周鴻祎：黑客 站在十字路口的孤獨(dú)者

　　21ic通信網(wǎng)訊，這是360網(wǎng)站安全總監(jiān)小趙在7月份寫(xiě)的一篇博客。小趙接觸到這樣一個(gè)小黑客，初中生，他不知道自己站在十字路口上，他只想發(fā)現(xiàn)漏洞攢錢(qián)買(mǎi)一臺(tái)筆記本電腦。小趙不斷用路標(biāo)把他從充滿(mǎn)誘惑的十字路口引開(kāi)。

小趙是360“庫(kù)帶計(jì)劃”的負(fù)責(zé)人。國(guó)內(nèi)外的安全高手如果發(fā)現(xiàn)了網(wǎng)站的漏洞提交給360，就會(huì)得到現(xiàn)金獎(jiǎng)勵(lì)。發(fā)現(xiàn)了漏洞，360會(huì)幫助軟件公司和開(kāi)發(fā)者及時(shí)推出漏洞補(bǔ)丁，防止被黑客“拖庫(kù)”。

黑客是永遠(yuǎn)徘徊在十字路口的一群人，各種誘惑，黑路還是白路，考驗(yàn)著人性，決定著前途。今天，我們得到一個(gè)好消息：這個(gè)小黑客初中畢業(yè)進(jìn)入了一家澳洲的安全公司，規(guī)模不大。今年9月，這位小黑客將參加360主辦的中國(guó)互聯(lián)網(wǎng)安全大會(huì)。

說(shuō)在前面：本文有感而發(fā)，并無(wú)對(duì)任何人和產(chǎn)業(yè)的詆毀。只是說(shuō)說(shuō)自己內(nèi)心對(duì)選擇的一點(diǎn)感觸，請(qǐng)各位不要對(duì)號(hào)入座。

十年前，別人說(shuō)我是個(gè)黑客，我會(huì)覺(jué)得很驕傲；十年后，有人說(shuō)我是黑客，我會(huì)立刻糾正他。

十年前，可以隨意看到身邊的人意氣風(fēng)發(fā)的給人講自己是個(gè)黑客，做過(guò)哪些入侵；十年后，曾經(jīng)圈內(nèi)叱咤風(fēng)云的人物都已經(jīng)銷(xiāo)聲匿跡，低調(diào)地做著自己的事兒。

十年的時(shí)間，黑客圈巨變，刑法修正案對(duì)黑客行為的立法讓這個(gè)灰色的圈子徹底變黑。掌握web安全技術(shù)的傳統(tǒng)黑客們孤獨(dú)的站在十字路口，一邊是充滿(mǎn)誘惑的黑產(chǎn)圈子，一邊是嚴(yán)厲的法律制裁和身邊朋友進(jìn)監(jiān)獄的案例。究竟該何去何從？一念之差可能人生的軌跡就會(huì)有天淵之別。

相信圈內(nèi)的朋友都有過(guò)這樣的內(nèi)心掙扎，做黑產(chǎn)、“項(xiàng)目”每年能賺到幾百甚至上千萬(wàn)，而做白每年苦逼的能賺到幾十萬(wàn)就算不錯(cuò)。究竟要怎樣選擇？哪條路才是對(duì)的？我也曾經(jīng)掙扎過(guò)，但內(nèi)心的傳統(tǒng)觀(guān)念還是讓我選擇了保守，去做一份web安全的工作，去做一款web安全的產(chǎn)品，踏踏實(shí)實(shí)的賺每一分錢(qián)，舒舒服服的睡每一個(gè)覺(jué)。

初始道路的選擇不是像職業(yè)規(guī)劃那樣簡(jiǎn)單的行為選擇，而是內(nèi)心對(duì)于自我的深度定位和對(duì)底線(xiàn)的明晰劃分。說(shuō)簡(jiǎn)單一些，十字路口，內(nèi)心的掙扎就像有一部電影中決定是否把自己出賣(mài)給魔鬼來(lái)?yè)Q取永生一樣。一旦選擇了黑，內(nèi)心也會(huì)隨之變化，就會(huì)認(rèn)為自己成為了那個(gè)世界的人，就會(huì)習(xí)慣那個(gè)世界的規(guī)則。熊貓燒香作者李俊我想就是那種自我心理暗示極強(qiáng)的人，自我認(rèn)定為不普通的人，自然也不會(huì)習(xí)慣普通人的生活，再次打擦邊球再次被捕，雖說(shuō)有運(yùn)氣差的因素，但某種程度上來(lái)說(shuō)是必然的。

一旦選擇了黑，就會(huì)背負(fù)原罪，而且一生無(wú)法洗白。所以，十字路口的抉擇對(duì)一個(gè)人的影響其實(shí)是一生的。

還有一件事對(duì)我的觸動(dòng)很深，讓我覺(jué)得我現(xiàn)在所做的事情是極有意義的。付費(fèi)漏洞收集平臺(tái)的最大作用本來(lái)是為了最快最全的收集漏洞，但其實(shí)對(duì)站在十字路口的人卻有了燈塔的作用，雖然是點(diǎn)點(diǎn)光芒不像黑產(chǎn)霓虹燈那樣絢麗奪目，但在選擇的天枰上這點(diǎn)點(diǎn)光芒確實(shí)可以改變很多人的人生軌跡。

每天都有很多白帽子向我們提交很多漏洞，我們?cè)u(píng)估驗(yàn)證后給他們付費(fèi)。一天我偶然接觸到了一個(gè)漏洞提交者，短暫交流后發(fā)現(xiàn)他居然是個(gè)初中生。他的技術(shù)非常非常初級(jí)，只能找到一些很淺的漏洞，所以能付給他的錢(qián)也很少。他對(duì)我說(shuō)：自己的家庭條件不好，自己學(xué)習(xí)努力挖漏洞就是想賺錢(qián)買(mǎi)一臺(tái)筆記本電腦。

那一刻我的心被觸動(dòng)了，久違了的觸動(dòng)，仿佛看到了自己之前的影子，鼻子一酸當(dāng)時(shí)就想對(duì)他說(shuō)送他一臺(tái)。但一轉(zhuǎn)念，我決定用另一種方式幫助他實(shí)現(xiàn)自己的目標(biāo)。我開(kāi)始對(duì)他進(jìn)行一些技術(shù)上的指導(dǎo)，幫助他找到更多更嚴(yán)重的漏洞，同時(shí)在心理層面引導(dǎo)他走白帽子的路。因?yàn)槲液芮宄?，挖漏洞提交賺錢(qián)比做黑產(chǎn)賺錢(qián)要難的多也要慢的多。這個(gè)孩子就像是一個(gè)站在十字路口的人，筆記本就是他的清晰目標(biāo)，向左只需1步就可以拿到筆記本，向右卻需要100步。

讓我感到欣慰的是，這個(gè)小小的白帽子(我想此刻可以這么稱(chēng)呼他了)挖出的漏洞等級(jí)越來(lái)越高，從最基本的XSS到了高危SQL注入。他本人也非常勤奮，略算一下，近3個(gè)月的時(shí)間他得到的漏洞獎(jiǎng)勵(lì)也基本可以買(mǎi)到一臺(tái)主流配置的筆記本電腦了。

我不確定自己是否真的能影響這個(gè)小朋友一直走白的道路，但我對(duì)自己工作的認(rèn)識(shí)全然不同了，我現(xiàn)在要做的就是做大付費(fèi)漏洞收集平臺(tái)，讓更多的漏洞到我的手上，讓更多的人在選擇的十字路口能夠看見(jiàn)這邊的點(diǎn)點(diǎn)星火。