以黑客的名義做公益,是一種怎樣的體驗?
來自專欄 淺黑科技
黑客做公益,這確實是個新聞。
然而在黑客當中,有一個特殊的類別,他們擁有犀利的網路入侵技術,卻在發現安全漏洞時提醒對方修復,從而抵禦真正的入侵者,外界通常稱之為「白帽子」。
一
時間是凌晨 2:18,昏暗的房間里,木雁伏在電腦前睡著了,他夢見一輛載著學慣用品的貨車開進了山裡,孩子們滿心歡喜地拆開包裹,笑聲是那麼天真無邪。起初木雁心想,孩子們一定想不到這些竟是一群「黑客」捐贈的。可他立刻又想到,這樣貧困的山區里,連最基本的學習都成問題,更別提了解什麼互聯網、黑客了。
夢到這裡木雁忽然驚醒了,電腦屏幕還亮著,他揉揉眼睛繼續敲代碼。在白天,他是阿里巴巴集團的一名網路安全工程師,此時此刻,他的身份是「白帽子」,正在一家公司的網路系統「體檢」。多找出一個安全漏洞,就又多改善幾十個貧困孩子的學習條件,哪怕只多一點點。
木雁是一名黑客,卻不是我們傳統印象中,網路世界的入侵者。相反,他在發現企業和機構的安全漏洞後,會提醒對方及時修補,抵禦真正的入侵者——惡意攻擊和地下黑產。在安全圈裡,像木雁這樣的黑客有一個共同的名字 —— 白帽子。
兩個多月後,木雁和他的同事千宵站在了阿里雲先知白帽大會捐款儀式的台上。上台之前,他其實準備了一些感言,可接過捐贈證書時,一股自豪和幸福感湧上心頭,他卻有些說不出話,最後只簡單說了兩句 「 能幫助到這些孩子們,我們真的很開心……「,沒想到身旁的同事千宵更誇張,接過話筒,猶豫半天說了一句 「和他差不多吧……」
連帽衛衣、格子襯衫牛仔褲,標準「工程師的模樣」,說的話也像個路人,這一切都和他們腳下擺著的46萬元支票形成強烈的反差。他倆剛剛向中國扶貧基金會捐出了自己挖掘漏洞獲得的46萬元獎金。
現場的一位朋友告訴我:「突然覺得這就是做技術人的魅力所在,他們永遠覺得自己所做的很輕,其實意義卻很重。」
此時,阿里雲首席安全研究員吳翰清(道哥)和先知平台負責人笑然也坐在觀眾席,他們望著台上這一切,感慨萬分 ,深知這一切來得不容易。
二
2016年10月12日,道哥和笑然忽然有了個奇特的想法:「先知平台除了讓白帽子用技術幫助企業之外,是否能為社會做些有溫度的小事?」
這一想法或許源於阿里巴巴的「公益3小時」計劃。在阿里巴巴,公益似乎已經變成了企業文化一般的存在。
道哥心想,公益和白帽子或許能有一個好的結合點 —— 既能為社會做點有溫度的事,又能為白帽子群體摘掉一些標籤,塑造些正面形象。信息安全崗位本身就特別敏感,不光要技術好,同時在道德上也要一定要品行端正。白帽子做公益,也算是對自身道德品性的一次小小的證明。
在此之前,白帽子群體背負了太多爭議和質疑。
據我了解,企業和白帽子之間原本就存在一種微妙關係。一方面,企業確實在白帽子的幫助下發現很多盲點,提升了安全水平;另一方面,廠商也擔心白帽子在測試時一不小心越過邊界,造成數據泄露或破壞,更害怕有人打著白帽子的旗號,去拖庫、交易這些數據。自2016年,這種微妙的關係逐漸激化,白帽子的行為邊界、法律風險等話題,如今必定出現在國內每一個大大小小的安全會議上。
道哥算了算,阿里巴巴全集團有一百多名全國最優秀的一批安全工程師,若能借「公益三小時」,號召內部的安全工程師參與「公益眾測」,既能幫助企業解決問題,還能讓大家看到白帽子的情義和正義,更能幫助有需要的人,一舉三得。
但他很快意識到一個問題 —— 向其他部門「借人」來參與眾測,這涉及跨部門的人員協調,其中的財務分配、人資調配等相關流程都相當麻煩。況且集團內部出於廉政考慮,並不主張內部的安全工程師參與眾測平台的活動,怕影響工程師們的本職工作。
果然,當先知平台的負責人笑然開始著手推進項目,立刻遇到了巨大的阻力。一封郵件群發出去,收到的回復大多是反對。
笑然說,「 當時一打開郵箱,前兩封郵件就是兩個強烈反對意見,當時心裡咯噔一下,覺得項目懸了。」 此後一周,她又多次嘗試和各個部門重新溝通,無果。
於是她聯繫上了阿里巴巴社會責任部的負責人華山。
三
華山此時恰好正在琢磨一個問題:怎麼能把公益和一個人的行業更好的結合起來做,產生更大的社會價值。他覺得,每個行業都有自己最擅長的公益方式。
比方說,一名律師去做環保,最好的方式絕不是周末去街上撿幾個塑料瓶子幾個煙頭,而是為環保機構提供法律援助,或是參與一場環保訴訟案。要知道,在國外一次專業的法律諮詢,一小時支付幾百美金都很平常,讓他們把這幾小時用來撿垃圾做公益,豈不是讓原本能產生的公益價值大打折扣。
當華山聽笑然說了眾測和公益結合的想法,眼前忽然眼前一亮 —— 這不就是安全技術人員做公益的正確姿勢嘛?
