吳俊宇

多數(shù)時(shí)候，黑客所從事的行為是破壞性的、反社會(huì)的，但白帽子恰恰是自發(fā)制約黑客的一群人。但他們一直游走在法律的灰色邊緣，雖然給自己加了白帽子的光輝，但黑白本相間，除了天知地知己知外，誰(shuí)又道得清說(shuō)得白？

10月24日的GeekPwn大會(huì)（極棒）上，一個(gè)個(gè)“黑客”向觀眾們展示他們?nèi)绾巫尣遄l(fā)微博、用鼻子解鎖手機(jī)指紋密碼等一系列不可思議的場(chǎng)景。

說(shuō)起“黑客”二字，大多數(shù)人會(huì)想起的應(yīng)該是制造“熊貓燒香”“蠕蟲(chóng)病毒”的一群“電腦高手”。但對(duì)于麥香濃郁、Chu以及他們背后的FlappyPig戰(zhàn)隊(duì)而言，“黑客”這個(gè)詞顯得有些過(guò)時(shí)。他們更愿意用“搞網(wǎng)絡(luò)安全的”這種稱謂來(lái)形容自己。如果要用更準(zhǔn)確的詞來(lái)形容這個(gè)自己，那就是“白帽子黑客”。

這是一群技術(shù)高超的白帽子，也是一群90后技術(shù)怪咖。

1024

GeekPwn是國(guó)內(nèi)頂尖信息安全團(tuán)隊(duì)碁震（KEEN）以及騰訊玄武實(shí)驗(yàn)室舉辦的。在國(guó)內(nèi)被譽(yù)為“白帽子黑客奧運(yùn)會(huì)”。每年GeekPwn大會(huì)上，都會(huì)有國(guó)內(nèi)外互聯(lián)網(wǎng)安全領(lǐng)域的大牛進(jìn)行技術(shù)展示。麥香濃郁、Chu、Joker三位隊(duì)員組成的FlappyPig戰(zhàn)隊(duì)，在GeekPwn上拿下了跨次元CTF（Capture The Flag，字面意為奪棋）大賽的冠軍。

“白帽子”是和黑客相對(duì)應(yīng)的一個(gè)詞。多數(shù)時(shí)候，黑客所從事的行為是破壞性的、反社會(huì)的，但白帽子恰恰是自發(fā)制約黑客的一群人。白帽子做的事情主要是主動(dòng)去發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)安全問(wèn)題，把問(wèn)題交給企業(yè)，讓企業(yè)修復(fù)問(wèn)題。

GeekPwn選在10月24日這天是有深意的，因?yàn)?024早已經(jīng)成為了程序員們的節(jié)日。這個(gè)節(jié)日是從硬盤(pán)存儲(chǔ)的容量中延伸而來(lái)的，因?yàn)?024M=1GB，諧音為“一級(jí)棒”。再加上程序員們大多是單身狗，愛(ài)逛草榴這樣的情色社區(qū)，早期草榴新手“每隔1024秒才能發(fā)帖一次”，所以網(wǎng)友們常常用1024這樣的暗號(hào)形容某個(gè)資源“一級(jí)棒”。1024這個(gè)數(shù)字在經(jīng)歷一系列的演繹之后，逐漸成了一整套黑話系統(tǒng)。

GeekPwn拆開(kāi)來(lái)看的話，是Geek和Pwn的合成詞，其中Geek來(lái)源于美國(guó)俚語(yǔ)，被用于形容對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)有狂熱興趣并投入大量時(shí)間鉆研并到登峰造極的一群人，在國(guó)內(nèi)被譯為“極客”。而“Pwn”是黑客語(yǔ)法的俚語(yǔ)詞，發(fā)音類似“砰”，意為成功實(shí)施黑客攻擊的聲音——“砰“的一聲，被“黑”的電腦或手機(jī)就被操縱了，指攻破設(shè)備或者系統(tǒng)。

