為保護(hù)她的身份,我們就稱她為迪伊吧。迪伊稱自己是一名白帽子黑客。她年輕,漂亮,一頭奔放的紫紅色秀發(fā),還帶點(diǎn)東歐口音。讓我想起了科幻電影《第五元素》里的米拉·喬沃維奇。
“什么東西能讓你轉(zhuǎn)成黑帽子?你會為了100萬美元去入侵嗎——如果你知道自己不會被抓到的話?”
“不會。對我而言,那是道德問題。”她立馬堅定回答道。
“好吧,那么10億美元呢?”
很明顯,她不想回答這個問題。
迪伊是我去年探訪過的36名白帽子之一,訪談主題就是:是什么因素將他們一直留在了正義的一方?
白帽子 = 講道德的黑客
白帽子黑客就是采用計算機(jī)安全技術(shù)做“好”事的一群人。白帽子們知道怎樣滲透系統(tǒng),但他們只用這些知識保護(hù)網(wǎng)絡(luò)而不是攻擊網(wǎng)絡(luò)。
訪談的開端很是偶然,發(fā)生在我的同事之間。我是大衛(wèi)·霍姆斯,F(xiàn)5網(wǎng)絡(luò)的安全專家。當(dāng)時我們在處理一家大型零售金融公司的漏洞問題,忽然就意識到:掌握內(nèi)部信息的人不就可以利用該漏洞從公司劫走大筆金錢嗎?午飯時我們還討論了具體到底可以拿走多少錢。不僅僅是為搶劫而搶劫,而是為了賺夠能讓我們余生無憂的錢——這么大一票工作完成后就再也不用做回白帽子了。
像很多其他職業(yè)一樣,白帽子的角色在一切正常的時候常常被人忽略掉??梢坏┏霈F(xiàn)了嚴(yán)重的數(shù)據(jù)泄露,那就意味著黑帽子們贏得了網(wǎng)絡(luò)攻防戰(zhàn)的勝利。比如2014年的索尼影業(yè)數(shù)據(jù)泄露事件,自稱“和平衛(wèi)士(GOP)”的黑帽子團(tuán)伙滲透了索尼的網(wǎng)絡(luò),將數(shù)以TB計的敏感數(shù)據(jù)盜走。索尼的白帽子們明顯慘敗。
“74%的白帽子聲稱再多的金錢都不能染黑他們。”
比例很高,可喜可賀。那么問題來了:技術(shù)高超的白帽子當(dāng)然可以也是有錢的黑帽子,那為什么他們還不是呢?
當(dāng)然,“聲稱”這事兒是不靠譜的,也許1000萬美元就是絕大多數(shù)白帽子由白轉(zhuǎn)黑的心理價位了。錢自然是影響很大的一方面,但也絕不是唯一的理由。
另一名東歐黑客本恩解釋道:“我是為了榮譽(yù)和自我滿足而黑,才不是為了錢。”不過,他也提到了其中的道德核心:“如果有人在你面前掉了錢包,悄悄撿起拿走是很容易的事,但你得做正確的事,把它交還給失主。”
黑客世界里,道德的標(biāo)準(zhǔn)很難把握。就拿著名的黑客主義者,自我標(biāo)榜的美國愛國者J3st3r來說吧,他不也聲稱攻擊了rchan、維基解密、伊斯蘭招募網(wǎng)站和其他一些網(wǎng)站么?網(wǎng)絡(luò)安全專家布萊恩·麥克亨利曾說過:“沒人是清白的。J3st3r是黑帽子嗎?他確實觸犯了法律,但是出于對他信仰的堅持……難道這不是一種人生價值的體現(xiàn)么?”
“作為白帽子,賺的是正當(dāng)?shù)腻X,無須像黑帽子一樣擔(dān)驚受怕。但并非所有的國家都是這樣。”
在有些發(fā)展中國家里,作為黑帽子而非白帽子來賺錢是絕對可行的。但除了錢的因素,還有其他原因會讓黑客在黑白之間切換。
你會為了一個政治聲明而去黑別人么?
