這是360網(wǎng)站安全總監小趙在7月份寫(xiě)的一篇博客。小趙接觸到這樣一個(gè)小黑客,初中生,他不知道自己站在十字路口上,他只想發(fā)現漏洞攢錢(qián)買(mǎi)一臺筆記本電腦。小趙不斷用路標把他從充滿(mǎn)誘惑的十字路口引開(kāi)。
小趙是360“庫帶計劃”的負責人。國內外的安全高手如果發(fā)現了網(wǎng)站的漏洞提交給360,就會(huì )得到現金獎勵。發(fā)現了漏洞,360會(huì )幫助軟件公司和開(kāi)發(fā)者及時(shí)推出漏洞補丁,防止被黑客“拖庫”。
黑客是永遠徘徊在十字路口的一群人,各種誘惑,黑路還是白路,考驗著(zhù)人性,決定著(zhù)前途。今天,我們得到一個(gè)好消息:這個(gè)小黑客初中畢業(yè)進(jìn)入了一家澳洲的安全公司,規模不大。今年9月,這位小黑客將參加360主辦的中國互聯(lián)網(wǎng)安全大會(huì )。
說(shuō)在前面:本文有感而發(fā),并無(wú)對任何人和產(chǎn)業(yè)的詆毀。只是說(shuō)說(shuō)自己內心對選擇的一點(diǎn)感觸,請各位不要對號入座。
十年前,別人說(shuō)我是個(gè)黑客,我會(huì )覺(jué)得很驕傲;十年后,有人說(shuō)我是黑客,我會(huì )立刻糾正他。
十年前,可以隨意看到身邊的人意氣風(fēng)發(fā)的給人講自己是個(gè)黑客,做過(guò)哪些入侵;十年后,曾經(jīng)圈內叱咤風(fēng)云的人物都已經(jīng)銷(xiāo)聲匿跡,低調地做著(zhù)自己的事兒。
十年的時(shí)間,黑客圈巨變,刑法修正案對黑客行為的立法讓這個(gè)灰色的圈子徹底變黑。掌握web安全技術(shù)的傳統黑客們孤獨的站在十字路口,一邊是充滿(mǎn)誘惑的黑產(chǎn)圈子,一邊是嚴厲的法律制裁和身邊朋友進(jìn)監獄的案例。究竟該何去何從?一念之差可能人生的軌跡就會(huì )有天淵之別。
相信圈內的朋友都有過(guò)這樣的內心掙扎,做黑產(chǎn)、“項目”每年能賺到幾百甚至上千萬(wàn),而做白每年苦逼的能賺到幾十萬(wàn)就算不錯。究竟要怎樣選擇?哪條路才是對的?我也曾經(jīng)掙扎過(guò),但內心的傳統觀(guān)念還是讓我選擇了保守,去做一份web安全的工作,去做一款web安全的產(chǎn)品,踏踏實(shí)實(shí)的賺每一分錢(qián),舒舒服服的睡每一個(gè)覺(jué)。
初始道路的選擇不是像職業(yè)規劃那樣簡(jiǎn)單的行為選擇,而是內心對于自我的深度定位和對底線(xiàn)的明晰劃分。說(shuō)簡(jiǎn)單一些,十字路口,內心的掙扎就像有一部電影中決定是否把自己出賣(mài)給魔鬼來(lái)?yè)Q取永生一樣。一旦選擇了黑,內心也會(huì )隨之變化,就會(huì )認為自己成為了那個(gè)世界的人,就會(huì )習慣那個(gè)世界的規則。熊貓燒香作者李俊我想就是那種自我心理暗示極強的人,自我認定為不普通的人,自然也不會(huì )習慣普通人的生活,再次打擦邊球再次被捕,雖說(shuō)有運氣差的因素,但某種程度上來(lái)說(shuō)是必然的。
一旦選擇了黑,就會(huì )背負原罪,而且一生無(wú)法洗白。所以,十字路口的抉擇對一個(gè)人的影響其實(shí)是一生的。
還有一件事對我的觸動(dòng)很深,讓我覺(jué)得我現在所做的事情是極有意義的。付費漏洞收集平臺的最大作用本來(lái)是為了最快最全的收集漏洞,但其實(shí)對站在十字路口的人卻有了燈塔的作用,雖然是點(diǎn)點(diǎn)光芒不像黑產(chǎn)霓虹燈那樣絢麗奪目,但在選擇的天枰上這點(diǎn)點(diǎn)光芒確實(shí)可以改變很多人的人生軌跡。
每天都有很多白帽子向我們提交很多漏洞,我們評估驗證后給他們付費。一天我偶然接觸到了一個(gè)漏洞提交者,短暫交流后發(fā)現他居然是個(gè)初中生。他的技術(shù)非常非常初級,只能找到一些很淺的漏洞,所以能付給他的錢(qián)也很少。他對我說(shuō):自己的家庭條件不好,自己學(xué)習努力挖漏洞就是想賺錢(qián)買(mǎi)一臺筆記本電腦。
那一刻我的心被觸動(dòng)了,久違了的觸動(dòng),仿佛看到了自己之前的影子,鼻子一酸當時(shí)就想對他說(shuō)送他一臺。但一轉念,我決定用另一種方式幫助他實(shí)現自己的目標。我開(kāi)始對他進(jìn)行一些技術(shù)上的指導,幫助他找到更多更嚴重的漏洞,同時(shí)在心理層面引導他走白帽子的路。因為我很清楚,挖漏洞提交賺錢(qián)比做黑產(chǎn)賺錢(qián)要難的多也要慢的多。這個(gè)孩子就像是一個(gè)站在十字路口的人,筆記本就是他的清晰目標,向左只需1步就可以拿到筆記本,向右卻需要100步。
讓我感到欣慰的是,這個(gè)小小的白帽子(我想此刻可以這么稱(chēng)呼他了)挖出的漏洞等級越來(lái)越高,從最基本的XSS到了高危SQL注入。他本人也非常勤奮,略算一下,近3個(gè)月的時(shí)間他得到的漏洞獎勵也基本可以買(mǎi)到一臺主流配置的筆記本電腦了。
我不確定自己是否真的能影響這個(gè)小朋友一直走白的道路,但我對自己工作的認識全然不同了,我現在要做的就是做大付費漏洞收集平臺,讓更多的漏洞到我的手上,讓更多的人在選擇的十字路口能夠看見(jiàn)這邊的點(diǎn)點(diǎn)星火。