當(dāng)天的跨次元CTF（Capture The Flag，字面解釋為奪棋，指網(wǎng)絡(luò)安全技術(shù)競(jìng)賽）大賽，被主辦方稱作是“以代碼對(duì)抗其他戰(zhàn)隊(duì)，爭(zhēng)奪無(wú)人機(jī)控制權(quán)，在數(shù)字世界與物理世界的較量”。

主辦方在賽前用極度夸張而科幻的語(yǔ)言向觀眾介紹游戲規(guī)則——2XXX年某區(qū)四國(guó)為了爭(zhēng)奪稀缺的生存資源，四國(guó)攻防精英都被召集參加此次勝利或滅亡的戰(zhàn)斗，開(kāi)始了飛機(jī)爭(zhēng)奪戰(zhàn)。各隊(duì)均可破解其他隊(duì)所擁有的基地，攻破后可獲得該隊(duì)的飛機(jī)控制權(quán)并轟炸任意一個(gè)基地。

主辦方甚至還在戶外草坪上真的準(zhǔn)備了四臺(tái)無(wú)人機(jī)以及各色彩球，每當(dāng)發(fā)起攻擊時(shí)，無(wú)人機(jī)都會(huì)搖搖晃晃載著彩球投向所謂的“基地”。現(xiàn)場(chǎng)大屏幕對(duì)戶外草坪進(jìn)行同步直播。

游戲介紹看起來(lái)奇幻無(wú)比，似乎是一場(chǎng)非常激烈的對(duì)抗賽。但現(xiàn)場(chǎng)的壓抑和沉悶卻讓氣氛枯燥到了極點(diǎn)，全場(chǎng)昏昏沉沉，不少記者都離席外出透風(fēng)，不少觀眾也打開(kāi)手機(jī)，不斷切換各個(gè)APP消磨時(shí)間。

這場(chǎng)持續(xù)一個(gè)半小時(shí)的代碼大戰(zhàn)中，四支戰(zhàn)隊(duì)的十二位隊(duì)員眼睛直勾勾地盯著筆記本電腦，一邊迅速敲擊鍵盤(pán)寫(xiě)下代碼，一邊和隊(duì)友竊竊私語(yǔ)。有些隊(duì)員甚至額頭上冒著細(xì)細(xì)密密的小汗珠，逐漸匯成大汗珠掉下來(lái)，濺落在演示臺(tái)上。

舞臺(tái)上唯一的看點(diǎn)在于舞臺(tái)電子屏幕上的四臺(tái)無(wú)人機(jī)。無(wú)人機(jī)時(shí)不時(shí)飛進(jìn)其他戰(zhàn)隊(duì)領(lǐng)空，投下彩色的小球，“轟炸”對(duì)手的基地。只有這個(gè)時(shí)候觀眾們才會(huì)放下手機(jī)，不明所以地發(fā)出尖叫聲。

經(jīng)歷了一個(gè)半小時(shí)的鏖戰(zhàn)后，F(xiàn)lappyPig戰(zhàn)隊(duì)以大比分優(yōu)勢(shì)取得勝利。這場(chǎng)勝利純屬意料之中。因?yàn)樵诟?guī)的XCTF國(guó)際網(wǎng)絡(luò)安全技術(shù)對(duì)抗聯(lián)賽2015-2016年積分榜上，F(xiàn)lappyPig戰(zhàn)隊(duì)位居第二，僅比排名第一的“國(guó)立臺(tái)灣大學(xué)”的217戰(zhàn)隊(duì)低5分，領(lǐng)先第三名50多分。

幾乎所有觀眾和媒體都以為舞臺(tái)上四支戰(zhàn)隊(duì)是通過(guò)代碼侵入其他戰(zhàn)隊(duì)的無(wú)人機(jī)，真的是用這種方式控制無(wú)人機(jī)，“轟炸”其他戰(zhàn)隊(duì)。

