如果把互联网比作江湖,那么黑客就是江湖中的“风云儿女”,攻守交错,正邪不两立,吃瓜群众多以帽子的颜色来给他们划分善恶与派系,比如,“黑帽子黑客”、“白帽子黑客”这样大家可能有所耳闻的,还有“灰帽子黑客”、“红帽子黑客”、“蓝帽子黑客”。
绿林人士的统称:黑客
很久很久以前,“黑客”一词并非贬义,而是指专门研究、发现计算机和网络漏洞的计算机的狂热分子。
他们中的一拨人入侵电脑,主要是为了证明自己的才能、实现想法,并有着自己的一套原则,比如不随意篡改计算机上的数据,迫不得已修改的最后还要改回来等,是黑客的主要构成人员;
但是渐渐的,黑客中另一拨人开始干起了窃取信息甚至破坏服务器的勾当,除了炫技,还通过技术手段获利的,被称作破坏者(Cracker) 。
两拨人行事相似,目的不同,就像迎面走来一位自称“江湖人士”的人,你无法第一时间判断他的好坏。
久而久之,破坏者的行为让整个黑客的形象都垮掉,加上“黑客”一词自带暗属性,读起来顺口,让大家以为黑客就是破坏者,破坏者就是黑客。现在的媒体报道中的“黑客”,多被认为是有企图的犯罪分子。
以帽子分派系
为了厘清黑客并非都是破坏分子,圈内人士用帽子的颜色来区分他们。为了更好的理解,我们用金庸笔下的人物来做个比喻。
黑帽子黑客:即现在狭义上的“黑客”,手段高明,为了种种目的入侵电脑,传播病毒、窃取信息等等。
代表人物:丁春秋、鸠摩智。
白帽子黑客:与黑帽子黑客相反,有正义感,受雇于企业机构,通过提前发现计算机中的漏洞来阻止对手入侵,甚至直接技术对攻。
代表人物:天龙三兄弟。
灰帽子黑客:灰帽子的技术可能远高于白帽子与黑帽子,但他们一不受人雇佣,二不做坏事,行事不羁洒脱,看见不平之事也许会拔刀相助。
代表人物:张三丰、扫地僧。
红帽子/蓝帽子黑客:这里仅介绍国内的红/蓝帽子黑客,他们属于我国民间团体,严格意义上红帽子、蓝帽子都属于白帽子与灰帽子的范畴,但他们将互联网划分国界,以热爱祖国、坚持正义为宗旨,参与国际间的网络攻防战。
代表人物:郭靖。
当然,除了以上真正的技术流,还有一些无帽的小黑客,比如“脚本小子”,但他们技术太弱,甚至不会基本的编程,充其量就是丁春秋脚下喊口号的带头跟班。
黑白大战
有江湖就有排名,有江湖就有“决战紫禁之巅”的传说。
在互联网江湖,关于黑客的排名也许各有说法,这里就不做一家之言了,有兴趣的也可以去搜一搜他们的“惊天大事”。
但不得不提的是一个白帽子和黑帽子之间的巅峰大战:下村勉VS米特尼克。
米特尼克,被评论为“世界头号黑客”,15岁破解北美空中防务指挥系统,震惊全美。1984年的圣诞,他又盯上了圣迭戈超级计算机中心,《纽约时报》称这一行动“将整个互联网置于一种危险的境地”。
这一次攻击,米特尼克留下了一个撩人的邮件,大致意思就是:抓不到我吧,啦啦啦啦,我就是这么强大。一下子激怒了该中心的日籍白帽子下村勉,誓要活捉米特尼克。
接下来的几年里,两人在互联网中刀光剑影,你来我往,侦查与反侦察,陷阱与反陷阱,最终,在北卡罗来纳州罗利市,下村勉利用无线电的波长锁定了米特尼克,配合FBI将其抓捕归案。
后来,这场黑客之间的对决被拍成电影《骇客追缉令》。
美女、罪犯、偏执狂
说到正义一方的白帽子们,对于计算机的研究和造诣都不可小觑,但不要认为这些搞编程、写代码、找漏洞的人就是头发掉光的油腻大叔。
他们之中,有的是混迹时尚圈的标准美女,比如波兰的白帽子乔安娜;有的是具备特殊癖好的偏执狂,比如白帽子查理·米勒,沉溺于寻找苹果设备的漏洞无法自拔;还有罪犯,比如上面提及的米特尼克,刑满释放后改过自新做了一个白帽子和演说家。
对于这类白帽子,国外很多公司都是抱着吸引人才的态度来对待,比如谷歌旗下就有一个名为“Project Zero”黑客天团,专门寻找自家或者其他企业的漏洞。
Facebook曾发放了最大的漏洞发现奖金:32000英镑,用于奖励报告服务器中关键漏洞的人。
Uber公司曾推出一个“捉虫奖励”计划,让世界各地的白帽子查找自己系统漏洞,然后给予少则数千,多则上万美元的奖励。
国外漏洞众测平台“第一黑客”则成为白帽子的聚集地,他们借助平台提交漏洞获取丰厚的报酬。
此外,根据“第一黑客”平台公布的白帽子收入情况来看,均可超过本国的顶级工程师。
法律边缘人白帽子
当然,我国的白帽子形式可能有些不太乐观。
首先是白帽子所作所为与黑帽子无异,都是通过入侵电脑来达到目的,虽然目的有所不同,但手法依旧是违规操作,很容易就越过了法律的边界。
其次就是国内的企业给予的漏洞奖励还没有那么丰厚,远远低于黑市交易价格,打消了白帽子的找漏洞、提交漏洞的积极性。
此外,企业与白帽子之间也存在着辩证不清的难处:
企业对白帽子又爱又怕;
因为后者能为帮他们发现安全漏洞和修复方案,但他们又怕白帽子“放荡不羁爱自由”,按自己的行事逻辑办事,做出一些有争议的事。
白帽子对企业也是又爱又怕;
他们喜欢挖漏洞带来的回馈,不仅包括物质上的礼物、奖金,更有精神上的鼓励——自己的ID出现在感谢名单上的自豪。同时他们也怕自己一不小心就背了锅,对方发来感谢并逮捕了自己。
2016年,国内著名的漏洞反馈平台“乌云网”宣布关闭并进行无限期调整。起因是因为平台中一名白帽子发现某婚恋网站的系统漏洞后,在乌云平台提交。该婚恋网发现确实存在漏洞后,向这名白帽子表示感谢。一个多月后,他们又以“网站数据被非法窃取”为由报警,导致这名白帽子被捕入狱。乌云平台也开始整顿停业。
单兵作战变为集体武装
白帽子黑客行走江湖,怀揣着一身本领,就像怀揣着一把枪,给人的感觉更多的是害怕。
如何才能利用好这些能发挥巨大作用的群体呢?
在古代,就是将单个游侠儿召集到一起,统一训练,统一管理,成为护院、镖师等。
在现代,也可以将白帽子召集在一起,进行法律知识的普及,形成规范的君子协定和约束。
实际上,国内很多企业的应急响应中心组成了一个“SRC联盟”,共同上线了“白帽子协议”,来平衡他们和白帽子之间的供需要求。
这个协议大概意思是:我们欢迎白帽子进行身份登记,然后到我家寻找漏洞,但是有一定条件的,比如卧室不允许入内、物品摆放不能打乱等。
也许,在没有找到完美解决办法之前,这份协议大概是相对适用的吧。