阿里巴巴网聚顶尖黑客,打造一个侠义江湖

都说隔行如隔山,何况电话那端是一名白帽子黑客。采访木雁之前,他的语境和世界对我这个跟文字打交道的人来说,就像远处森林里的一座神秘而幽深的古堡。
黑客还能让人联想到网络世界的不速之客,但「白帽子」黑客,听起来就完全陌生了。
白帽子其实是这几年才有的叫法,为了区别从事黑产的恶意攻击者。

木雁开始耐心地翻译:黑产就是指黑掉网站、恶意盗取数据、用来牟利的黑客,为了区别出维护网站安全的黑客,后来就有了白帽子这个名词。
就像会吐丝儿、可以飞檐走壁的钢铁侠,选择做一个正义超人?
那是蜘蛛侠。
除了冷不丁的黑幽默,让我意外的是木雁的耐心:不管我这个门外汉问了什么,他都会细致地把行话翻译出来帮助我理解。以至于当我格外感动地发出你怎么这么耐心的感慨时,他回:因为你是小白啊,让我有点猝不及防。
1黑与白
在木雁成长的那一代黑客中,多数人都是在机缘巧合下自学成才的。我刚上高中那会,发现学校门口有卖《黑客X档案》的杂志。我心想怎么会有人把这种书摆上货架?这不是教人学坏么?抱着批判的精神,我就买了。

那时候看那本杂志就像看魔术表演:怎么明明是包月服务就弄出个终身免费了?怎么还能监视其他人的电脑屏幕?木雁的好奇心驱使他琢磨起了这个新技术。
《黑客X档案》一个月一期,被木雁翻得发了毛,书脊也烂了,可是他的高中教科书还是崭新。
十年前的院校鲜少开设信息安全这个专业。大学第一年,木雁就对缺乏挑战的大学摇了白旗。他退了学,工作。一有空就泡在黑客论坛里,找学习资料,一个个研究黑客们分享的漏洞分析,潜心向各位前辈请教。
2天赋与选择
在互联网的时代,一个组织的线上系统就像一栋大楼,层层叠叠地装载着许多重要的信息。同时,这栋楼里布满了与外部连通的门窗、烟囱、下水道。这些关节存在着诸多安全隐患:门锁级别不够、经不起撬打,窗锁或许经年失修、锈迹斑斑,下水道也时时埋伏着不轨的偷盗之心。
在这栋大楼的门口,分别站着两个阵营的武林高手。他们都是技术世界里的低调夜行者,隐匿于主流语境的边缘,与黑产对立的 白帽子,守护着网络世界的大门。

攻击方可攻陷所有联网的电子终端,如入无人之境;防守方建立起网络安全骨架,与黑产对抗。如果没有他们的守卫,网络就如同一个黑暗渔场,被黑产肆意捕捞。
然而有白帽子这个群体也就是近几年的事。在那之前很长的时间,黑客并不分什么黑白。
木雁告诉我:技术好的人,基本都被黑产盯上过。在2016年以前,网络信息安全还没有完整的立法,年纪轻轻的黑客,一身功夫又懵懂无知,是很容易被利用。
知名白帽子赵武曾在一篇文章里这样描述这个黑白的选择:做黑产项目每个月就能赚到几百甚至上千万,而做白每年苦逼的能赚到几十万就相当不错。一边是充满诱惑的黑产圈子,一边是道德正义,和法律制裁、昔日朋友锒铛入狱的案例。掌握安全技术的黑客们实际上是孤独的守在这个十字路口。

图片来自 Dribbble
然而,对于木雁来说,让他痴迷醉心的黑客技术是中性的,至于一个黑客在利益面前会去做黑产还是白帽子,这是个人的选择。黑产和白帽子获得漏洞的过程几乎毫无区别,但利用漏洞的目的和方式截然相反。
那你为什么选择做白帽子?我直截了当地问他。
遵纪守法呀。他调侃自己,语气稀疏平常。
如果黑客技术是一种天赋,或许正义与善良是一种选择。
3.白帽女王
一年前,木雁加入了阿里巴巴从事安全研究。在安全圈里,他认识了阿里云的笑然姑娘。被白帽子们称为女王的她,正在负责聚集了上万个木雁的安全测试平台 —— 先知。

笑然
为了让企业和机构在漫无边际的网络海洋里,找到值得信任的白帽子,帮助加固企业安全,先知计划搭起一个平台、网聚了一批最优秀的白帽子和安全公司,对接两端。
如果一个厂商有安全测试的需求,就到先知平台里张榜、招募白帽子。「先知」平台里实名注册的安全团队或个人就受邀加入到项目中。
成功潜入一个系统,并不意味着我要和对方管理员一样熟悉他的系统,而是我必须比对方所有的管理员更熟悉他的系统。这就像一栋大楼,每一层都有自己的保安,而我需要打穿所有的守卫,进入核心区域。以一敌十,甚至以一敌百。先知平台的负责人笑然告诉我们。