事實(shí)并非如此，這場(chǎng)比賽本身就是枯燥的。賽后麥香濃郁解釋，當(dāng)天的比賽只是分別給了四支戰(zhàn)隊(duì)四道有關(guān)網(wǎng)絡(luò)安全的題目，每當(dāng)解答出一道題目時(shí)，可以選擇攻擊其他三個(gè)戰(zhàn)隊(duì)，解題和無(wú)人機(jī)沒(méi)有任何關(guān)系，無(wú)人機(jī)的存在僅僅只是為了照顧舞臺(tái)效果。

當(dāng)我吐槽這一個(gè)半小時(shí)真難熬的時(shí)候，麥香濃郁卻輕飄飄地說(shuō)了一句，這場(chǎng)比賽夠輕松了，舞臺(tái)效果也不錯(cuò)，正規(guī)的XCTF國(guó)際網(wǎng)絡(luò)安全技術(shù)對(duì)抗聯(lián)賽持續(xù)48個(gè)小時(shí)，要做Web滲透和防護(hù)、二進(jìn)制服務(wù)漏洞挖掘利用與修補(bǔ)、系統(tǒng)防護(hù)和攻擊分析之類的任務(wù)，除去睡覺(jué)和討論的時(shí)間，經(jīng)常一口氣打十幾個(gè)小時(shí)，中途餓了就隨便吃點(diǎn)薯片填肚子甚至不吃不喝。

麥香濃郁給我看了幾張記錄FlappyPig戰(zhàn)隊(duì)在CTF聯(lián)賽的照片，賽場(chǎng)上每人一臺(tái)電腦、一張桌子。桌子上放著泡面、薯片、可樂(lè)、咖啡、礦泉水，活脫脫像個(gè)臨時(shí)搭建起的小賣(mài)鋪。

叫我代號(hào)

FlappyPig戰(zhàn)隊(duì)是在去年8月成立的，和參加X(jué)CTF聯(lián)賽的其他隊(duì)伍大多以一所學(xué)校為單位不同，他們是純自發(fā)建立的跨高校戰(zhàn)隊(duì)。

麥香濃郁和chu還在上大四，但他們的FlappyPig戰(zhàn)隊(duì)卻在國(guó)內(nèi)頂尖信息安全大賽中多次折桂。戰(zhàn)隊(duì)里12位還在象牙塔的隊(duì)員大多已經(jīng)提前進(jìn)入國(guó)內(nèi)知名互聯(lián)網(wǎng)公司的安全崗位。

戰(zhàn)隊(duì)隊(duì)長(zhǎng)代號(hào)叫bibi。bibi 說(shuō)這個(gè)戰(zhàn)隊(duì)的名字來(lái)源于兩個(gè)款游戲，一款是FlappyBird，另一款則是憤怒的小鳥(niǎo)。FlappyPig拿憤怒的小鳥(niǎo)里的搗蛋豬作為原型，加上翅膀，直接變成了自家的隊(duì)徽，寓意為“笨豬先飛”。

bibi是某軍校的研究生，出身于軍人家庭，高中時(shí)開(kāi)始接觸網(wǎng)絡(luò)信息安全。大學(xué)期間，bibi就專攻信息工程。每每參加聯(lián)賽，他都是匿名參戰(zhàn)。當(dāng)被問(wèn)起有關(guān)學(xué)校的相關(guān)信息時(shí)，bibi顯得有些諱莫如深，他笑稱，“本來(lái)我是不能接受采訪的?！笔潞?，我點(diǎn)開(kāi)bibi的微博發(fā)現(xiàn)，僅有的兩條狀態(tài)都早已被刪除，而bibi的QQ空間也處于未開(kāi)通的狀態(tài)。

事實(shí)上，每當(dāng)問(wèn)起真實(shí)姓名，以Chu為代表的隊(duì)員們大多會(huì)猶豫一秒回答道，“你就叫我的代號(hào)吧，這是圈內(nèi)的習(xí)慣。”

