12年之前的老黑客应该都了解一些,比如炸南斯拉夫大使馆之后的邮件堵塞轰炸,白宫升国旗,对美国的入侵防御战,跟台湾的黑客大战,还有反CIH病毒战,奥运会的华黑国外宣传等。
以上的都是大型的,像个人的小团队的就比较多了,某某黑客团队跟某迅的漏洞攻防,据说之后成为了白帽。还有某雷的,还有像熊猫烧香这种类型的。
其实早一批黑客是有热情,有热血的,有好多大型组织,一般3年以上的都把兴趣放在研究,讨论上,那时候会因为一个小的问题或者新的技术争论好多天,基本上顶级黑客都是自己写工具,也会把技术心得分享给大家,只有很少一部分,加上一些菜鸟,才会到处搞破坏,到处炫耀。(这个也很正常,谁学了都想显示一下自己学的)不过黑客的中心点是学习,挖掘新技术,新的技术思想。老朋友们现在都已经成家立业了,也都好久不碰技术了,或许以后孩子会培养吧 (有兴趣的自己去查,能看到的资料是可以给看的。)
看了好多回复都想学,我简单说下,我们那时候因为没有资源都是自己搞,或者到一些集会的地方问大神,那时候大神一般研究出来都会写一些内容出来供菜鸟学习。现在的网络发展比那时候好多了,学习渠道也很多,不过黑客是神秘的,真正的黑客不会告诉你他的情况,我当年在一个团队里负责破解类的,因为专攻这方面。那时候就是放木马,或者扫描检测漏洞,渗透进去然后注入后门。或者是拿肉鸡车轮战搞瘫痪了,破解的话弄个破解器,挂个字典。跑就可以。DDOS,注入,提升权限,修改数据,(我不会在这里跟人说各种具体的方式,还有我们的真实案例。把我当做一个说故事的就可以。我们已经不在这个圈子了。当初的大神有的给国家做安全,有的结婚生子做某公司高管。暴雪的QQ我还加着。)想学的可以去各种地方看看,红客联盟,虽然水了很多,但是还是适合菜鸟的。我这里有两个高中生就是那里出来的,现在还有很多新的组织联盟。做安全工程师的可以去接触一下绿盟科技,前身是鹰盟。老大叫兔哥,小榕跟他关系很好。像破解类的去52破解,看雪论坛。有的可能换了域名了,可以先进入圈子,论坛里会有各种信息,也会有各种广告。进去学习。学底层渗透的,那就最好了解一下汇编。做黑客是为了技术研究,一定要遵守黑客守则。
评论里好多人找我学黑客技术,真正的黑客技术可能会有点枯燥,刚开始好奇,到枯燥,到喜欢。如果只是想做个脚本小子,那就下点工具就可以,各种端口扫描器,木马生成器,漏洞检测,密码破解软件,还有字典,反编译软件,脱壳,加壳软件,反汇编软件等。如果是想学技术的,那就先把计算机原理,计算机网络,web安全基础,数据库,这方面先了解掌握,之后自己可以根据自己的情况,熟悉linux,还有两到三种常用编程语言,汇编语言做一定了解,学会这些以后,就可以加强黑客思维。以上技术学会了,基本就是计算机大神了。至于以后会不会走上黑客道路,看自己选择。想做黑客那就自己学,不要期望别人一步一步带你,真正的黑客收徒也是内部收。只有脚本小子会打各种广告。多学技术,黑客技术研究的是别人所不知道的技术,或者说更深层次的电脑技术,一定要遵守黑客守则。
白帽子
黑客里也有黑白之分,白帽子与骇客。
他们所做的内容相似:通过代码寻找计算机与网络系统中的安全漏洞。白帽子发现漏洞后,会通过提示和公布等方式,促进漏洞的修补;骇客则进行技术攻击牟取利益。
如今的木雁是一名硕果累累的白帽子,也是阿里巴巴安全部的安全专家。穿着标准式程序员衬衫的他话不多,回答不上问题时腼腆地笑着。实际上,他是所有安全技术人员中最深藏不露的一个。
在阿里巴巴的“先知”公益众测的排名中,木雁排名榜首,提交漏洞所获的奖金几乎是第二名的5倍,这样的成绩说明,木雁所提交的漏洞在数量和重要程度上都是遥遥领先的,在这场工程师们的业余比赛里,木雁投入的精力超乎想象。
“漏洞”、“众测”等技术领域的词汇似乎离我们很远,甚至有许多人不能理解,为什么要招募一批白帽子来攻击自己的网站,给自己增添棘手的修补麻烦?实际上,这种自觉接受攻击挑战的另一面,是不断巩固自身的屏障。
