中国Hacker20年,从寂寞到喧嚣
在Lamo攻击过的名单上包括雅虎、花旗银行、美国银行等,白帽子这么干是合法的,因为他们受雇于公司,但是 Lamo 这么做却是犯法的。”在一本介绍国外信息安全的杂志上,Adrian Lamo 被誉为世界五大黑帽子黑客。在他的“战绩”上,包65000美元的罚款,一级六个月的家庭禁闭和缓刑。
Lamo 的困境是全球Hacker(黑客)们的缩影。在中国,上个世纪90年代开始,以著名的红客联盟、中国鹰派联盟、中国黑客联盟三大黑客组织为主力军,中国第一批触网的年轻人中开始分化出一个独特的团体——Hacker,并因中美黑客大战而名声大噪。
近20年之后,当初因一腔热血挺身而出的“黑客英雄们”大多退隐江湖,而攻击技术门槛的降低,和因此而造成的信息泄露,已经形成一条完整的产业链,威胁着每个人的隐私和安全。在人们的认知中,黑客渐渐失去了其英文Hacker的本意——擅长IT技术的计算机科学家,而变成职业破坏者的代名词。
其实,传奇依然在。一些技术高手开始专门帮网站寻找漏洞,他们有了另一个称号——“白帽子”,还有一些人依然醉心于攻破世上最坚固网络堡垒,Lamo 做过的事情,他们都想过,也都做到过,但不愿为人所知,他们仍坚持叫自己Hacker。
70、80、90,中国三代Hacker们走着不同的路,他们的名字叫Hacker。
70后寂寞的高手
上个世纪90年代,在那个上网都需要用拨号解调器的年代,一名医科大学学生抓紧时间在网上下载关于信息安全的技术研究报告。他生怕网络不知在什么时候会断,所以在纸上密密麻麻写下了要搜索和下载的最新信息内容。
这位当年医科大学的学生如今已是安全界响当当的“TK教主”,是国内Hacker圈为数不多的传奇之一。在人们印象中,黑客通常都有点神经质、独来独往、愤世嫉俗,可电话那头的TK却语速平缓、讲话斯文,在被问到国内信息安全水平与国外的差时,他用了“越来越接近”的评语,而不愿给出一个明确的、尖锐的回答。这位医科出身、中国最早从事信息安全研究的教主级人物,更像是一位资深的学者,沉迷于安全领域的研究。
70后生人的TK,头顶上有一系列光环:奥运会信息网络安全指挥部技术专家、CNCERT奥运信息安全保障小组技术专家、微软漏洞缓解技术绕过悬赏十万美元大奖全球两个获得者之一,国内第一份对蠕虫带来的新型安全威胁做出多角度分析报告也正是出自他之手。深厚的技术积淀,来自于每个月只有90元的饭费,和一摞一摞用所有生活费买回来的技术书籍。
准医生毕业后,TK并没有成为一名“白衣天使”,而是进入了当时国内为数不多的安全企业,收入起点8000元。20世纪初,国内很少有人理解信息安全究竟是什么。为了省事,TK介绍自己工作时,直接说是搞计算机的,在很长时间内,他都被误认为就是个装电脑的。他也懒得解释,在他看来,安全领域研究本就寂寞。
此后,TK进入腾讯,创办了自己的玄武实验室,收入不菲,看似功成名就,但他至今都认为,当时“改行”从未想过任何物质的回报,做安全研究,即便有高收入,很多人都未必“做得了”和“愿意做”。
80后“攻防大战”只是小说
2002年4月,中国互联网协会公告制止有组织的攻击行为。红盟至此一蹶不振,最早一批的Hacker,或是放弃,或是进入科技公司,在随后慢慢升温的互联网中谋得一席之地。但也有一些人,愿意坚守Hacker初心,过着不为人所知的双重生活。
H的本职工作是一家打印机店的老板,他人生另一面则是一位资深的Hacker。他用本职工作赚来的钱,换取独立研究的资金支持和空间。H每天用十几个小时研究开发防御工具,然后第一时间放到安全社区或论坛的平台上,免费向所有人开放。他很认真地认为,“收钱岂不是没人用了”,他并不打算用此来养活自己,研究出能否防止攻击的工具比获得金钱更有意义。
H并不习惯自己被称为 “白帽子”,在他看来,这个来源于国外的“White Hat Hacker”的称呼,间接等同于“挖漏洞”的代名词。“每天刷垃圾漏洞还搞什么研究?”真正的Hacker圈,没有人们想象中攻防对抗的激烈,没有进入系统窃取信息的刺激,更多的是潜心工程技术的搭建与研究。他们要解决的并不是一两个漏洞,而是系统性的安全问题,“攻防大战不过是媒体赋予的小说情节。”H说。
90后靠挖漏洞就业
与低调的70后、80后相比,新生代的Hacker则高调许多。李超(化名)是新疆某中学高中生,这位1997年出生的年轻人,已经拥有了不下十年的黑客经历。当记者找到他时,他爽快地答应了采访,毫无芥蒂地讲了他的“成长故事”。因为小时候的一个游戏账号被盗,李超气愤之余便开始自学盗号技术,也偷偷盗过别人账号,后来才慢慢发展成挖漏洞,现在他在补天平台上已挖了400多个漏洞。
