烏雲背後的「白帽子」
「烏雲」自成立伊始,就和「白帽子」分不開了,甚至被認為是「白帽子」的家園和旗幟。很多人都說,「烏雲」的核心價值就是其背後的「白帽子」。
俠以武犯禁,罪乎?
我覺得,大家應該都贊成這個共識:「白帽子」不會惡意利用安全漏洞。
我認為這個共識中最關鍵的詞是「惡意」。
而此處的「惡意」這詞,很多人認為是對利用漏洞行為的動機的判定,但我想說的是,「惡意」不代表著動機,而是對利用漏洞行為的結果判定。
利用安全漏洞的行為結果是否是惡意的,或者說是否構成犯罪。在目前國內的法律上已經有一些較明確的界定。記得TK教主曾經發文專門說過,安在也曾特地找來律師對法律條款進行解讀。這裡我就不贅述。
這n里還是引用TK教主的話:「入侵獲取 10 組以上金融證券行業的用戶身份認證信息,或 500 組以上一般系統的用戶身份認證信息,或入侵了 20 n台系統,就可以判刑了。如果獲取 50 組以上金融證券行業的用戶身份認證信息,或 2500 組以上一般系統的用戶身份認證信息,或入侵了 100 n台系統,就可以判三年以上。」
而據我對「白帽子」們不太確切的了解,從這個界定出發,或許對大部分「白帽子」的行為判定都能歸屬到「惡意」的範疇。
這個事實,很多人都不能接受。理由是:我的動機是沒有惡意的。
那麼,接下來,我們來分析動機的界定。
借用看到過的論文《作案動機判定的難點和偵查學鑒定》中關於動機生成機制的觀點:「內在需要(激發作用)——外在誘因(推動作用)——需要與誘因相結合(共同作用)——個體自我調節(決定作用)——動機的形成」。
而「這種推動作案人實施犯罪行為的直接心理動因即作案動機,是多種因素綜合作用的結果。」
看到這裡,我的結論是:在偵查實踐和犯罪心理研究中,你的動機是否屬於作案動機,並不是由你的目的和出發點決定的,而是由你的行為決定的。
這意味著,無論我們辯解自己的動機如何,一旦形成犯罪行為,這些動機就是作案動機。作案動機僅會在司法實踐中影響量刑的幅度,而並不能抹消作案行為。
因此,無論是出於自身在錢財方面的需要,還是出於樂於助人的好心、好奇心和學習的自我心態,或是炫耀、報復、憤怒等心理情感的作用,亦或是外界環境(技術崇拜、金錢至上的社會環境影響,或是被其他人誘導或哄騙等),動機有無惡意,並不等同於行為有無違法。
所以,第一個共識,我們可以簡單概括成:「白帽子」的行為必須合法。無論你的動機好壞,行為不合法,那就不是「白帽子」。
如果說自己是俠義心腸,卻以武犯禁,以正義之名,卻行惡意違法之事,這與勒龐《烏合之眾》中描述的那些「暴民群體」有什麼區別?這與我們所呵斥的「黑帽子」又有什麼區別?
而什麼樣的行為合法,什麼樣的行為不合法,還請仔細閱讀相關法律條款和司法解釋。
人人心中都有一個教主,卻是一千個人心中有一千個教主。
「白帽子」一詞自從誕生之日起,就代表著一個群體,而不是某一個人或某些人。
然而,與許多組織團體不同的是,「白帽子」是個鬆散的群體,而不像正式組織那樣具有高度的互依賴性和共同性。可以說,組織只是群體的一個子集,並不能完全代表群體。
這就要談到一個問題:「烏雲」能代表「白帽子」嗎?
不能。「烏雲」是個商業組織,雖然它提供了一個平台,可供「白帽子」群體進行交流技術和發布漏洞,但他只是「白帽子」群體的一個子集,它不能代表白帽子,也沒有誰能代表整個「白帽子」。
因此,不客氣地說,在和「烏雲」相關的各種事件中,無論是誰說出「我們白帽子如何如何」的話,都是一種個人or組織綁架群體的行為。
而更為根本性的問題是,「白帽子」到底是一個實屬群體,還是一個參照群體?