阿里巴巴安全部高级技术专家千剑向每日人物列举了“漏洞”对于普通人生活的重要影响。比如网购时商家、快递的系统里有无数用户的信息,如果这些平台的系统不加以防范,骇客们很容易攻入薄弱的屏障,攫取用户的资料信息,转卖数据或者进行诈骗。白帽子的存在,正是为了不断提升系统的安全性。
有意思的是,因为常年在安全领域与骇客对抗,白帽子们在日常生活中都有相似的防备习惯。他们手机里几乎都有一款专门用以储存密码的软件,除此之外,他们的安全意识无所不在。比如,他们宁愿用自己手机流量开热点,也不会去连公共场所的WiFi;他们中有些人甚至会买一个专门的手机号收取快递……
身处其中,他们更加深了自身的安全使命感。
如今,从事安全工作多年的木雁所做的工作是“攻”的一方,他与同事们分为两队,木雁模拟骇客通过漏洞进行攻击,同事的队伍则负责抵御,这是阿里安全于2016年在国内创立的红蓝军攻防体系。
7月的杭州绿树葳蕤,蝉鸣不绝,这些工程师每天的工作框定在了眼前的电脑屏幕里,闪动的代码,此起彼伏的键盘敲击声,一场场无声的模拟战役时刻在上演。Blur
白帽子的起点,大多起于他们的少年时代。
谈及入门时刻,许多白帽子都会提到一本杂志《黑客X档案》,这是他们通往这个群体的秘钥。在这本网络安全杂志里,少年白帽子们对照着教程一步步学习windows系统、编程语言。一些简易的黑客把戏让他们兴奋不已,木雁记得最早很多黑客会在QQ空间里输入一串代码,刷新空间里的装扮。
当时,年轻的他还没有完全意识到技术带来的危险一面。因为缺乏疏导与管制,一部分还未成长为白帽子的黑客们转向了骇客的歧途。程序员朗泽也是混迹多年的白帽子,他听说,身边很多做技术的朋友的QQ总会收到一些“黑产”的邀请。“黑产”意味着网络安全中的黑色产业链,拥有黑客的技术人员通过各种手段攻击网站,盗取游戏装备或者用户信息。
巨大的利益诱惑摆在面前,年少无知的白帽子经常如履薄冰地处在黑与白的边缘。熟知业内行情的人都清楚,一些从事黑产的骇客一个月的收入能达到上百万。但从此他们都过上了担惊受怕的日子。
此前的一份关于网络黑色产业链的数据报告也显示,从业者大多是年龄介于15至25岁之间的无业年轻人。木雁说,如果身边有哪个朋友突然消失了,他们要不是从事黑产逃到了国外,就是被逮捕了。朗泽则记得当时有一个相熟的好友还在教室里上课,就被警方带走了。
“其实抛开这些因素看,他和我们平常一起搞安全的人没有什么区别,他也会跟我们讨论技术。他们可能没有意识到后果的严重性,心想跟平时当白帽子时去挖漏洞一样的。”许多年后,已经成为一名高级工程师的千霄为昔日的好友惋惜。
这些最后能够在安全领域成为工程师的白帽子,其实是被筛选过的人。筛选的标准与机制里,有时机,有技术能力,有道德与正义,也有难以把握的命运。
互联网安全技术高速发展的美国,在更早的时期就发现了白帽子群体中的尴尬问题。我们可以在将近20年前的《纽约时报》中找到当时的人们对于白帽子的忧虑——“Blur”,他们用这个词,“模糊不清的事物”来定义这个群体——“在黑客的世界里,好人与坏人常常是模糊的。”
当时,美国一些互联网公司的做法是,专门为青少年白帽子们开设网络安全课堂,让那些平均年龄只有16岁的孩子学习Mac或Unix操作系统,以及编写计算机程序。更重要的是,教会他们“use their skills for good instead of evil”,在技术的世界里,择善而从。
善意
几年后,相似的“for good”做法在中国出现。
首先是白帽子们在身份上的自我认同。早年的报道中记录过彼时白帽子们尴尬的处境:一位钻研了一整夜技术的白帽子在早上准备睡觉时,发现电视里“神5”上天了。他不无心酸地说:“这才是科学。我天天以为我做的是高精尖的东西,实际上发现它没有发挥什么价值。”
朗泽也在大学阶段发现了网络安全行业的稀缺与尴尬,因为从事互联网安全工作的人员太少了,更别提从事教育的专业人员。学生们在课堂上基本学不到真正的互联网安全知识,全班100多号人里,最后只有朗泽一个人成为了安全工程师。