麥香濃郁是個(gè)特例，他是FlappyPig戰(zhàn)隊(duì)中唯一一個(gè)文科背景出身的隊(duì)員，12位隊(duì)員中，也只有他的代號(hào)是中文。11月10日，他把自己的微博從麥香濃郁改成了MMMxny。他自嘲稱，之前的名字太不利于我的國(guó)際化發(fā)展道路了。

麥香濃郁和Chu都是高中時(shí)期就開(kāi)始接觸網(wǎng)絡(luò)安全技術(shù)。高一那年，他們接觸到了《黑客防線》《黑客X檔案》這樣的雜志，在激發(fā)興趣愛(ài)好之后，時(shí)常浸泡在和相關(guān)的黑客論壇中鉆研技術(shù)。這段經(jīng)歷讓他逐漸了解到了黑客的職業(yè)方向，發(fā)展學(xué)習(xí)路線，還結(jié)交了一批起步早的大牛。

用Chu的話來(lái)說(shuō)，圈子里80%的人都是這樣，中學(xué)階段積累起了興趣愛(ài)好，憑借著對(duì)技術(shù)的一腔熱血便在其中不斷鉆研，逐漸自學(xué)成才。事實(shí)上，自學(xué)成才是這個(gè)“高智商”群體的普遍現(xiàn)象。

麥香濃郁和Chu之后發(fā)展路徑完全不同。一個(gè)是完全放養(yǎng)，一個(gè)則是科班出身。

高中文理分科時(shí)，麥香濃郁并沒(méi)有因?yàn)閷?duì)網(wǎng)絡(luò)安全的喜愛(ài)選擇理科，反而為了能有時(shí)間鉆研技術(shù)而選擇了文科。別人評(píng)價(jià)他是“智商過(guò)剩”，而用他的話來(lái)說(shuō)，“文科好考大學(xué)，還能結(jié)余時(shí)間用來(lái)發(fā)展興趣愛(ài)好。“高考那年，麥香濃郁填報(bào)志愿時(shí)，前三個(gè)志愿都和歷史相關(guān)，在他規(guī)劃中，他未來(lái)會(huì)從事考古事業(yè)。但陰差陽(yáng)錯(cuò)間，他在本科階段所學(xué)的電子商務(wù)專業(yè)不但和歷史無(wú)關(guān)，和網(wǎng)絡(luò)安全更是相距甚遠(yuǎn)。

麥香濃郁在大學(xué)期間走上了“三不管”的道路，全憑對(duì)網(wǎng)絡(luò)安全的興趣自由發(fā)展，在大學(xué)期間系統(tǒng)性了解網(wǎng)絡(luò)安全相關(guān)知識(shí)，慢慢走上正軌。

Chu的自學(xué)成才之路同樣充滿了曲折，高三那年他考上西安電子科技大學(xué)，但因?yàn)樯眢w問(wèn)題被迫休學(xué)一年。休學(xué)那年，他選擇了在家鉆研技術(shù)。2014年12月，等他休學(xué)結(jié)束回到學(xué)校的時(shí)候，西安電子科技大學(xué)成立了網(wǎng)絡(luò)與信息安全學(xué)院。這個(gè)學(xué)院在鐵血論壇上常常被不少“中華田園軍事專家”稱作是“培養(yǎng)中國(guó)黑客部隊(duì)”的地方。

所謂“培養(yǎng)中國(guó)黑客部隊(duì)”的說(shuō)法來(lái)源于《紐約時(shí)報(bào)》在2015年1月6日的一則報(bào)道。當(dāng)時(shí)報(bào)道稱，該學(xué)院成立表明，網(wǎng)絡(luò)安全已成為中國(guó)政府和軍隊(duì)越來(lái)越重要的學(xué)科領(lǐng)域。今天回想起這則新聞，Chu的臉上至今還充斥著不屑的神情，在他看來(lái)，“培養(yǎng)中國(guó)黑客部隊(duì)”的說(shuō)法“純屬扯淡”，但他恰恰是在這個(gè)時(shí)候以安全技能排名第一的成績(jī)進(jìn)入了這一學(xué)院。