根n據群體行為理論,實屬群體是個體實際歸屬的群體,個體在其中要承擔相應的角色和義務,享受相應的權利和照顧,與他人發生互動關係,受到群體規劃、行為規n范、群體壓力等因素的制約。而參照群體不一定是個體實際歸屬的群體,但肯定是個體在心理上「嚮往」的群體,個體會把這種參照群體的規範、標準、價值觀等作n為學習的榜樣和行動的參照。
以n我個人的觀點,「白帽子」實際是一個參照人物非常模糊的參照群體。可以說,人人心中都有一個教主,卻是一千人心中有一千個教主。許多「白帽子」在嚮往教主n和袁哥的技術和地位時,卻有意或無意地忽略了教主和袁哥在面對道德、法律、制度等的約束時的行為準則。也就是說,他們的參照人物看似真實、豐滿,實則片n面、虛妄。
他們既想成為對社會、對安全有價值的人,贏得合理合法的名譽、地位、金錢,卻又不希望受到國家和社會既有制度、規範的制約,他們嚮往著互聯網「自由、開放、共享」精神,卻不太接受互聯網的社會化趨勢。
這種偏差,是很多「白帽子」相關事件的根源之一。兩全其美,談何容易。
而n與此同時,作為國家、作為監管機構,作為商業組織(無論是甲方還是乙方),他們眼中的「白帽子」卻應該是一個實屬群體,納入一個可供監管的組織之內。由於n安全行業的特殊性,他們希望「白帽子」在享受相應權利的同時,也要承擔相應的角色和義務,受到明確的法律法規、行為規範、監管措施等的管理和監督。而這個n基於中央集權理念的出發點和期望,卻是與許多「白帽子」所嚮往的「自由、開放、共享」的互聯網精神有不少衝突。
這種衝突,則是很多「白帽子」相關事件的另一個根源。
同n樣,「白帽子」群體的鬆散性和非正式性,也必然導致其內存在秉持不同理念、遵守不同行為準則的子群體。而各個子群體間的差異性,決定著其選擇參照人物和對n待國家監管時的不同選擇。而不可忽視的,「白帽子」中的不同子群體,乃至各個子群體內部,仍會因技術、人脈、收入等因素存在雖然模糊卻隱約可見的階級之n分。
因此,要做到正確對待「白帽子」群體,最重要的就是做好子群體的分類分級。不同類型、不同階級的子群體和個人,需要不同的對待方式。
互聯網,黑客永不眠
「烏雲」的關停引發新一輪對「白帽子」定位和行為規範的大討論。在看過各種觀點,聽過各類聲音後,我突然發現,這個討論缺少了一個最關鍵的聲音:普通民眾。
這幾天,我和家人,圈外的朋友,甚至樓下便利店相熟的店員和店長,都聊了一下「白帽子」和「烏雲」。我大致整理了下結果,普通人的看法是這樣的:
1.對「白帽子」的整體印象:
挖n洞什麼的不太了解;感覺很神秘;一群宅男;好像小孩子居多;技術很厲害;按幾下鍵盤就能控制電腦和各種帶電的東西(我覺得是電影看多了。但很有意思的是,n當我試圖糾正時,他們舉了很多據稱是自己熟人的例子,說就是這麼牛的);都是半夜幹活;銀行和軍隊也擋不住他們(用什麼什麼新聞報道舉例,我沒話說);好n人壞人都有;實際身份很讓人好奇。
2.對「白帽子」做的事情:
這是在搞公益吧;感覺和記者做的事情差不多;有點偷偷摸摸的感覺;他們發現了這麼多問題以後很多應用不敢用了。
3.對「白帽子」的疑問:
國家和人家公司讓他們這麼搞?會不會偷別人的信息私自倒賣?不會偷別人的錢吧?搞這個不犯法嗎?
