黑客做公益,这确实是个新闻。
然而在黑客当中,有一个特殊的类别,他们拥有犀利的网络入侵技术,却在发现安全漏洞时提醒对方修复,从而抵御真正的入侵者,外界通常称之为“白帽子”。
一
时间是凌晨 2:18,昏暗的房间里,木雁伏在电脑前睡着了,他梦见一辆载着学习用品的货车开进了山里,孩子们满心欢喜地拆开包裹,笑声是那么天真无邪。起初木雁心想,孩子们一定想不到这些竟是一群“黑客”捐赠的。可他立刻又想到,这样贫困的山区里,连最基本的学习都成问题,更别提了解什么互联网、黑客了。
梦到这里木雁忽然惊醒了,电脑屏幕还亮着,他揉揉眼睛继续敲代码。在白天,他是阿里巴巴集团的一名网络安全工程师,此时此刻,他的身份是“白帽子”,正在一家公司的网络系统“体检”。多找出一个安全漏洞,就又多改善几十个贫困孩子的学习条件,哪怕只多一点点。
木雁是一名黑客,却不是我们传统印象中,网络世界的入侵者。相反,他在发现企业和机构的安全漏洞后,会提醒对方及时修补,抵御真正的入侵者——恶意攻击和地下黑产。在安全圈里,像木雁这样的黑客有一个共同的名字 —— 白帽子。
两个多月后,木雁和他的同事千宵站在了阿里云先知白帽大会捐款仪式的台上。上台之前,他其实准备了一些感言,可接过捐赠证书时,一股自豪和幸福感涌上心头,他却有些说不出话,最后只简单说了两句 “ 能帮助到这些孩子们,我们真的很开心……“,没想到身旁的同事千宵更夸张,接过话筒,犹豫半天说了一句 “和他差不多吧……”
连帽卫衣、格子衬衫牛仔裤,标准“工程师的模样”,说的话也像个路人,这一切都和他们脚下摆着的46万元支票形成强烈的反差。他俩刚刚向中国扶贫基金会捐出了自己挖掘漏洞获得的46万元奖金。
现场的一位朋友告诉雷锋网:“突然觉得这就是做技术人的魅力所在,他们永远觉得自己所做的很轻,其实意义却很重。”
此时,阿里云首席安全研究员吴翰清(道哥)和先知平台负责人笑然也坐在观众席,他们望着台上这一切,感慨万分 ,深知这一切来得不容易。
二
2016年10月12日,道哥和笑然忽然有了个奇特的想法:“先知平台除了让白帽子用技术帮助企业之外,是否能为社会做些有温度的小事?”
这一想法或许源于阿里巴巴的“公益3小时”计划。在阿里巴巴,公益似乎已经变成了企业文化一般的存在。
道哥心想,公益和白帽子或许能有一个好的结合点 —— 既能为社会做点有温度的事,又能为白帽子群体摘掉一些标签,塑造些正面形象。信息安全岗位本身就特别敏感,不光要技术好,同时在道德上也要一定要品行端正。白帽子做公益,也算是对自身道德品性的一次小小的证明。
在此之前,白帽子群体背负了太多争议和质疑。
据雷锋网(公众号:雷锋网)了解,企业和白帽子之间原本就存在一种微妙关系。一方面,企业确实在白帽子的帮助下发现很多盲点,提升了安全水平;另一方面,厂商也担心白帽子在测试时一不小心越过边界,造成数据泄露或破坏,更害怕有人打着白帽子的旗号,去拖库、交易这些数据。自2016年,这种微妙的关系逐渐激化,白帽子的行为边界、法律风险等话题,如今必定出现在国内每一个大大小小的安全会议上。
道哥算了算,阿里巴巴全集团有一百多名全国最优秀的一批安全工程师,若能借“公益三小时”,号召内部的安全工程师参与“公益众测”,既能帮助企业解决问题,还能让大家看到白帽子的情义和正义,更能帮助有需要的人,一举三得。
【道哥】
但他很快意识到一个问题 —— 向其他部门“借人”来参与众测,这涉及跨部门的人员协调,其中的财务分配、人资调配等相关流程都相当麻烦。况且集团内部出于廉政考虑,并不主张内部的安全工程师参与众测平台的活动,怕影响工程师们的本职工作。
果然,当先知平台的负责人笑然开始着手推进项目,立刻遇到了巨大的阻力。一封邮件群发出去,收到的回复大多是反对。
笑然说,“ 当时一打开邮箱,前两封邮件就是两个强烈反对意见,当时心里咯噔一下,觉得项目悬了。” 此后一周,她又多次尝试和各个部门重新沟通,无果。
于是她联系上了阿里巴巴社会责任部的负责人华山。
三
华山此时恰好正在琢磨一个问题:怎么能把公益和一个人的行业更好的结合起来做,产生更大的社会价值。他觉得,每个行业都有自己最擅长的公益方式。
比方说,一名律师去做环保,最好的方式绝不是周末去街上捡几个塑料瓶子几个烟头,而是为环保机构提供法律援助,或是参与一场环保诉讼案。要知道,在国外一次专业的法律咨询,一小时支付几百美金都很平常,让他们把这几小时用来捡垃圾做公益,岂不是让原本能产生的公益价值大打折扣。
当华山听笑然说了众测和公益结合的想法,眼前忽然眼前一亮 —— 这不就是安全技术人员做公益的正确姿势嘛?