其次是厂商的认可。过去,白帽子向厂商提交漏洞,有些厂商认为这是来自白帽子们的要挟与挑衅,被指出漏洞,意味着他们要花费成本进行修复。这涉及到更深远的观念问题,一个人,一个企业如何看待自己身上的“错误”,它是意味着不好的东西,还是能使自己更加完善的东西。
改变正在发生。一些具有前瞻性的企业开始设立了网络安全的岗位,让那些具备相应技术能力的白帽子有了一个更加明确而正式的身份:安全工程师。
出生于1992年的千霄恰好赶上了这样的好时机,他与白帽子们有着相似的成长轨迹,在黑客技术里萌生了对计算机技术的热爱,大学时选择了计算机专业。大学期间,他在阿里巴巴举办的CTF大赛(一项网络安全技术竞赛)中拿到第二名,毕业后直接到了阿里云的安全部门工作。
2016年,阿里云主办的“先知”公益众测平台上线,“先知”计划搭建起了一个平台,联结了企业机构与白帽子两端,让优秀的白帽子在授权的情况下,在企业的系统中查找漏洞,有的放矢地向厂商提交漏洞。而根据每个漏洞的危险等级,白帽子们会收获相应数量的奖金,奖金会投入到公益事业里。
有人开玩笑称,这个项目正是发挥了技术人员“宅”的特性,“一个月坐在家里十几个小时就可以向公益组织捐钱”。如今,阿里巴巴已经有超过60位安全工程师加入了先知公益计划,漏洞奖励的金额已经累计100多万元,其中的46万捐赠给了中国扶贫基金会的“爱心包裹”项目。
加入“先知”平台之后,木雁的周末常常是在电脑前度过的,有时候吃完午饭坐下来,再一抬头已经到了晚饭时间。如今,他已经累计捐赠了自己斩获的24.62万元奖金,这意味着,有2462名小朋友收到了他的“爱心包裹”。
对于木雁而言,这些包裹就像一种善意的轮回。过去的他家境贫寒,高中时,一笔2000元的扶贫基金让他拥有了第一部智能手机。由此他进入了新的世界,进入了白帽子的圈子。技术带给他幸运,现在又让他给他人带来幸运。
冒险的,迷人的
技术带来的,还有一些更深远的东西。
“绿洲”,是木雁对于自己大脑中世界的形容。他说自己的大脑就像一个个根据代码区隔开的房间,就像《头号玩家》里的“绿洲”一样。过去他也与其他白帽子在线下聚会、见面,正像《头号玩家》里游戏对手在现实中见面的场景。一些在代码的字里行间看起来强大无比的人,现实中却很瘦弱。
在大学期间,千霄每年都会和队友们一起到全国各地参加CTF等安全技术比赛,除了丰厚的奖金和奖品之外,激烈的比赛过程是他直到现在都清晰记得的美好回忆。
参赛的队伍分布在赛场的各个区域,各自在电脑上进行进攻与防守,攻破对方的靶机,防止对方拿到自己的key。战火通过噼里啪啦的键盘声此起彼伏,讲解员不断地讲解着比赛赛课,大屏幕上实时显示着每个队的攻击流量。每当一个队伍成功攻破了另一队防线时,屏幕上的虚拟大炮就会射出一枚炮弹。
“轰”,像一场真正的战役。
技术能力并不是唯一的决定因素。无论是在比赛还是在现实的攻破中,白帽子常常面临一连几天毫无进展的情况,考验人的是在烦躁的情况下保持耐心与细心。
千霄深知那种沉浸其中的感觉,“就像有10万行代码,每天看一万行,可能都没有发现问题,突然有一天你看到这个地方,这个人写代码的时候发了一个小错误,让你发现了一个漏洞,你会有一种眼前一亮的感觉。”
“挖漏洞其实是在找人性的漏洞。”这是看似冰冷的技术里最深邃迷人的地方,“所有代码都是人写出来的,你找漏洞其实是在找写代码的人思维上出现的漏洞。”
当技术越来越深入的时候,白帽子们追求的是一种对于技术的超越,那是物质利益无法满足的东西——真正掌握一种未知事物的力量感。正如千霄提到的最有成就感的时刻,你从对方的代码中读出对方是个高手,最后你发现了他的漏洞。
采访的这一天,千霄与阿里云园区的其他程序员着装相似,一件T恤,一条牛仔裤。他的黑T恤上印着3个英文字母,不太在意外表的千霄似乎之前没有发现过自己衣服上的这些印记。在他兴致勃勃地描述着年少时延续至今,沉浸在查找漏洞的快乐时,这些单词恰好给他和白帽子们写下了注脚:
Freedom,Passion,Adventure.
戴上“白帽子”的极客们:把漏洞变成礼物
留言与评论(共有 0 条评论) |