來從事安全的,只有我們寢室的三個人,大部分都去做了軟體開發。」秦策笑著說,短期來看,軟體開發更能收益更高,如果不是由衷熱愛信息安全,很難捧起「黑客」這個飯碗,「我每天除了吃飯睡覺,經常研究到凌晨三四點回家,早上九點多就又到實驗室來。我不覺得辛苦,而是覺得時間不夠用,每一天總會有新的挑戰要解決,新的問題在等待。」
孤膽英雄已不太能成功
「有些人想像我的工作狀態時,會把我想像成一個『孤膽英雄』,一個人,一臺電腦,在略顯狹小的辦公空間裡日復一日地敲擊代碼、找到漏洞並拯救整個軟體或作業系統,但這早就是很多年前的『刻板印象』了。」宋凱畢業自哈爾濱工業大學,雖然是90後,但卻已斬獲不少輝煌戰果:他曾連續三年入選微軟MSRC全球TOP100貢獻者榜單,最高排名第12位。
「如今團隊合作非常重要,每名黑客擅長點和聚焦領域不同,搭建起來才是一個完整的團隊,實現資源投入產出最大化。」宋凱表示。這種團隊合作重要性往往能在緊急時刻凸顯出來,「在2017年的Pwn2Own大賽中,微軟提前一天發布新補丁,導致我們的參賽備選方案直接被補掉,這個時候你不但不能慌,還要幫助其他人去調整情緒,調試新的方案,沒有團隊日常建立起的分工協作和相互鼓勵是不可能做到的。」
如今「黑客世界」對團隊合作的重視,也讓白帽黑客非常熱衷與世界上其他黑客的交流溝通。「你需要打開全球化視野,去看世界上其他黑客在做什麼,從而學到最新的經驗。」宋凱告訴記者,最近他在AsiaSecWest國際安全技術峰會—亞洲站發表了主題演講,提出了將瀏覽器內存安全漏洞轉化為任意代碼執行的新方法,「對我來說,沒有比站在一個世界級的信息安全技術交流平臺上分享中國網絡的解決思維更激動的了。」
「有一種黑客精神,叫技術至上、開放分享。」宋凱說,自己在AsiaSecWest國際安全技術峰會上見到了很多國際大咖,他們來自不同背景或領域,有埃因霍芬理工大學的安全教授,也有深諳海軍導航技術頂級黑客。」宋凱表示,讓他印象特別深刻的,是不少外國的「白帽黑客」自掏腰包,購買1400美元一張的門票一場講座不落地聽了兩天,很認真地記筆記,「這種精神特別打動我,也讓我意識到,國際上很多白帽黑客很全能,一個人可以擅長非常多的不同方面,靠的就是不斷交流學習,厚積薄發。」
來源:北京晚報 本報記者 袁璐 文
編輯:TF001