如果說(shuō)麥香濃郁和Chu還算是“圈子里80%的人”，那么FlappyPig戰(zhàn)隊(duì)的Jarvis則是屬于另外20%的人，Jarvis被隊(duì)長(zhǎng)bibi譽(yù)為是戰(zhàn)隊(duì)的殺手锏。

2014年7月17日，奇虎360舉辦的Syscan 360安全會(huì)議上，安全研究人員稱特斯拉電動(dòng)汽車Model S存在安全漏洞。當(dāng)時(shí)Jarvis和他的同伴正是發(fā)現(xiàn)這一安全漏洞的人。Jarvis通過(guò)逆向破解手機(jī)應(yīng)用、無(wú)線射頻等方式遠(yuǎn)程控制了那輛Model S，并成功啟動(dòng)車輛。當(dāng)時(shí)，Jarvis剛上研一，是在場(chǎng)最年輕的參賽選手。

2000年，Jarvis小學(xué)三年級(jí)時(shí)便開(kāi)始接觸到電腦，和所有同齡人一樣，他沉迷于游戲。家里電腦沒(méi)有聯(lián)網(wǎng)，當(dāng)時(shí)優(yōu)盤(pán)也沒(méi)有普及，他就去同學(xué)家，把游戲拷貝進(jìn)軟盤(pán)之中，偷偷帶回家里。父母為了管束他，給電腦設(shè)置上了開(kāi)機(jī)密碼，而他尋找各種方式破解開(kāi)機(jī)密碼方式。

在道高一尺魔高一丈的攻防戰(zhàn)之中，父母最后妥協(xié)尋找到了一個(gè)新的出口，讓他學(xué)習(xí)編程。他通過(guò)自己閱讀書(shū)籍，參加編程的興趣班逐漸構(gòu)建起了自己的知識(shí)體系，隨后在初中、高中的經(jīng)歷中，Jarvis從一開(kāi)始參加一些編程大賽到后來(lái)參加網(wǎng)絡(luò)安全競(jìng)賽，逐漸為今天的白帽子之路打下了基礎(chǔ)。

一群怪咖

自學(xué)成才之后的白帽子總是會(huì)做一些在常人眼里很“怪咖”的事情。但其實(shí)，這幫“怪咖”就是一群簡(jiǎn)單純粹的熱愛(ài)技術(shù)的極客。

當(dāng)時(shí)還是小學(xué)生的Jarvis經(jīng)常自己寫(xiě)各類小游戲，并且給同學(xué)測(cè)試，在自己能寫(xiě)出游戲的情況下，他對(duì)游戲越來(lái)越不感興趣，對(duì)技術(shù)的鉆研反而成為了更大的樂(lè)趣。

在QQ還需要付費(fèi)注冊(cè)的時(shí)代，還在上小學(xué)五年級(jí)的Jarvis就開(kāi)始琢磨著要自制一款可以取代QQ的產(chǎn)品，在他看來(lái)，QQ的用戶體驗(yàn)太差，而且還需要花錢(qián)，他要做一款“不需要注冊(cè)，不需要登錄，只需要打開(kāi)網(wǎng)頁(yè)就可以聊天”的聊天室。

當(dāng)時(shí)他自制的這款聊天室簡(jiǎn)陋到只能發(fā)文字，不能點(diǎn)對(duì)點(diǎn)私聊，只能所有人在一個(gè)房間里公開(kāi)聊天，而且也沒(méi)有昵稱的標(biāo)注，在發(fā)言前還需要自己自報(bào)身份。當(dāng)時(shí)這個(gè)聊天室網(wǎng)站匯集了Jarvis的親人、同學(xué)、同學(xué)家長(zhǎng)以及一些因口碑傳播慕名而來(lái)的人，最高時(shí)同時(shí)在線人數(shù)達(dá)到100人以上，人數(shù)多時(shí)，界面就會(huì)卡頓嚴(yán)重。

