1个阿里工程师收到了2462封特殊来信

简介: 技术是冰冷的,但可以用技术去做有温度的事。阿里的20多位工程师将挖漏洞所获的46.46万元奖金,通过“爱心包裹”项目,捐给了贫困山区的4646个孩子们。

“你们买给我的书包里有我们非常需要的文具……原来我们只能到处去借,……我知道你们是自己辛苦赚来的钱,谢谢对我们学习的关心……”

近日,阿里巴巴安全部安全专家木雁收到了2462封来自贫困山区孩子的感谢信,这源于他2016年10月参与的一个公益众测项目。

image

白帽子与安全众测

为提升自身信息安全水位,招募白帽子帮忙寻找自身网站或业务系统的漏洞、并以挖出漏洞质量为白帽子分配一定数额奖金成为众多企业的选择。企业通常会采取与众测平台合作的方式,举办众测比赛。

先知众测是阿里云为白帽黑客和企业打造的一个特殊中间平台,在这个平台上,企业发出安全测试需求,白帽黑客依据“测试需求”给出测试报告,企业依据报告的有效性给予白帽黑客一定现金奖励。

2016年9月,有企业找到先知,想要在阿里内部招募白帽子。当时先知负责人是阿里云首席安全科学家吴瀚清,他找到阿里公益高级专家华山谈起了合作。

2015年9月10日,马云通过全员邮件提出倡议:从2015财年开始,阿里人每年完成3小时的公益志愿服务。技术人员怎么发挥特长做公益?将白帽子们挖漏洞所获的奖金捐出去,未尝不是一次好的尝试。

华山帮忙对接了中国扶贫基金会,一个月后,先知公益众测正式敲定。

此次公益众测项目的参与方包含来自阿里安全、阿里云、蚂蚁金服、高德等多个BU的20多位技术人员。

2016年10月份,木雁在阿里内网看到招募信息,主动报了名。除了被一个小女孩“想要一副水彩笔画画”的梦想所触动外,也在于他曾得到过帮助。

image

受捐助小学生写给阿里安全前沿技术研究专家木雁的信

2008年,木雁读高三,已经钻研了两年技术的他希望寻求新的突破。恰在那时,家境不太好的他申请到了一笔2000元的扶贫基金,随后他买了人生一部智能手机——“应该是摩托罗拉产的第一代智能机。”

“当时大家都在冲刺高考的时候,我已经接触了Linux,等大家都在玩Windows,我已经接触到另一个领域了。”木雁回忆,如果不是这台通过助学基金买的手机,很多技术知识会延后学到,可能命运也就不一样了。

“不论黑客还是白帽子,挖漏洞的过程都一样,但结果不一样,黑客可能会拿挖到的漏洞去套现,白帽子就会把这个漏洞上报给官方,让他们及时采取修复措施。”木雁说,“这是黑客和白帽子的最大区别。”

“做公益众测这件事,其实是在帮他们完成一些小梦想。”木雁说,“我希望能帮助他们。”

从攻击者到防御者

“第一次通过先知用技术去做公益,能用自己擅长的方式——技术去帮助一些人,我很喜欢这样的模式。”阿里云安全工程师千霄认为这个点子好,于是报名参加。

在他看来,一些技术人员都比较宅,通过参加众测比赛,获得排名,公司可以了解到这些技术人员的能力,进而将人才挖掘出来。众测平台给了白帽子们一个合法的渠道去提交漏洞、与厂商建立联系,另外也可引导黑客向白帽子转变,形成良好的风气。

高中时,千霄就开始自学网络安全技术了,为了买《黑客X档案》——一本黑客入门级杂志、售价十元,他需要每天省一点吃晚饭的钱,“一个月才能省下这10块钱。”大二下学期起,他就通过参与各平台众测、挖漏洞获得奖金的方式缴纳学费和生活费、养活自己了。

2014年,他参加了阿里举办的CTF并获得第二名。除了2万多元的现金奖励,他还获得了2台MacBook pro。这场比赛,也成为他加入阿里的一个契机。2015年7月,从电子科技大学本科毕业后,他就直接加入阿里云,做安全防御相关的工作。

CTF(Capture The Flag)意为“夺旗赛”,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

“在高中、大学时,我更多可能会从攻击入侵者的视角去思考问题,会想着如何挖出一个系统漏洞,来阿里后,我更多会站在防御者视角去思考问题,就是怎么找到别的黑客在攻击,看他有没有攻击成功,我们怎么去做防御。”说起自己加入阿里云后的转变,千霄说,作为一个白帽子,不仅要懂得攻击逻辑,防御和对安全建设上的思考也是必备的技能。

收到2462封感谢信

朗泽是千霄的同事,他与千霄有着相似的成长经历,二人同为90后,也在同一家公司同一个部门就职,早在大学参加众测比赛时就相识。

“我们之前经常做这些测试,其实投入产出比很低,测试好几个星期,可能就挖出一两个漏洞。”朗泽说,虽然投入产出不成正比,但因擅长做众测,所以看到这样的项目,只要条件允许,还是都会积极参与。

众测在技术方面很具有挑战性,多数参赛人员均是把这次公益众测当成了一次练手的机会。在三个月时间里,他们利用自己下班时间及双休日来找漏洞。每次挖到漏洞,大家还会分享经验,进行技术交流。

但千霄和朗泽都震惊于木雁挖漏洞的效率和思路,“他效率很高,一开始一天一两个,而且用的是完全不同的思路和想法。”