在乌云团队联合创始人孟卓看来,用安全技术来“炫技”是不少90后加入安全团队的重要推动力之一。邓焕,360补天团队的技术人员,高中时期,他曾入侵过学校的网站,去网吧,也会抢占整个网吧的管理权限,不仅让自己享受免费上网“特权”,还能顺便看到网吧里每一个客人所浏览的内容,为了秀技,他还会在临走时把全网吧的电脑重启,“然后在一片惊呼声中扬长而去”。上大学后,邓焕破解了学校的网络计费系统,不仅仅是为了免费上网,还能顺便把学校里的各个系统都入侵一遍。为此,他曾在课堂上被系主任和辅导员“请”去谈话……
这样的故事,似乎更符合人们对Hacker们拥有某种神通的想象。 {:4_108:}{:4_105:}
如今,类似乌云、补天这样公益性质的漏洞举报平台上,聚集了越来越多年轻的Hacker,据统计,乌云上的白帽子达到1.1万个,补天上民间“挖洞”团队也达数百个。这基本代表了国内“活跃”的白帽子总数。
从黑到白的中国安全界
用TK的话说,比起自己那个年代,如今的安全圈已经发生了翻天覆地的变化。几个月前,国内两家安全企业为究竟是谁在那场著名的国际安全赛事中获得真正的第一争得面红耳赤;而在接下来的几个月中,国内还将有不下五场关于信息安全相关的比赛、论坛、交流活动陆续举行。2014年2月27日,中央网络安全和信息化领导小组宣告成立,信息安全上升为国家战略之后,Hacker圈开始了异乎寻常的热闹。
从“被歧视”到“被挖角”
2002年以后,不少Hacker们都曾经度过一段月收入不足3000元、因“黑客”而备受“歧视”的黑暗时期。那个时候,国内安全领域没有巨头公司,每个顶尖的Hacker都像散落的棋子。
如今,“一个有5年以上经验的高水平白帽子,基本都可以拿到50万以上的年薪。”孟卓透露。 杨卿,国内某安全平台的负责人。10年前入行时,他作为一名负责WEB业务安全测试工程师的收入仅2500元,几乎不到一名技术开发人员收入的一半,哪怕是在阿里巴巴这样的互联网企业。
在他周围,很少有人愿意从事安全。即便进入这一领域,就业范围也很狭窄,“安全公司大多是乙方,只有甲方公司出现安全问题,才会想到安全人员。”
如今,白帽子的收入今非昔比。普通安全技术人员一进入互联网公司的起薪可达到十几万元。即便是“民间组织”,全靠挖漏洞也能获得丰厚报酬,因为有互联网公司在网上公开为自己的漏洞悬赏。
李超如今每个月挖漏洞的收入是1万元左右,在他们圈子内,如果找到高质量的漏洞,一个月能赚五六万元。“BAT这样的金主给的报酬也比较高。” 尽管还没考大学,李超已经决心要进入安全领域。
收入上升,吸引着越来越多年轻人加入安全领域。杨卿告诉记者,随着工具下载的便利,成为白帽子的门槛已经相当低了,保守估计,国内具备寻找简单网络漏洞能力的人,起码在10万以上。
圈里人通常将Hacker分为四个层次:
最底层的被称为“脚本小子”,他们没有工具研发能力,只能够利用别人的脚本进行攻击,这部分人占到目前白帽子整体人群的90%以上;
第二层Hacker有安全理念、具备代码审计和安全攻防能力;
第三层,不仅有自己的想法,也具备工程化的能力,可以利用自己的开发工具深入挖掘漏洞,能达到这一层次的Hacker,国内不足千人。
再往上,就是能够思考安全的本质,提出完整安全解决方案的Hacker。能到这一层次的都是行业精英,国内能有五十个就不错了。尽管像BAT这样的互联网公司为这些人开出百万元以上的年薪,却依然很少有人能做到。
就在前不久,H刚刚拒绝了来自互联网巨头之一的邀请,他说自己有小伙伴进了那里的安全团队,每天都心系“整个国家的信息安危”,这样大的“压力”让他有点受不了。他更喜欢自由,但同时也承认,在国内真正算得上Hacker中的顶尖人物,能够做到完全独立又能养活自己的很少,“太多人都耐不住寂寞。”
最大对手是名利
国内顶尖人才少,关键不在钱少,而是在钱太多。“因为起步较晚,我们之前与国外顶尖Hacker的技术差距有十年,但现在看来,这一差距并没有缩小。”
对于Hacker圈来说,最大的对手并不是黑客犯罪者,而是“名利”。“我们中的很多人都舍不下名利,放弃了最初的钻研。加入BAT的大圈,加入了所谓组织联盟的建设中。”H说。W是国内最早一批进入安全圈的Hacker,在当时的Hacker团队中,他绝对属于顶尖高手。但随着名气越来越大,最终,他离开了团队,独立搭建了安全平台,但也从那个时期开始,他再也没有在论坛上发表过任何安全技术的研究报告,而是经常亮相于各种活动中。
“一些优秀的白帽子进入了BAT和360等大型互联网公司后,由于各种规则变得越来越封闭,技术就停留在一定水平再也无法突破了。”据一位业内人士透露,目前一批顶尖Hacker高手已悄然被BAT三家巨头收入门下。这对于行业发展形成新格局的同时,也带来一定制约。