Jarvis現(xiàn)在回憶這個(gè)產(chǎn)品，至今覺(jué)得有些神奇。這些往事也被FlappyPig戰(zhàn)隊(duì)的其他成員編成了段子——這屆小學(xué)生不行，只知道玩王者榮耀。

Jarvis的“極客范兒”后來(lái)愈演愈烈，成為了一種趨近“變態(tài)”的個(gè)性。上大學(xué)時(shí)，他為了在同學(xué)間炫技，給自己的電腦裝上了一款名為Gentoo的操作系統(tǒng)，在這個(gè)系統(tǒng)上，所有軟件都需要編譯才能使用，他甚至只能在這個(gè)操作系統(tǒng)上使用網(wǎng)頁(yè)版的QQ。他的手機(jī)也是當(dāng)時(shí)在極客圈里很流行的Nexus4，因?yàn)榭梢杂蒙显陌沧肯到y(tǒng)。

無(wú)論是電腦還是手機(jī)都給他的日常生活帶來(lái)了很多不便，而他的樂(lè)趣來(lái)源于如何解決這些不便，并且在解決不便之后能在同學(xué)面前“裝逼”，在他當(dāng)時(shí)看來(lái)，“電腦、手機(jī)越難用越好，越復(fù)雜越裝逼。”

不過(guò)，在研究生階段，這位怪咖經(jīng)歷了一次創(chuàng)業(yè)，這次在互聯(lián)網(wǎng)醫(yī)療領(lǐng)域的創(chuàng)業(yè)對(duì)他的改變是徹底的。過(guò)去他沉迷技術(shù)，不愛(ài)與人溝通，但在創(chuàng)業(yè)之后，他逐漸變得健談，也越來(lái)越感受到，產(chǎn)品簡(jiǎn)單即是好用，這位“怪咖”也逐漸回歸現(xiàn)實(shí)生活。

提起Jarvis時(shí)，麥香濃郁不止一次感慨，“這才是真正的大神?！焙蚃arvis一樣，麥香濃郁同樣也是一個(gè)把技術(shù)融入生活樂(lè)趣的人。麥香濃郁租住在西安科技大學(xué)附近的小區(qū)內(nèi)，第一次踏進(jìn)他的房間便可看見(jiàn)，門(mén)口擺滿了各色參賽證和獎(jiǎng)杯，而在書(shū)桌旁邊有兩個(gè)箱子，一個(gè)箱子里堆滿了零食，里面大半都是辣條，另一個(gè)箱子則是堆滿了玩偶，里面有哆啦A夢(mèng)、長(zhǎng)草顏團(tuán)子等很萌的動(dòng)漫形象。

他看到我對(duì)這兩個(gè)箱子感興趣時(shí)，顯得有些忸怩，他自嘲說(shuō)，“這都是從騰訊和360的安全平臺(tái)上提交漏洞換來(lái)的。很便宜，挖一個(gè)比較低級(jí)的漏洞，就能換一大袋，開(kāi)心嘛！”

麥香濃郁所說(shuō)的安全平臺(tái)其實(shí)指的是騰訊安全應(yīng)急響應(yīng)中心和360補(bǔ)天平臺(tái)這兩個(gè)白帽子們經(jīng)?；钴S的平臺(tái)。白帽子們常常會(huì)去尋找各個(gè)網(wǎng)站和平臺(tái)的網(wǎng)絡(luò)系統(tǒng)漏洞，在尋找到漏洞后提交到這兩個(gè)安全平臺(tái)上，安全平臺(tái)會(huì)視安全漏洞的嚴(yán)重程度獎(jiǎng)勵(lì)白帽子部分積分，在平臺(tái)的積分商城中，白帽子們可以用積分兌換現(xiàn)金或者其他禮品。