一个项目通常因为难易复杂程度,由几个甚至十几个白帽子协作完成、分头作战。这些侠客们各有各的挖掘思路,似拥有一套独门武功。最终,白帽子们各自提交漏洞,厂商认定每个漏洞的危险等级,先知平台会在24小时之内把厂商给予的等值奖金转入相应的白帽子账户里,同时,先知平台更新一张江湖榜,按照最新战果给英雄们重新排位。
技术的精进和江湖地位,无疑是这群技术宅们的绝佳兴奋点。如果技术是中性的、人性和选择是可以引导的,「先知」平台想做的,就是汇聚白色的光,把孤独守在十字路口、身怀绝技却迷茫的高手吸引到更正确的路上。
到今年年初,先知平台名列第一的白帽子,已经捧得40多万元的奖金。更重要的是,作为武林排行榜第一位的高手,在圈儿里受到仰视和尊敬,登上光明顶的感觉比奖金更有分量。
4公益初心
2016年下旬,正在做阿里公益三小时的笑然,有了一个新的想法:先知除了能带领白帽子致富,打造技术网红,是否还能动员白帽子的力量,做些有意义的小事?
在阿里,公益三小时是鼓励阿里人每年公益实践的标准,每个员工都可以通过传播、志愿服务等多种方式参与公益活动。
笑然想,为什么不借公益三小时的文化,从阿里巴巴内部开始,鼓励白帽子用技术力量为社会贡献爱心和责任呢?笑然马上把这个想法和全团队的人商量 —— 众人拾柴,先知团队决定把“公益众测”的概念先普及给阿里巴巴的安全工程师们。
然而,摆在眼前最大的难题,是阿里安全工程师们日不暇给的工作强度,以及各个部门是否会支持公益——毕竟这是国内安全圈里还没有实践过的命题。
接下来的两个月,笑然接连去打探各方态度。她没意料到的是,阿里白帽子们的反馈非常积极,给了笑然极大的底气。
5侠客当道
国外有一些黑客,他追求的是像海盗一样的自由。木雁形容,而白帽子更像是小说里的英雄侠士,追求武功超群,也追求行侠仗义。
千霄是阿里负责云盾攻防能力建设的安全工程师。

去年10月,千霄看到内网挂出一个安全众测的项目,参与这个项目所得的奖金,将会自动捐给中国扶贫基金会一个名为爱心包裹的公益项目。
加入阿里巴巴后,千霄已经一年半没参与过外部的众测了:手痒。终于能在别处的世界里探个虚实,千霄那一刻很兴奋,立马加入:干这行的天生有种挑战精神,想要不断去尝试,探索未知世界里的东西,他忍不住笑,遇到机会就会想去战上一战。
对于自己将捐赠的公益项目,千霄只是有个大概的了解:他们的奖金会为特别贫困的小学生们筹集「美术包裹」和「温暖包裹」,美术包裹里有五颜六色的各种画画工具,温暖包裹里有羽绒服、帽子、围巾、手套等各种防寒保暖的物品。
技术行业其实特别缺少和公益的联结,尤其搞安全的。像是教师,他可以用自己最擅长的能力去参与支教。但我们就很少有这样的切入口。
千霄耿直地说,技术嘛,可能宁愿在家写十行代码,也很难让他直接走出去扶贫什么的。所以这个项目既能发挥技术人员宅的特性,又能实现白帽子们天生行侠仗义的心。如果你告诉一个白帽子一个月在家花10个小时,就可以为公益组织捐赠多少多少钱,很多人都会非常乐意去做。
自加入平台,千霄已经参与了3个众测项目,下班后加周末,每周大概7、8个小时。累积近100小时的时间,千霄用自己的技术能力捐赠了超过6万元——因为他,600个贫困的孩子此刻拿着缤纷的画笔涂涂写写,或者300个孩子过了个暖冬。

老家是山西晋中的千霄压根儿没想过,如果按照6-13岁的孩子人口占比8%来计算,他当初那个缓解手痒又能做点好事儿的朴素想法,相当于影响了老家晋中市下面的国家级贫困县左权县中,7000人口的龙泉乡里的所有孩子。
白天上班,夜里挖洞。特别是工作任务繁重的时候,阿里白帽子们有时也会感到疲惫。当大家疲惫的时候,我就站出来给大家鼓鼓劲。木雁作为先知公益计划的发起人之一,希望自己起到一个领路人的作用,他坚信,这个公益模式未来定会获得厂商与行业的大力认同和参与。
夜里挖漏洞累了,他们就在群里漫天发红包,相互打气。笑然觉得这些白帽子们的可爱,有情有义。
6江湖之远
如今,阿里巴巴已有超过30位安全工程师加入了先知公益计划,仅3个月的时间,他们的漏洞奖励已累积达到100万元,并将其中的46万捐赠给了中国扶贫基金会的爱心包裹项目。
站在大众和黑客之间,笑然感受到先知平台长成了一个有灵魂、有选择的生命体,逐渐冒出一个越来越清晰且宏大的使命——
技术是中性的,可黑、可白,可冰冷无情、可暖意融融。除了将更多黑客往亮光里引导,成为白帽子、守护网络的安全,“先知”计划希望挖掘白帽子心里更多的正面能量,笑然说,我们希望先知能够重新定义白帽子。他们应当是安全技术强,有爱心、有社会责任感的一群人。

3月25日,先知平台举行了第一届先知白帽大会,正式发布先知公益基金——这是互联网第一个由一群白帽子发起的公益基金。在大会上,笑然代表平台发布了「先知」的全新属性:用白帽子们最擅长的方式参与公益,用技术为世界带来微小的美好改变。
由此,先知平台也让白帽子参与公益捐赠这件事,从阿里内部,推演到任何一个社会化的白帽子身上,变成一个群体行为。曾经,他们醉心于技术上的武功排名,之后,这个排行榜上将增加一个新的维度——行侠仗义。
无疑,移动互联网正颠覆各行各业,创造新的可能,它不仅重塑业态,还挖掘着每一个人的社会属性,赋予新的社会潜能。
世界上最杰出的互联网公司,如Google、Facebook,都在虚拟中推动着世界平衡、公正地发展。在中国,阿里巴巴率先调动起了一群侠义的白帽子,蜕变为网络世界与公民社会的先锋行者。他们站在这个新的格局中,释放自己的正义与技术力量。
这是黑客的侠义江湖,而他们的背后,是曙光渐露、能量涌动的扁平世界。
京公网安备 11010802023289 号