三个多月后,20多名技术人员共获得46.46万元奖金,超过360等企业奖金之和,可谓力压群雄。其中,木雁以挖到13个漏洞的成绩拔得头筹,获得24.62万元奖金。

2017年4月,这46.46万元通过中国扶贫基金会的“爱心包裹”项目,捐给了重庆石柱土家族自治县7所小学的4646个孩子们,包裹中包含文具、美术用品等物品。时隔一年后,木雁收到这些孩子们寄来的2462封感谢信。


image

“每发现一个高危漏洞,就相当于获得一定额度的现金,就等于帮助了更多小孩子。”木雁说,“我努力了,就能帮助别人;再努力一点,就能帮助更多人。”

技术是冰冷的,但可以用技术去做有温度的事,这是阿里白帽子们的共识。

千霄说:“对我们来说,能帮到这些孩子们,都还是挺开心的。”

技术与年轻人

“工作上做的再出色,也只是工作,但对我来说,因为公益项目是利用我的业余时间做的,也会产生社会价值,所以影响会更加深远。”千剑说。他是阿里巴巴安全部高级技术专家,其作为技术负责人帮助国家禁毒办搭建的全国青少年毒品预防教育数字化平台——青骄第二课堂”已于今年6月25日正式推出。

据悉,“青骄第二课堂”的开发与维护落在阿里的肩上,是基于阿里巴巴之前成功开发公安部“团圆”系统的成功经验。但这个项目的成功也并非一人之功。

千剑介绍道,这个平台既有面向学生的功能、也有面向管理者的功能,其中,管理者的功能尤其复杂,相当于一个中型、大型的网站,技术水平要求极高,他必须组建技术团队,“我就在各种群里发布信息,招募技术人员来做志愿者,还要求志愿者要遵守‘利用个人时间做、不计入个人KPI、要对业务结果负责’三项要求。”

看似苛刻的要求却迅速吸引了很多人的关注。抱着“人人做公益”的理念,来自阿里安全、阿里云、钉钉等BU的18名阿里员工组成了志愿者队伍,开始推动“青骄第二课堂”项目的落地。

这一项目从2017年11月立项,仅用一个月就上线了第一个最简单的版本,今年3月份上线完整的版本,5月发布H5版本(即手机上适配的版本),6月正式在浙江和云南两个省进行推广和试点,目前已有近90万学生注册。

按照国家禁毒办的规划,他们希望通过“互联网+禁毒教育”的创新模式,向全国2亿青少年提供科学系统的毒品预防教育知识,提高防范意识,远离毒品侵害。

千剑表示,取名“青骄第二课堂”是希望将禁毒作为切入点,如果把“互联网+教育”这个公益模式走通,或许将来他们可以向更多领域扩展,“比如说,从小孩子入手,从小增强他们对电信诈骗相关信息的认知。”

“用先进的技术做最有温度的产品,用安全技术赋能公益事业,是阿里安全参与许多公益项目的初心。”阿里巴巴集团合伙人、首席风险官郑俊芳如是说。

原文发布时间为:2018-07-24
本文作者:孙茜茜
本文来自云栖社区合作伙伴“天下网商”,了解相关信息可以关注“天下网商”。

相关文章
|
人工智能 自然语言处理 大数据
作为网易用户,收到了一封特别的信…...
当时间像风一样拂过互联网和移动互联网时代,整个社会已经站在人工智能为主题的新时代大门前。
|
存储 网络协议 安全
计网: 一条QQ信息在发送中会经历了什么
计网: 一条QQ信息在发送中会经历了什么
135 0
|
监控 安全 开发者
安全日报邮件的发送和介绍|学习笔记
快速学习安全日报邮件的发送和介绍
137 0
安全日报邮件的发送和介绍|学习笔记
阿里面试真题详解:邮局的建立 II
阿里面试真题详解:邮局的建立 II
阿里面试真题详解:邮局的建立 II
|
弹性计算 开发者
|
监控
收到“云栖”寄送的丁酉鸡年礼物“阿里家书”
想不到自己收到的第一件与春节相关的礼物是“云栖”的,感谢楠管和贝管。 拆开来看,有皮外套的笔记本一样,和鸡年礼盒(有小台历、红包纸、对联、“福”贴纸和财神公仔一个)。 笔记本这么厚,代码我是不会写的了,留着写“相亲”日志吧。
3453 0
发几个通知(这是最后一个水文了,以后就都是纯技术文)
  1、感谢大家对我的支持,感谢给我写短信的几位园友,很欣慰,反对数没有远远大于推荐数。感谢大家给我的劝告。为了报答支持我的兄弟们,我决定以后只写技术文,用我的经验、技巧来回报支持我的人。     2、将于10:00(即2010.9.7 10:00)删除前两篇帖子,如果你还想看的话,那么请抓紧时间了,有些评论还是非常经典的,有些回复也是很搞笑的;如果你不愿意看的话,那么也不用急,过一会就消失了。
807 0
白宫电邮系统26日起瘫痪 用打印件发新闻稿
 据新华社电白宫电子邮件系统从26日早晨开始陷入瘫痪,次日是否能够恢复正常不得而知。 故障始于美国东部时间26日上午9时(北京时间26日晚10时)前不久,媒体记者所获最后一封电子邮件涉及新总统贝拉克·奥巴马当天谈论美国有意实现能源供应自给自足的一场活动。
875 0
|
算法 调度
您收到一封来自阿里巴巴全球调度算法大赛的邀请函
随着集群规模的不断扩大,资源利用率即使是1%的提升,也能给基础设施的成本带来非常显著的节约。阿里巴巴全球调度算法大赛将邀请来自海内外顶尖算法工程师、高校学者、学生共同探讨、研究如何更优雅地运用调度算法解决资源调度问题。
1888 0