Chu在休學(xué)那年也經(jīng)常在各個(gè)安全平臺(tái)上積極提交漏洞，短短幾個(gè)月的時(shí)間內(nèi)，他就挖到了10個(gè)QQ空間的安全漏洞。回憶起當(dāng)時(shí)挖掘漏洞、提交漏洞的心情，Chu至今還覺(jué)得有些激動(dòng)，“當(dāng)時(shí)提交完漏洞后，總是會(huì)強(qiáng)迫癥一般登錄網(wǎng)站看漏洞有沒(méi)有通過(guò)審核。”

Chu算了一筆賬，當(dāng)時(shí)他在短短三四個(gè)月內(nèi)陸陸續(xù)續(xù)挖了20余個(gè)漏洞，以每個(gè)漏洞800-1000元的現(xiàn)金獎(jiǎng)勵(lì)計(jì)算，他很快就拿到了2萬(wàn)余元的收入。用Chu的話來(lái)說(shuō)，“生活品位明顯上來(lái)，原來(lái)喝不起5塊錢(qián)的牛奶，現(xiàn)在能買(mǎi)一箱了?！安贿^(guò)，白花花的現(xiàn)金收入并沒(méi)有給Chu帶來(lái)過(guò)多精神上的刺激，他自我評(píng)價(jià)這段經(jīng)歷為，“年紀(jì)小，想賺點(diǎn)零花錢(qián)，也想把自己學(xué)到的東西實(shí)踐一下?！?/p>

對(duì)很多同齡的“半吊子”白帽子而言，挖漏洞很容易上癮，因?yàn)橐粋€(gè)漏洞對(duì)應(yīng)著一筆收入，真金白銀的很誘人，很多略通技術(shù)的學(xué)生可以利用自己掌握的知識(shí)不斷重復(fù)使用，專攻一些小廠商的漏洞，這種方式一年可以收入十幾萬(wàn)甚至數(shù)十萬(wàn)元。

但在Chu的眼中，這種做法單是為了錢(qián)，對(duì)自己的成長(zhǎng)不利，“為什么不去做一些更好玩的事情呢？”

攻防之間

Chu邊咬手指甲邊抽煙，和我談起了一本名為《我是個(gè)算命先生》的小說(shuō)。這本帶有封建迷信色彩的小說(shuō)講述了一個(gè)82歲的算命老先生如何解密算命背后的江湖貓膩的故事。書(shū)中有這樣一句話：看的是面相，算的是八字，捕捉的是問(wèn)卦人臉上不斷閃爍的欲望：貪婪、虛榮、妒忌、恐懼、傲慢。

他很信奉這句話，在他看來(lái)，算命其實(shí)就是在利用人的心理漏洞來(lái)步步突破心理防線，在網(wǎng)絡(luò)安全領(lǐng)域其實(shí)也是如此，絕對(duì)的技術(shù)攻破難度比較大、時(shí)間比較長(zhǎng)，但利用人性的漏洞其實(shí)是最捷徑的做法。

Chu曾經(jīng)多次對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)巨頭的內(nèi)網(wǎng)進(jìn)行滲透測(cè)試。有兩次測(cè)試都僅僅花了不到兩個(gè)小時(shí)，就攻破了一家手機(jī)廠商、一家購(gòu)物平臺(tái)的內(nèi)網(wǎng)。Chu每次都是通過(guò)以客服人員為目標(biāo)，通過(guò)假裝售后維權(quán)的方式，誘騙客服人員點(diǎn)擊植入了木馬病毒的鏈接，最終侵入了對(duì)方的內(nèi)網(wǎng)?！叭耸亲畋∪醯狞c(diǎn)，我直接從人入手”，說(shuō)起這兩次滲透經(jīng)歷，Chu顯得很平靜。

