专业网站建设B/S软件开发专业微信营销专业技术建设团队做客户满意度最高的软件公司
郑州网站建设、郑州网站开发
 

以黑客的名义做公益,是一种怎样的体验?

作者:网站建设出处:学众科技发布时间:2018年04月17日点击数:1236

黑客做公益,这确实是个新闻。

然而在黑客当中,有一个特别 的类别,他们拥有犀利的网络入侵技术,却在发现安全漏洞时提醒对方修复,从而抵御真正的入侵者,外界通常称之为“白帽子”。

时间是凌晨 2:18,昏暗的房间里,木雁伏在电脑前睡着了,他梦见一辆载着学习用品的货车开进了山里,孩子们满心欢喜地拆开包裹,笑声是那么天真无邪。起初木雁心想,孩子们一定想不到这些竟是一群“黑客”捐赠的。可他立刻又想到,这样贫困的山区里,连最基本的学习都成问题,更别提了解什么互联网、黑客了。

梦到这里木雁忽然惊醒了,电脑屏幕还亮着,他揉揉眼睛继续敲代码。在白天,他是阿里巴巴集团的一名网络安全工程师,此时此刻,他的身份是“白帽子”,正在一家公司的网络系统“体检”。多找出一个安全漏洞,就又多改善几十个贫困孩子的学习条件,哪怕只多一点点。

木雁是一名黑客,却不是我们传统印象中,网络世界的入侵者。相反,他在发现企业和机构的安全漏洞后,会提醒对方及时修补,抵御真正的入侵者——恶意攻击和地下黑产。在安全圈里,像木雁这样的黑客有一个共同的名字 —— 白帽子。

两个多月后,木雁和他的同事千宵站在了阿里云先知白帽大会捐款仪式的台上。上台之前,他其实准备了一些感言,可接过捐赠证书时,一股自豪和幸福感涌上心头,他却有些说不出话,最后只简单说了两句 “ 能帮助到这些孩子们,我们真的很开心……“,没想到身旁的同事千宵更夸张,接过话筒,犹豫半天说了一句 “和他差不多吧……”

连帽卫衣、格子衬衫牛仔裤,标准“工程师的模样”,说的话也像个路人,这一切都和他们脚下摆着的46万元支票形成强烈的反差。他俩刚刚向中国扶贫基金会捐出了自己挖掘漏洞获得的46万元奖金。

现场的一位朋友表示:“突然觉得这就是做技术人的魅力所在,他们永远觉得自己所做的很轻,其实意义却很重。”

此时,阿里云首席安全研究员吴翰清(道哥)和先知平台负责人笑然也坐在观众席,他们望着台上这一切,感慨万分 ,深知这一切来得不容易。

2016年10月12日,道哥和笑然忽然有了个奇特的想法:“先知平台除了让白帽子用技术帮助企业之外,是否能为社会做些有温度的小事?”

这一想法或许源于阿里巴巴的“公益3小时”计划。在阿里巴巴,公益似乎已经变成了企业文化一般的存在。

道哥心想,公益和白帽子或许能有一个好的结合点 —— 既能为社会做点有温度的事,又能为白帽子群体摘掉一些标签,塑造些正面形象。信息安全岗位本身就特别敏感,不光要技术好,同时在道德上也要一定要品行端正。白帽子做公益,也算是对自身道德品性的一次小小的证明。

在此之前,白帽子群体背负了太多争议和质疑。

据了解,企业和白帽子之间原本就存在一种微妙关系。一方面,企业确实在白帽子的帮助下发现很多盲点,提升了安全水平;另一方面,厂商也担心白帽子在测试时一不小心越过边界,造成数据泄露或破坏,更害怕有人打着白帽子的旗号,去拖库、交易这些数据。自2016年,这种微妙的关系逐渐激化,白帽子的行为边界、法律风险等话题,如今必定出现在国内每一个大大小小的安全会议上。

道哥算了算,阿里巴巴全集团有一百多名全国最优秀的一批安全工程师,若能借“公益三小时”,号召内部的安全工程师参与“公益众测”,既能帮助企业解决问题,还能让大家看到白帽子的情义和正义,更能帮助有需要的人,一举三得。

但他很快意识到一个问题 —— 向其他部门“借人”来参与众测,这涉及跨部门的人员协调,其中的财务分配、人资调配等相关流程都相当麻烦。况且集团内部出于廉政考虑,并不主张内部的安全工程师参与众测平台的活动,怕影响工程师们的本职工作。