只有1/8的白帽會為了表達(dá)一個政治上的傾向而選擇黑掉別人。
迪伊本可以將自己視作黑客主義者。但另一方面,她成長在一個壓制政治言論的專制政府統(tǒng)治下。其他受訪者認(rèn)為搞破壞是幼稚的行為。“政治講演理應(yīng)公開。誹謗或強(qiáng)關(guān)網(wǎng)站是膽怯的表現(xiàn)。”更為普遍的反饋是,丑化一個網(wǎng)站并不能達(dá)成任何實際效果。
要知道黑了 Ashley Madison的黑客,他們黑網(wǎng)站的動機(jī)可是出于道義,是要給這家鼓動婚外情的網(wǎng)站一個教訓(xùn)。如果這是對Ashley Madison的道德抗議,那還真是代價慘重,造成了無數(shù)的離婚,至少3人自殺,以及大約400位教會人員離任。
報復(fù)增加“黑”的行為
25%的白帽子會出于報復(fù)而黑了別人。
當(dāng)涉及到報復(fù)時,大多數(shù)人的道德標(biāo)準(zhǔn)往往會有所松動。白帽子也不例外——為復(fù)仇而黑的比例理論上是黑客主義者的2倍。或許這該歸咎于復(fù)仇的個人本性而非行動主義的社會性。其實,有時候,為復(fù)仇而黑也是相當(dāng)奇怪的復(fù)仇場景,比如說,當(dāng)為了某些人的非正常死亡而怒黑流氓國家或為富不仁的億萬富翁的時候。
但,話又說回來。大多數(shù)白帽子還是有道德底線的,只不過,其中一些人很愿意(理論上)為了政治或個人原因,甚或足夠豐厚的回報,而跨過那條線。也就意味著,我們有可能最終將見證一大波白帽子變成黑帽子,就像絕地武士變西斯一樣?
這事很難講,如同生活中的其他事一樣,這就是個度的問題。
白帽子用黑客技術(shù)收集并查看其老板的財務(wù)報表。這算是黑帽子行為嗎?至少侵犯隱私是絕對跑不脫的了,盡管許多白帽子會聲稱這是年輕時干得糊涂事,甚至記不清干沒干過。
你最近一次做一些和黑帽相關(guān)的活動是什么時候?
有意思的是,將近1/3的人承認(rèn)從高中開始就有做過“黑帽”,但卻沒有人愿意承認(rèn)最近曾有過相關(guān)行為。
還有一些人承認(rèn)經(jīng)常會強(qiáng)行瀏覽大量網(wǎng)站,出于個人目的編程下載文件之類的——Reddit共同創(chuàng)始人兼白帽子亞倫·斯沃茨被指控的就是這個罪名。其他還有諸如探測零售網(wǎng)站尋找搜刮優(yōu)惠券和修改優(yōu)惠碼的方法,獲取超額折扣和網(wǎng)頁應(yīng)用業(yè)務(wù)邏輯缺陷的商品等等。諷刺的是,這么干的人有時還會得到保護(hù)這些資源的安全團(tuán)隊的同情。難道是,本是同根生,相煎何太急?
“我對試圖保護(hù)廣大人民群眾的工種表示更高的敬意。”
從整個社會的角度來看,我們或許沒必要擔(dān)心白帽子的大規(guī)模黑化,至少在現(xiàn)代化的工業(yè)社會里不會。白帽子也不過是有著正當(dāng)職業(yè)的納稅人的一種。當(dāng)然,他們不是潔白無暇的天使,但大多數(shù)白帽子還是不會為金錢所動的。墮落變節(jié)者自然會有,可任何團(tuán)體都會出現(xiàn)這種人:執(zhí)法部門、情報機(jī)構(gòu)、宗教組織……
喜歡惡作劇的白帽子
大多數(shù)白帽子曾經(jīng),或者仍在通過調(diào)戲朋友或同事的系統(tǒng)來釋放壓力。這真不是開玩笑,我采訪過的白帽了有56%的人都喜歡惡作劇。
你是否使用過你的黑客技術(shù)戲耍過某人?
“所有的黑客式的調(diào)戲都不是攻擊。很多時候它僅僅是為了調(diào)戲。”
曾有一位白帽子用“豪放”的方式提醒他的朋友們:在不用耳機(jī)的時候收好這小玩意兒。不然,就等著被“令人發(fā)指”的音頻洗腦吧——此君黑掉了他們的藍(lán)牙耳機(jī)。甚至連著名的“白帽安全”創(chuàng)始人耶利米·格羅斯曼也不能免俗。他曾經(jīng)在Facebook上“殺死”了一位朋友——僅僅是開玩笑而不是出于報復(fù)。
最后,與邪惡勢力作斗爭的概念深深根植于人類行為思維模式之中,而網(wǎng)絡(luò)安全世界跟其他任何科技產(chǎn)業(yè)都大為不同。網(wǎng)絡(luò)安全世界需要很多很多的好人。我們正經(jīng)歷白帽子斷代的嚴(yán)酷現(xiàn)實:距離我們擁有足夠的人手對付所有壞蛋,大概還有25年的差距。我們需要為有興趣加入白帽子陣營的年輕人提供更多網(wǎng)絡(luò)安全技能的培訓(xùn)機(jī)會,一起努力吧!
作者:大衛(wèi)·霍姆斯