原標(biāo)題：“白帽”黑客：攻擊，是為了防御

發(fā)現(xiàn)致命漏洞　避免經(jīng)濟(jì)損失

宋嵩繪

坐在那里時(shí)間一久，會(huì)讓他的身形有些僵硬。電腦前的方家弘，總有一行行代碼在他眼里飛速劃過(guò)。常人眼里，這是一個(gè)枯燥乏味的界面，流淌過(guò)一串串看不懂的代碼。但在他的世界里，那是一個(gè)個(gè)跳動(dòng)的精靈，閃爍著令他癡迷的光輝。

只有一個(gè)時(shí)刻會(huì)讓他突然亢奮起來(lái)：那就是漏洞被“逮”住的時(shí)候。這時(shí)，他會(huì)像獵人發(fā)現(xiàn)獵物一般，興奮之情溢于言表。

這是一名“白帽子”黑客的工作狀態(tài)。“白帽子”黑客，能提前發(fā)現(xiàn)安全隱患，并上報(bào)給相關(guān)企業(yè)或組織，以便及時(shí)修補(bǔ)漏洞，保障信息安全。而這，也正是他們存在的價(jià)值。

實(shí)力讓情懷落地

見(jiàn)到方家弘時(shí)是在北京朝外SOHO，他剛從上海來(lái)北京，出差與安全企業(yè)交流業(yè)務(wù)。但在大部分時(shí)間里，方家弘總是在安全實(shí)驗(yàn)室高強(qiáng)度地工作，有的時(shí)候，為研究一個(gè)問(wèn)題，他會(huì)發(fā)狠閉關(guān)，吃飯靠外賣(mài)解決。

尋找漏洞的方式就是嘗試攻擊。如同兵法推演一樣，與漏洞過(guò)招，勝負(fù)只在電光石火之間。要找到這些埋藏很深的漏洞，方家弘經(jīng)常需要通過(guò)各種“黑客攻擊”手段，直至找到脆弱的一環(huán)。

“未知攻，焉知防，攻擊是為了更好地防御。”方家弘看了看窗外，吐出了這句哲學(xué)味很濃的話(huà)。

13年前，剛剛結(jié)束高考的方家弘，在志愿書(shū)上填寫(xiě)了信息安全專(zhuān)業(yè)。這是上海交通大學(xué)該專(zhuān)業(yè)招收的第一批學(xué)生，當(dāng)時(shí)國(guó)內(nèi)開(kāi)設(shè)安全專(zhuān)業(yè)的大學(xué)屈指可數(shù)。這個(gè)選擇，源自方家弘孩提時(shí)代父親的啟蒙。父親在小學(xué)教計(jì)算機(jī)，所以，他很小就在上海少年宮學(xué)習(xí)計(jì)算機(jī)，讀小學(xué)時(shí)便嘗試編寫(xiě)程序。

多年之后，方家弘結(jié)束了大學(xué)生活，可那時(shí)，國(guó)內(nèi)安全行業(yè)還不大受重視，因?yàn)榫W(wǎng)絡(luò)安全具有“后知后覺(jué)”的特性，沒(méi)有出現(xiàn)問(wèn)題前，很多企業(yè)并不認(rèn)為有必要在安全上投入。畢業(yè)后，他進(jìn)入微軟，工作的五年內(nèi)，他努力，也迷茫，總感覺(jué)還有勁沒(méi)使出來(lái)。“為什么不能為更多人提供安全服務(wù)？”

實(shí)力終究讓情懷落地。工作5年后，他和一群朋友創(chuàng)辦了上海碁震云計(jì)算科技有限公司，組建了一支專(zhuān)業(yè)的安全研究團(tuán)隊(duì)。

是非界限，不容模糊

創(chuàng)業(yè)初期是艱難的。方家弘回憶說(shuō)，幾年前他給一些廠(chǎng)商介紹安全的重要性，常常磨破嘴皮都沒(méi)法說(shuō)服他們接受自己的觀(guān)念。“不像開(kāi)發(fā)一款產(chǎn)品，我們做的都是幕后的工作，沒(méi)有一個(gè)直觀(guān)的展示。”方家弘有時(shí)也會(huì)感到無(wú)奈，因?yàn)樗踔梁茈y向家人、親戚解釋自己的工作。“當(dāng)時(shí)從事安全比較邊緣，我們同學(xué)里現(xiàn)在還做安全的人已經(jīng)非常少了，很多轉(zhuǎn)行了。”

所幸，近年來(lái)網(wǎng)絡(luò)安全問(wèn)題頻發(fā)，使得企業(yè)、公眾開(kāi)始重視安全問(wèn)題，發(fā)現(xiàn)、上報(bào)漏洞，安全研究人員也能獲得不錯(cuò)的收入。

借著這股春風(fēng)，他和他的團(tuán)隊(duì)風(fēng)生水起。言語(yǔ)之中，他的自豪感自然流出：“如今，這個(gè)團(tuán)隊(duì)已經(jīng)成為全國(guó)甚至全球頂級(jí)的安全研究隊(duì)伍，發(fā)現(xiàn)并上報(bào)了許多高危漏洞。而通常，這種級(jí)別的漏洞，如果放到黑色產(chǎn)業(yè)市場(chǎng)上去賣(mài)，通常能開(kāi)六位數(shù)的價(jià)碼。”

通常來(lái)說(shuō)，這個(gè)行業(yè)內(nèi)部有著嚴(yán)格的行規(guī)，“白帽子”黑客都有明確的是非觀(guān)，行業(yè)準(zhǔn)則也有所限定，既然能靠自己的本事光明正大地賺錢(qián)，就絕不會(huì)觸犯法律。方家弘開(kāi)玩笑地說(shuō)，收入的增加，在一定程度上也避免了許多有才華的年輕人“誤入歧途”。

最大的漏洞，是人性的弱點(diǎn)

長(zhǎng)期和各種漏洞打交道，讓方家弘在安全上非常敏感。比如關(guān)于補(bǔ)丁更新，常人會(huì)覺(jué)得頻繁更新很麻煩，但他有著職業(yè)的看法。

進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代，手機(jī)、電視、路由器等智能終端設(shè)備繁多，軟硬件的開(kāi)放趨勢(shì)，一定程度上也拓寬了黑客非法牟利的途徑，有些應(yīng)用里面可能含有惡意程序，會(huì)將用戶(hù)暴露在風(fēng)險(xiǎn)之下，人們往往還不知情。方家弘晃了晃手機(jī)，音調(diào)不自覺(jué)中提高了，“現(xiàn)在一臺(tái)手機(jī)的價(jià)值不僅僅是它的價(jià)錢(qián)了，里面還有你的個(gè)人隱私、銀行賬戶(hù)等信息，一旦被黑客入侵或利用，帶來(lái)的損失非常大。”

他強(qiáng)迫自己養(yǎng)成了一個(gè)習(xí)慣，每次安全補(bǔ)丁更新，他會(huì)第一時(shí)間打上，還會(huì)要求身邊的親戚朋友也更新。

他介紹，普通黑客很少能獨(dú)立發(fā)現(xiàn)并利用漏洞，尤其是高級(jí)別的、核心的漏洞。

“那為什么手機(jī)依然很容易被攻擊？我有些疑惑。”

“電信詐騙、刷二維碼損失財(cái)物等，這些小伎倆不是利用什么厲害的技術(shù)漏洞，而大多是抓住了人貪心的弱點(diǎn)啊！”那一刻，方家弘的言語(yǔ)之中有遺憾，有憤怒，也有無(wú)奈。