【华山】
他觉得这件事不仅阿里内部的人要做,还应该发动更多的白帽子来做。
在华山的概念里,白帽子黑客的形象就像互联网中的大侠,正直之下,有自己的一套行为模式,能力强大又放荡不羁。他自己就见识过一个白帽子自己摸进公益组织的网站后台,留下一份匿名的安全报告说,
看到这么多善款不安全,我实在忍不住,网站有许多安全漏洞,我已经查了个遍,望能尽快修复,修复方法如下……
华山心想,这不就像小说里行走江湖的大侠,或者“怪侠”干的事吗? 或许他的初衷是好的,但方式却未必是对的,甚至,不打招呼就就渗透进来还可能犯法了。
与其一棍子打死,倒不如给他们一个正规的渠道,让他们能名正言顺地来做这些确实有益的事情。如今绝大部分的捐赠都发生在线上交易,大量的善款在网上流动,但大部分公益组织并没有网络安全防范意识或能力,万一出现信息泄露或是财务损失,伤的是社会上那些爱心人士、捐赠人的心。
一番讨论之后,他们又在计划中加了几条:
在平台上开放公益众测项目,企业和白帽子可以自愿捐出部分或全部收益。
公益机构在先知平台发布安全测试需求,平台白帽子和阿里云云盾都可以为他们输出安全能力。
白帽子有他们最擅长的方式来做公益,他们能做的事情是其他许多行业做不了的。也和去大街上捡垃圾、刻意拿出钱来捐款完全不一样的。
华山告诉雷锋网:“把公益揉碎了融入到一个人的工作生活当中,这是我们一直想做的事情。当你买一个环保的商品,哪怕为环境做出一点点贡献;网上两个同样的商品,你选择参与公益活动的哪一个,哪怕每次只捐出去一毛钱一分钱,都会逐渐在你的良知里沉淀下来,你让这个社会又变好了一点点。一个人越帮助别人,做的事情就会越来越正面。
四
笑然在阿里巴巴内部号召安全工程师做公益的事情,也在这时出现了转机。当她忐忑地打开一封一封邮件,很多工程师都在问她怎么参与这个项目。最让她惊讶的是,其中就有原本极力反对该项目的人。在公益的感召下,人们的态度发生了 180 度转变。
几天之内,20 名安全工程师加入,而且人数仍在不断增加,这超出了笑然的预期。此时距离最初项目提议,已经过去一个多月。这一个月里,她来回奔走于法务、财务、人资、合规以及各个涉及安全的部门,讨论、敲定项目运作的细节,以及探讨公益计划未来的规划。从普通工程师一直找到M5级别的负责人(注:再往上就是集团副总裁)
如今她终于松了一口气。
2017年3月24日的云盾先知白帽大会上,笑然在台上讲述她眼中白帽子的样子,她说:”我眼中的白帽子,是一群技术又好、又勤奋、靠谱的人……“
此时,PPT上出现的是工作群里的一段对话:
“和大家同步下进度,到今天凌晨三点测试已全部完成,目前正在整理测试报告……”
“好的,谢谢! 辛苦了@笑然”
在此之前,他们已经连续几天彻夜开工,因为不能影响本职工作,他们只能抽出周末以及每天下班之后的时间来完成。当整整八十五页的漏洞报告整理完毕,第一个公益众测项目结束了。这意味着第一批善款终于有了着落,也意味着一个新的开始。
白帽子用找漏洞的方式来提升安全,这种方式注定他们将要饱受猜忌。你知道的,猜忌是摧毁善意最快的方式,庆幸的是,真正的白帽子对这个世界的善意并没有被猜忌所摧毁,他们仍在用自己的方式让这个世界贡多一些美好,哪怕只是一点点。