但是，Chu所做的滲透試驗(yàn)其實(shí)在現(xiàn)在的法律中是空白，用知乎用戶“律匠Matt”的話來(lái)說(shuō)，白帽子是網(wǎng)絡(luò)世界的蝙蝠俠，目前主流網(wǎng)絡(luò)服務(wù)商都有專門(mén)的部門(mén)來(lái)接收白帽子的網(wǎng)絡(luò)漏洞，甚至還向白帽子支付獎(jiǎng)金，表彰那些為自己挖到漏洞的白帽子。但白帽子一直游走在法律的灰色邊緣，其工作屬性要求不可避免地需進(jìn)入互聯(lián)網(wǎng)網(wǎng)站，并和黑客使用同樣的工具軟件，查看、分析、提取、測(cè)試數(shù)據(jù)，從而發(fā)現(xiàn)網(wǎng)站漏洞。這一系列的動(dòng)作其實(shí)早已是懸在白帽子頭上的達(dá)摩克利斯之劍，隨時(shí)會(huì)落下。雖然給自己加了白帽子的光輝，但黑白本相間，除了天知地知己知外，誰(shuí)又道得清說(shuō)得白？

矛盾很多時(shí)候來(lái)源于兩個(gè)方面。事實(shí)上，部分白帽子就在黑白之間自由轉(zhuǎn)換，一方面為廠商尋找漏洞，另一方面在尋找到漏洞的同時(shí)順手牽羊拿走機(jī)密數(shù)據(jù)。很多重視網(wǎng)絡(luò)安全、尊重白帽子生態(tài)的互聯(lián)網(wǎng)大廠對(duì)白帽子的態(tài)度比較開(kāi)明，但對(duì)于一部分被發(fā)現(xiàn)漏洞的廠商而言，不僅諱疾忌醫(yī)，更是擔(dān)心機(jī)密數(shù)據(jù)被盜。特別是銀行、保險(xiǎn)行業(yè)，出于公眾輿論和信息安全的考慮，更是忌諱白帽子。恰恰如此，白帽子在挖漏洞的時(shí)候很容易在黑白之間被扣上非法侵入計(jì)算機(jī)信息系統(tǒng)的罪名。

當(dāng)問(wèn)及這種滲透會(huì)不會(huì)給自己帶來(lái)法律和道德風(fēng)險(xiǎn)時(shí)，Chu解釋說(shuō)，這是完全模擬黑客入侵的做法，黑客的思維一定是尋找到成本最低、速度最快的突破口。黑客攻擊現(xiàn)在已經(jīng)不僅僅停留在技術(shù)層面的攻擊了，早就上升到了社會(huì)工程攻擊的維度上。

事實(shí)上，第一個(gè)被美國(guó)聯(lián)邦調(diào)查局通緝的黑客凱文·米特尼克，就在《反欺騙的藝術(shù)》一書(shū)寫(xiě)到，利用人的弱點(diǎn)如輕信、健忘、膽小、貪便宜等，可以輕易地潛入防護(hù)最嚴(yán)密的網(wǎng)絡(luò)系統(tǒng)。20歲那年，凱文·米特尼通過(guò)這種方式，進(jìn)入了包括美國(guó)國(guó)防部等網(wǎng)絡(luò)系統(tǒng)，并獲取了管理員特權(quán)。

“未知攻，焉知防？攻防永遠(yuǎn)是相對(duì)應(yīng)的?！盋hu反問(wèn)，“一個(gè)企業(yè)總想著安全防護(hù)，但是企業(yè)內(nèi)部都沒(méi)有在網(wǎng)絡(luò)安全一線的人，都不知道黑客進(jìn)攻的手段是什么，那你靠什么去防護(hù)？反過(guò)來(lái)看，我作為黑客知道進(jìn)攻的手段是什么，我只要阻斷這個(gè)手段，那就是防護(hù)了?！?/p>

在Chu眼里，白帽子就是一群會(huì)武功的人，他想做行俠仗義的武俠高手。Chu最喜歡的武俠是陸小鳳，“因?yàn)樗容^浪，我也比較浪”。說(shuō)完，Chu羞澀地笑了笑。