搞這個能養活自己嗎?有這技術在騰訊、華為不是能賺更多?(筆者在深圳)4.對於「烏雲」的整體印象:
不了解也搞不明白這個公司幹啥;能網羅這麼多人背景應該很深;這個名字起得怪怪的。
6.對「烏雲」做的事情:
感覺做的事情好像很好,但是總感覺哪裡不對;「烏雲」怎麼賺錢?
7.對「烏雲」的疑問:
國家允許這樣公開嗎?會不會公開了就被壞人利用?要賺錢的公司搞這個會不會不合適?「烏雲」有沒有我們的數據(他們說如果「烏雲」沒拿到數據,怎麼知道泄露了多少數據,又怎麼確認黑產傳播的數據是不是真的)?
綜合上面這些信息和問題,我覺得:至少一部分普通民眾還是區分不了「白帽子」、「駭客」、「黑客」。基本的安全常識宣貫還是任重道遠。在安全圈裡自嗨,不如走出去,和國家、其他企業或機構攜手,讓更多的人知道該知道的安全常識。
02新聞媒體報道和小道八卦謠傳仍然是普通民眾的主要信息來源,媒體過多負面、誇大地報道「白帽子」群體,普通民眾對「白帽子」的觀感普遍失真,且有向負面滑落的傾向。因此,如何讓媒體正確的報道和引導,是一個非常重要的問題。
03雖n然不懂技術,但是普通民眾普遍對「白帽子」、「烏雲」所做的事情是否合法有疑慮,而個人隱私數據是否有可能因此被外泄,也是重點關心的話題。如果這個問題n不妥善解決,那麼「白帽子」在他們眼中仍然是魚龍混雜,好壞都有的。那麼,普通民眾就不可能正面的接受「白帽子」的存在。這個惡性循環會越繞越深。
04普n通民眾仍然更加信任國家,而不願意以賺錢為目的的公司背景的組織來做這個事。而且,普通民眾也認為國家有能力做這個,只是願不願意花力氣做而已。這實際是n一個比較尷尬的問題,除非是政府機構或者公益性組織,否則涉及這種普通民眾認為比較敏感的事情,公司類的機構普遍缺乏公信力。當然,這也和媒體之前對安全n行業和「白帽子」的報道傾向有關。在閑聊中,3Q大戰被提到數次,基本都認為連騰訊這麼大的公司都被報道了會拿隱私數據賺錢,你們這些小公司會忍住不拿來n賺錢?這種不信任感,極度不利於安全行業和「白帽子」群體的發展和生存。
05一n個我很難解釋的問題就是「白帽子」的收入來源問題。在普通民眾看來,「白帽子」們能力這麼強,挖洞賺的錢也不多啊,為啥不能去個騰訊、華為這樣的大公司拿n個高薪正經幹活?如果說部分「白帽子」本就是安全公司里高薪養著的人,挖洞對你公司又沒有好處,你拿錢不幹正事老闆沒有意見?你挖洞即使能賺點錢,這個錢n算公司的還是算個人?挖洞獎勵有拿得高的,也有拿得低的,拿的低的怎麼養活自己?會不會就是搞黑產的,過來交個漏洞洗白?這些問題,因為我不了解,所以我n一個都回答不了。但在我看來,這已經不是用「黑客精神」就能回答的理想、志向方面的問題,而是一個又一個的現實問題。如何保障「白帽子」的物質生存空間,n如何不讓「白帽子」因生活所迫轉向對立面的「黑產」,如何讓「白帽子」群體形成較有約束力的監管和自律機制,應該是整個安全圈、客戶企業,乃至國家應該著n力解決的。
說了這麼多,我仍然從心裡敬佩那些秉承「古典黑客精神」的「白帽子」們。或許,這種「復古」,才是我們大家所期望的。推薦閱讀: