是什么原因讓白帽子不會變黑?
為保護她的身份,我們就稱她為迪伊吧。迪伊稱自己是一名白帽子黑客。她年輕,漂亮,一頭奔放的紫紅色秀發,還帶點東歐口音。讓我想起了科幻電影《第五元素》里的米拉·喬沃維奇。
“什么東西能讓你轉成黑帽子?你會為了100萬美元去入侵嗎——如果你知道自己不會被抓到的話?”
“不會。對我而言,那是道德問題。”她立馬堅定回答道。
“好吧,那么10億美元呢?”
很明顯,她不想回答這個問題。
迪伊是我去年探訪過的36名白帽子之一,訪談主題就是:是什么因素將他們一直留在了正義的一方?
白帽子 = 講道德的黑客
白帽子黑客就是采用計算機安全技術做“好”事的一群人。白帽子們知道怎樣滲透系統,但他們只用這些知識保護網絡而不是攻擊網絡。
訪談的開端很是偶然,發生在我的同事之間。我是大衛·霍姆斯,F5網絡的安全專家。當時我們在處理一家大型零售金融公司的漏洞問題,忽然就意識到:掌握內部信息的人不就可以利用該漏洞從公司劫走大筆金錢嗎?午飯時我們還討論了具體到底可以拿走多少錢。不僅僅是為搶劫而搶劫,而是為了賺夠能讓我們余生無憂的錢——這么大一票工作完成后就再也不用做回白帽子了。
像很多其他職業一樣,白帽子的角色在一切正常的時候常常被人忽略掉。可一旦出現了嚴重的數據泄露,那就意味著黑帽子們贏得了網絡攻防戰的勝利。比如2014年的索尼影業數據泄露事件,自稱“和平衛士(GOP)”的黑帽子團伙滲透了索尼的網絡,將數以TB計的敏感數據盜走。索尼的白帽子們明顯慘敗。
“74%的白帽子聲稱再多的金錢都不能染黑他們。”比例很高,可喜可賀。那么問題來了:技術高超的白帽子當然可以也是有錢的黑帽子,那為什么他們還不是呢?
當然,“聲稱”這事兒是不靠譜的,也許1000萬美元就是絕大多數白帽子由白轉黑的心理價位了。錢自然是影響很大的一方面,但也絕不是唯一的理由。
另一名東歐黑客本恩解釋道:“我是為了榮譽和自我滿足而黑,才不是為了錢。”不過,他也提到了其中的道德核心:“如果有人在你面前掉了錢包,悄悄撿起拿走是很容易的事,但你得做正確的事,把它交還給失主。”
黑客世界里,道德的標準很難把握。就拿著名的黑客主義者,自我標榜的美國愛國者J3st3r來說吧,他不也聲稱攻擊了rchan、維基解密、伊斯蘭招募網站和其他一些網站么?網絡安全專家布萊恩·麥克亨利曾說過:“沒人是清白的。J3st3r是黑帽子嗎?他確實觸犯了法律,但是出于對他信仰的堅持……難道這不是一種人生價值的體現么?”
“作為白帽子,賺的是正當的錢,無須像黑帽子一樣擔驚受怕。但并非所有的國家都是這樣。”在有些發展中國家里,作為黑帽子而非白帽子來賺錢是絕對可行的。但除了錢的因素,還有其他原因會讓黑客在黑白之間切換。
你會為了一個政治聲明而去黑別人么?
只有1/8的白帽會為了表達一個政治上的傾向而選擇黑掉別人。
迪伊本可以將自己視作黑客主義者。但另一方面,她成長在一個壓制政治言論的專制政府統治下。其他受訪者認為搞破壞是幼稚的行為。“政治講演理應公開。誹謗或強關網站是膽怯的表現。”更為普遍的反饋是,丑化一個網站并不能達成任何實際效果。
要知道黑了 Ashley Madison 的黑客,他們黑網站的動機可是出于道義,是要給這家鼓動婚外情的網站一個教訓。如果這是對Ashley Madison的道德抗議,那還真是代價慘重,造成了無數的離婚,至少3人自殺,以及大約400位教會人員離任。
報復增加“黑”的行為
25%的白帽子會出于報復而黑了別人。當涉及到報復時,大多數人的道德標準往往會有所松動。白帽子也不例外——為復仇而黑的比例理論上是黑客主義者的2倍。或許這該歸咎于復仇的個人本性而非行動主義的社會性。其實,有時候,為復仇而黑也是相當奇怪的復仇場景,比如說,當為了某些人的非正常死亡而怒黑流氓國家或為富不仁的億萬富翁的時候。
但,話又說回來。大多數白帽子還是有道德底線的,只不過,其中一些人很愿意(理論上)為了政治或個人原因,甚或足夠豐厚的回報,而跨過那條線。也就意味著,我們有可能最終將見證一大波白帽子變成黑帽子,就像絕地武士變西斯一樣?
這事很難講,如同生活中的其他事一樣,這就是個度的問題。
白帽子用黑客技術收集并查看其老板的財務報表。這算是黑帽子行為嗎?至少侵犯隱私是絕對跑不脫的了,盡管許多白帽子會聲稱這是年輕時干得糊涂事,甚至記不清干沒干過。
你最近一次做一些和黑帽相關的活動是什么時候?
有意思的是,將近1/3的人承認從高中開始就有做過“黑帽”,但卻沒有人愿意承認最近曾有過相關行為。
還有一些人承認經常會強行瀏覽大量網站,出于個人目的編程下載文件之類的——Reddit共同創始人兼白帽子亞倫·斯沃茨被指控的就是這個罪名。其他還有諸如探測零售網站尋找搜刮優惠券和修改優惠碼的方法,獲取超額折扣和網頁應用業務邏輯缺陷的商品等等。諷刺的是,這么干的人有時還會得到保護這些資源的安全團隊的同情。難道是,本是同根生,相煎何太急?
“我對試圖保護廣大人民群眾的工種表示更高的敬意。”從整個社會的角度來看,我們或許沒必要擔心白帽子的大規模黑化,至少在現代化的工業社會里不會。白帽子也不過是有著正當職業的納稅人的一種。當然,他們不是潔白無暇的天使,但大多數白帽子還是不會為金錢所動的。墮落變節者自然會有,可任何團體都會出現這種人:執法部門、情報機構、宗教組織……
喜歡惡作劇的白帽子
大多數白帽子曾經,或者仍在通過調戲朋友或同事的系統來釋放壓力。這真不是開玩笑,我采訪過的白帽了有56%的人都喜歡惡作劇。
你是否使用過你的黑客技術戲耍過某人?
“所有的黑客式的調戲都不是攻擊。很多時候它僅僅是為了調戲。”
曾有一位白帽子用“豪放”的方式提醒他的朋友們:在不用耳機的時候收好這小玩意兒。不然,就等著被“令人發指”的音頻洗腦吧——此君黑掉了他們的藍牙耳機。甚至連著名的“白帽安全”創始人耶利米·格羅斯曼也不能免俗。他曾經在Facebook上“殺死”了一位朋友——僅僅是開玩笑而不是出于報復。
最后,與邪惡勢力作斗爭的概念深深根植于人類行為思維模式之中,而網絡安全世界跟其他任何科技產業都大為不同。網絡安全世界需要很多很多的好人。我們正經歷白帽子斷代的嚴酷現實:距離我們擁有足夠的人手對付所有壞蛋,大概還有25年的差距。我們需要為有興趣加入白帽子陣營的年輕人提供更多網絡安全技能的培訓機會,一起努力吧!
原文地址:http://www.aqniu.com/hack-geek/14188.html