果然,当先知平台的负责人笑然开始着手推进项目,立刻遇到了巨大的阻力。一封邮件群发出去,收到的回复大多是反对。

笑然说,“ 当时一打开邮箱,前两封邮件就是两个强烈反对意见,当时心里咯噔一下,觉得项目悬了。” 此后一周,她又多次尝试和各个部门重新沟通,无果。

于是她联系上了阿里巴巴社会责任部的负责人华山。

华山此时恰好正在琢磨一个问题:怎么能把公益和一个人的行业更好的结合起来做,产生更大的社会价值。他觉得,每个行业都有自己最擅长的公益方式。

比方说,一名律师去做环保,最好的方式绝不是周末去街上捡几个塑料瓶子几个烟头,而是为环保机构提供法律援助,或是参与一场环保诉讼案。要知道,在国外一次专业的法律咨询,一小时支付几百美金都很平常,让他们把这几小时用来捡垃圾做公益,岂不是让原本能产生的公益价值大打折扣。

当华山听笑然说了众测和公益结合的想法,眼前忽然眼前一亮 —— 这不就是安全技术人员做公益的正确姿势嘛?

他觉得这件事不仅阿里内部的人要做,还应该发动更多的白帽子来做。

在华山的概念里,白帽子黑客的形象就像互联网中的大侠,正直之下,有自己的一套行为模式,能力强大又放荡不羁。他自己就见识过一个白帽子自己摸进公益组织的网站后台,留下一份匿名的安全报告说,

看到这么多善款不安全,我实在忍不住,网站有许多安全漏洞,我已经查了个遍,望能尽快修复,修复方法如下……

华山心想,这不就像小说里行走江湖的大侠,或者“怪侠”干的事吗? 或许他的初衷是好的,但方式却未必是对的,甚至,不打招呼就就渗透进来还可能犯法了。

与其一棍子打死,倒不如给他们一个正规的渠道,让他们能名正言顺地来做这些确实有益的事情。如今绝大部分的捐赠都发生在线上交易,大量的善款在网上流动,但大部分公益组织并没有网络安全防范意识或能力,万一出现信息泄露或是财务损失,伤的是社会上那些爱心人士、捐赠人的心。

一番讨论之后,他们又在计划中加了几条:

  • 在平台上开放公益众测项目,企业和白帽子可以自愿捐出部分或全部收益。
  • 公益机构在先知平台公布安全测试需求,平台白帽子和阿里云云盾都可以为他们输出安全能力。

白帽子有他们最擅长的方式来做公益,他们能做的事情是其他许多行业做不了的。也和去大街上捡垃圾、刻意拿出钱来捐款完全不一样的。

华山表示:“把公益揉碎了融入到一个人的工作生活当中,这是我们一直想做的事情。当你买一个环保的商品,哪怕为环境做出一点点贡献;网上两个同样的商品,你选择参与公益活动的哪一个,哪怕每次只捐出去一毛钱一分钱,都会逐渐在你的良知里沉淀下来,你让这个社会又变好了一点点。一个人越帮助别人,做的事情就会越来越正面。

笑然在阿里巴巴内部号召安全工程师做公益的事情,也在这时出现了转机。当她忐忑地打开一封一封邮件,很多工程师都在问她怎么参与这个项目。最让她惊讶的是,其中就有原本极力反对该项目的人。在公益的感召下,人们的态度发生了 180 度转变。

几天之内,20 名安全工程师加入,而且人数仍在不断增加,这超出了笑然的预期。此时距离最初项目提议,已经过去一个多月。这一个月里,她来回奔走于法务、财务、人资、合规以及各个涉及安全的部门,讨论、敲定项目运作的细节,以及探讨公益计划未来的规划。从一般 工程师一直找到M5级别的负责人(注:再往上就是集团副总裁)

如今她终于松了一口气。

2017年3月24日的云盾先知白帽大会上,笑然在台上讲述她眼中白帽子的样子,她说:”我眼中的白帽子,是一群技术又好、又勤奋、靠谱的人……“

此时,PPT上出现的是工作群里的一段对话:

“和大家同步下进度,到今天凌晨三点测试已全部完成,目前正在整理测试报告……”

“好的,谢谢! 辛苦了@笑然”

在此之前,他们已经连续几天彻夜开工,因为不能影响本职工作,他们只能抽出周末以及每天下班之后的时间来完成。当整整八十五页的漏洞报告整理完毕,第一个公益众测项目结束了。这意味着第一批善款终于有了着落,也意味着一个新的开始。

白帽子用找漏洞的方式来提升安全,这种方式注定他们将要饱受猜忌。你知道的,猜忌是摧毁善意最快的方式,庆幸的是,真正的白帽子对这个世界的善意并没有被猜忌所摧毁,他们仍在用自己的方式让这个世界贡多一些美好,哪怕只是一点点。

沙澧街