什么？攜程、360們都在雇傭黑客

　　提到黑客大部分人可能會戴上有色眼鏡去對他們評頭論足，竊取個人隱私、危害企業安全，甚至于進行國家網絡設施破壞，這些都是大家在電影中所看到的黑客。

　　而在現實中，黑客并不都是大家所想象的那般。黑客其實是由外語Hack音譯而來，又稱駭客，本身并沒有任何貶義成分在其中。黑客大致可以分為三種“顏色”：白、黑、灰。那具體又是如何來進行劃分的呢?

　　360安全獵網平臺負責人裴智勇用一個形象的比喻進行了說明：“黑客這個詞在安全上沒有褒義和貶抑，分白帽子、黑帽子或灰帽子，看到你家門沒關進去偷東西的是黑帽子，看到你家門沒關進去偷完東西的再告訴你把門關了是灰帽子，看到你家門沒關告訴你關上的是白帽子。”而我們今天所要說的就是代表正義的“白帽子”。

　　3月30日，補天白帽大會在深圳舉行。大會由補天漏洞響應平臺主辦，指導單位包括國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心、中國信息安全測評中心和國家信息技術安全研究中心。360互聯網安全中心、hacker one、 聯想SRC，百度SRC等30多家企業和機構均派出代表參加。

　　“萬物互聯”下的安全憂患

　　如同人類用語言進行表達時，會經常出現語法、邏輯上的錯誤一樣，計算機語言中的“語法錯誤或邏輯性錯誤”，都叫做“漏洞”。齊向東說，“漏洞很容易被人拿來進行網絡攻擊，就像我們說話不注意出現了瑕疵之后讓人抓住了把柄，‘有心之人’會拿住這些話反過來攻擊我們。在計算機領域也是一樣”。

　　漏洞被非法利用有何危害?齊向東認為危害在不同時期有著不同的嚴重性：在以內容和應用為核心的“消費互聯網”時代，被網絡攻擊會丟隱私、丟錢，會“傷財”;而在已經來臨的以大數據為核心的“工業互聯網”時代，互聯網背后是生產線、控制系統，直至萬事萬物。一旦遭受網絡攻擊，會控制失靈、車毀人亡，危及生命，是“損命”。

　　近兩年，全球范圍內先后發生了多起引起廣泛關注的，針對工業、能源等關鍵基礎設施的攻擊，除了竊取敏感數據以外，更多是以直接破壞工業設備系統為目標，使目標系統癱瘓、日常作業流程無法正常運轉，嚴重者可大面積威脅百姓生命財產安全。2016年4月，德國核電站原料添加系統遭遇網絡攻擊，檢查人員發現系統內被植入破壞性木馬，安全起見，核電站被臨時關閉;去年，卡巴斯基掃描了全球170個國家和地區的近20萬套工業控制系統，其中92%都存在安全漏洞，有遭遇黑客攻擊、接管甚至破壞設備正常運行的風險。

　　有統計顯示，網絡攻擊每年給企業造成的損失高達5000億美元，這個數字每年還在大幅上升。在針對企業的攻擊中，重點關注的領域依次是：通信網絡、電子電器、海洋與港口、能源化工、交通運輸、航空航天和網絡安全。2015年，菲亞特克萊斯勒汽車美國公司在美國召回旗下大切諾基、自由光等車型共140萬輛汽車，原因是這些車型存在重大安全漏洞，可能會讓黑客遠程劫持車輛。

　　安全是發展的前提，在工業互聯網時代，網絡安全至關重要。今年2月，國家發展改革委已批準由360公司牽頭承建大數據協同安全技術國家工程實驗室，重點開展數據匯聚隱私保護、數據防泄漏、系統漏洞分析、安全協同分析、大數據系統風險評估與安全監測等技術的研發和工程化工作;美國國防高級研究計劃局日前啟動開發項目，核心目標是開發能夠檢測且自動響應針對美國關鍵基礎設施的網絡攻擊的技術，參與者包括雷神公司、斯坦福研究院等主要供應商，還包括美國國土安全部和其下屬的工業控制系統網絡應急響應小組等政府機構。網絡安全防護，正在成為國家基礎設施領域建設的重要部分。