他覺得這件事不僅阿里內部的人要做,還應該發動更多的白帽子來做。
在華山的概念里,白帽子黑客的形象就像互聯網中的大俠,正直之下,有自己的一套行為模式,能力強大又放蕩不羈。他自己就見識過一個白帽子自己摸進公益組織的網站後台,留下一份匿名的安全報告說,
看到這麼多善款不安全,我實在忍不住,網站有許多安全漏洞,我已經查了個遍,望能儘快修復,修復方法如下……
華山心想,這不就像小說里行走江湖的大俠,或者「怪俠」乾的事嗎? 或許他的初衷是好的,但方式卻未必是對的,甚至,不打招呼就就滲透進來還可能犯法了。
與其一棍子打死,倒不如給他們一個正規的渠道,讓他們能名正言順地來做這些確實有益的事情。如今絕大部分的捐贈都發生在線上交易,大量的善款在網上流動,但大部分公益組織並沒有網路安全防範意識或能力,萬一出現信息泄露或是財務損失,傷的是社會上那些愛心人士、捐贈人的心。
一番討論之後,他們又在計劃中加了幾條:
- 在平台上開放公益眾測項目,企業和白帽子可以自願捐出部分或全部收益。
- 公益機構在先知平台發布安全測試需求,平台白帽子和阿里云云盾都可以為他們輸出安全能力。
白帽子有他們最擅長的方式來做公益,他們能做的事情是其他許多行業做不了的。也和去大街上撿垃圾、刻意拿出錢來捐款完全不一樣的。
華山說:「把公益揉碎了融入到一個人的工作生活當中,這是我們一直想做的事情。當你買一個環保的商品,哪怕為環境做出一點點貢獻;網上兩個同樣的商品,你選擇參與公益活動的哪一個,哪怕每次只捐出去一毛錢一分錢,都會逐漸在你的良知里沉澱下來,你讓這個社會又變好了一點點。一個人越幫助別人,做的事情就會越來越正面。
四
笑然在阿里巴巴內部號召安全工程師做公益的事情,也在這時出現了轉機。當她忐忑地打開一封一封郵件,很多工程師都在問她怎麼參與這個項目。最讓她驚訝的是,其中就有原本極力反對該項目的人。在公益的感召下,人們的態度發生了 180 度轉變。
幾天之內,20 名安全工程師加入,而且人數仍在不斷增加,這超出了笑然的預期。此時距離最初項目提議,已經過去一個多月。這一個月里,她來回奔走於法務、財務、人資、合規以及各個涉及安全的部門,討論、敲定項目運作的細節,以及探討公益計劃未來的規劃。從普通工程師一直找到M5級別的負責人(註:再往上就是集團副總裁)
如今她終於鬆了一口氣。
2017年3月24日的雲盾先知白帽大會上,笑然在台上講述她眼中白帽子的樣子,她說:」我眼中的白帽子,是一群技術又好、又勤奮、靠譜的人……「
此時,PPT上出現的是工作群里的一段對話:
「和大家同步下進度,到今天凌晨三點測試已全部完成,目前正在整理測試報告……」
「好的,謝謝! 辛苦了@笑然」
在此之前,他們已經連續幾天徹夜開工,因為不能影響本職工作,他們只能抽出周末以及每天下班之後的時間來完成。當整整八十五頁的漏洞報告整理完畢,第一個公益眾測項目結束了。這意味著第一批善款終於有了著落,也意味著一個新的開始。
白帽子用找漏洞的方式來提升安全,這種方式註定他們將要飽受猜忌。你知道的,猜忌是摧毀善意最快的方式,慶幸的是,真正的白帽子對這個世界的善意並沒有被猜忌所摧毀,他們仍在用自己的方式讓這個世界貢多一些美好,哪怕只是一點點。
本文首發 為 2017-02-28
再介紹一下我自己吧,我是謝幺,科技科普作者一枚,日常是把各種技術講得連女朋友都能聽懂。如果有什麼有意思的科技問題,可以在知乎@謝幺,或者搜索微信:dexter0。不想走丟的話,請關注【淺黑科技】!
推薦閱讀:
※如何看待上海大學藍紐帶社團要求道歉的公告?
※公益類 NGO 的相關概念、註冊建立、運營管理等問答導讀
※讓在流浪的貓貓們也吃頓年夜飯吧
※如何評價共青團評全國好青年 靳東,江一燕,苗阜上榜?
※如何看待公益人士蘭小草病故身份才公開?