　　眾測之力鎖牢安全屏障

　　在世界范圍內，科技型公司和重視品牌建設的企業，已經在“挖漏洞”上先行一步。美國知名漏洞眾測平臺HackerOne首席運營官王寧表示，越來越多的美國公司意識到，過去僅僅依靠幾名技術人員維護安全的做法已經過時。除了加強安全團隊建設，這些公司也開始與第三方平臺合作，借白帽黑客眾測之力，鎖牢安全屏障;近年來，我國不少企業也紛紛組建安全應急響應中心，提高安全防御能力。在烏云、補天、威客眾測等第三方漏洞響應平臺上，企業授權白帽黑客進行漏洞挖掘，并根據漏洞的危害程度、影響范圍提供相應獎勵，激勵越來越多的黑客戴上象征正義的“白帽子”。

　　以國內最大的在線旅行服務商攜程旅行網為例，攜程有開發人員3000多人，卻只有40名安全人員。在攜程旅行網信息安全總監凌云看來，“以40人之力保障由3000多人開發出來的程序的安全性，毫無疑問是不夠的”。攜程希望借助白帽黑客的力量讓其系統更安全，過去一年，攜程為各大漏洞響應平臺的白帽子支付了約百萬元獎勵。

　　“網絡安全生態體系的建設必須群策群力、久久為功，單靠一家公司、一個組織是不可能完成的。技術共享、人才共享和更廣泛、更及時的漏洞響應是未來的趨勢。”齊向東說。國內的補天平臺注冊白帽已達到31633名，他們自2013年起累計發現了20多萬個漏洞，企業為這些白帽發出獎金近900萬元;美國的HackerOne已擁有來自150多個國家的注冊白帽約11萬名，他們自2013年起累計發現了18萬多個漏洞，其中有4萬多個漏洞已經被修復。

　　精英白帽的“自我修養”

　　為了更加貼切的了解白帽黑客，我們也對補天平臺的兩位白帽子“U神”和“華不再揚”進行了交談，在和他們交談過程中我們了解到，白帽子在日常的挖漏洞工作中會受到種種誘惑，據初步估計，黑帽子一天的收入就可以和白帽子辛苦一個月的挖漏洞所得相媲美。

　　如果仔細觀察大家不難發現，白帽子團隊成員普遍為85后、90后甚至95后的年輕人，這是這群略顯稚嫩的年輕人在巨大的利益面前經受住了金錢的誘惑，對他們來講實屬不易。當然這都得益于補天為這些年輕的白帽提供了發展平臺，對白帽子進行法律培訓，技術培養，才使得他們能夠用技術去造福社會，而非對社會造成危害。

　　大多數白帽黑客，有著與“華不再揚”相似的特征：年輕激進、性格單純、學歷不高但對技術十分狂熱。這些涉世未深的白帽黑客，在網絡空間中俠肝義膽、叱咤風云，但現實世界里他們出自善意的“挖漏洞”行為，卻可能給自己招來大麻煩。

　　2015年，烏云網某注冊白帽提交了某婚戀網站一個涉及大量會員信息的漏洞，當時該網站確認了這一漏洞，向白帽致謝并予以修復。不過，該網站隨即向公安局報案稱“有4000余條實名注冊信息被不法竊取”。不久后，以涉嫌“非法獲取計算機系統數據犯罪”之名，該白帽被逮捕。

　　這一事件在黑客中掀起了軒然大波。一位普通白帽，不牟取任何私利，只是義務檢測漏洞，發現漏洞后告知廠家，也算是犯罪嗎?

　　在齊向東看來，這個案例反映出企業和白帽黑客之間的微妙關系：不敢溝通、不敢交流，互不信任。他用了一句俗語來形容這個關系：“麻桿打狼兩頭怕”。

　　“盡管多方力量嚴加把控，白帽的不少細微動作仍可能在無意中碰觸邊界。‘挖洞’時必須盡量低調、點到為止。”經驗豐富的白帽“U神”說，“對于黑色產業尤其要多加小心。許多進入黑色產業的人，最初是因為生活壓力需要賺更多錢，他們認為可以做一次就‘金盆洗手’，但感受過黑色產業的賺錢速度后，就會鋌而走險繼續干，直到陷入深淵”。

　　“華不再揚”比照佛教中的“力戒‘貪嗔癡’三毒”，來形容白帽黑客自我修養的最高境界。“戒貪。要認清自己的原則，遵照漏洞挖掘測試規定的事項，發現安全風險，協助廠商解決問題;戒嗔。或許有些漏洞計劃，獎勵不能如自己所愿，也不要計較;戒癡。雖然黑色產業的誘惑很大，但不可隨波逐流，要理智地看待問題。”

　　時代巨輪滾滾前行，工業互聯網如約而至。繁雜的互聯網生態與多變的人性，為黑客的色譜添上無窮的灰度。顏色深淺各異的黑帽、白帽與灰帽，在網絡叢林間展開的對抗與博弈，或許才剛剛開始。