我在华盛顿特区工作的时候,常看到「黑客Hacker」一词,但基本上只剩下了一个「黑Hack」字,不止一次在新闻和政府发言稿里,看到对「黑客」一词充满了误解、甚至深恶痛绝,甚至有一个活动恬不知耻地冠以「黑客马拉松Hackathon」的名字。对于政府和媒体来说,「黑客」就是一群蒙着面纱,面对屏幕上滚动的奇怪字符的人,但对于世界上其他一部分人来说(特别是在互联网上),「黑客」一词有着非常,非常不同的含义。 就算在韦氏词典上,对于「黑客」一词,前三个解释是这样的(小编:第四个解释才是非法入侵计算机的人): 1. 「一个折腾的人」(定义为「因为爱好而编写计算机程序」), 2. 一个在特别的领域里缺少经验或者不够熟练,而格外努力的人(比如一个小黑客) 3. 「一个在计算机编程或者解决计算机问题方面的专家」 偷信用卡密码,或者传播恶意软件,这都不是黑客的品位,真正的黑客精神完全与之相反。所谓黑客,是将如上三项定义浑然为一的人。「黑客精神」是分享、开放、反权威……是一种无法抑制的,去挑战极限与颠覆不可能的渴望,黑客的行为无非就是用铅笔破解被锁频的 CPU,或者给自己造台「透析机」活命这类一般专家瞧不上,但真能解决问题的事情。 黑客一词,可以追溯到1960时期,麻省理工的聪颖才子们将计算机科技推向新高度的年代。今天这种精神依旧完整地体现在追求卓越的行为上——不断地问自己:「这可能吗?」(并且坚定地回答:让我们试试看!)。这是一种内在的,对于解决从没有人解决过的问题的渴望,渴望突破以前的智慧无法突破的极限。 黑客精神黑客被各种文化所激励,黑客精神是关于分享的文化。黑客所需要的素质是能够把问题拆分开,并分析各自的原理,希望通过这种方式来改进它们。必须自己动手,不但能参与,而且能创造出某个项目的分支,使之更有趣,更优秀。黑客精神是关于开放的精神。黑客行为是基于团队的,只有开放才能让参与者们发挥出最大的能量,去修补,去改造。保密只会扼杀创新,所谓自由当然包括获取信息的自由。黑客精神是关于「反对权威」的精神,促进信息交流的最好方式就是提供一个让所有人都可以自由交流,没有阻碍的平台,有意地,或者无意地拆除信息流动的障碍,官僚主义,无论是企业,还是政府,甚至是大学,这些都是信息交流的固有障碍。 黑客方法精神只是理念上的存在,实践才是成为黑客的道路。黑客是不作就要死星人,心痒手痒地祈求能上手一试。 这个世界上有太多的问题需要解决了。 有聪慧的大脑和能干的双手,科技应该让这个世界变得更好。就和运动员通过挑战地球引力,提升人体的极限而获得快感一样,黑客寻找拓展现有工具的应用极限的方法,寻找答案,提出可能。但黑客精神里还有一层含义 一个问题有一个解决方案就够了。 创新的大脑是宝贵的,有限的资源不能耗费在重复发明轮子上,需要去搞定的问题还有很多。 黑客文化黑客文化,显示出传统文化中特别的部分:精英主义文化。 互联网上最有价值的行为就是「奉献」,对于黑客来说,奉献比金钱和权位都要重要,奉献可以是代码、设计、版权……什么都行。黑客文化是优雅的文化。黑客追求艺术地手法,简洁创新的技术,可以完成复杂的任务,却以最小的代价和最少的说明。黑客文化是关于智慧的乐趣,成为黑客确实充满了这种乐趣,特别是在世俗生活中注入这种乐趣。 「黑客」的意义,不是成为一个热词,也不是和犯罪联系起来,黑客是是一种气质,一种动机,一种文化,成为黑客,就是用代码去改善我们这个世界。 小编按:写抢火车票软件免费给大家用的的叫「黑客Hacker」,偷信用卡写恶意 APP 骗费的叫「骇客Cracker」。黑客十五年:寻找被黑金毁掉的黑客精神
在网络犯罪的世界里,有“黑脸”(利用代码从事非法活动的网络犯罪分子)、“白脸”(寻找并弥补技术漏洞的好人)和“灰脸”(介于好人和坏人中间)的说法。灰脸出于善意,对技术漏洞进行确认,并给出建议。他们并未出于恶意或者个人目的而进行网络黑客行为,相反,他们之所以违反网络规范,是出于追求更高的共同利益——也就是提高网络安全性。
黑脸获得的“薪酬”非常高。根据瞻博网络委托兰德公司所做的《网络犯罪工具及失窃数据市场:黑客市场》,报告显示,他们经营的黑市甚至比非法毒品交易,获得的利润还要多。由于获利颇丰,因此网络黑市发展十分迅速。网络犯罪的暴利高得令人发指。有鉴于此,网络犯罪常被坏人利用。既然有这么多的诱惑存在,为何还有人没有踏上网络犯罪之路呢?
网络犯罪也是有危害的,只是其危害性并不明显而已。设想这样一个真实的生活场景:一个黑脸用一条滑稽的信息,对一家大公司的网站进行丑化。访问者对于该公司的失误一笑而过,而公司立刻对网站进行清理,安全漏洞随即被修补好,生活一切照常进行。可实际情况真的是这样吗?
事后,负责网站安全的一名员工在论坛上贴出关于此次黑客行为造成的后果的帖子。原来,黑客事件之后,公司针对网络应用的外包团队采取了法律措施。许多人因此而丢掉了工作。公司本身也遭受了财务损失。很明显,这名黑客让许多勤奋的专家深受其害,而这一切仅仅是为了找点乐子,并在黑客界赢得一点名声。当然,这种情况的确需要道德标尺,不过帮助我们了解对与错的道德标尺,并不是在网络世界中做正确事情的唯一原因。资金奖励也是一个重要的原因。尽管与大规模的非法企业违法行为所造成的损失有所不同,黑客市场确实聚集了许多资金,想要得到这部分资金,竞争是十分激烈的,而且这一部分资金将带来更多社会层面和情感层面上的回报。
漏洞赏金计划
越来越多的供应商已经开始发布漏洞赏金计划。此类奖金会颁发给那些发现软件产品漏洞并将其报告给相应的供应商而不是向公众公开或者在黑市上出售的人。Mozilla基金会是第一批发布此类项目的基金会之一。谷歌、Facebook、PayPal和其他的公司随后也推出了类似的项目。微软于2013年6月份发布了其漏洞赏金项目。漏洞赏金成为软件安全专家具有吸引力的合法收入来源。谷歌的奖金目前是最高的,通常每个中等复杂程度的补丁可以得到3,000到5,000美元的奖金,复杂补丁则可以获得10,000美元的奖金。非Chrome exploit最高可获得20,000美元赏金,而 Chrome exploit最高则可以获得 150,000美元赏金。巴西网络安全专家Reginaldo Silva向Facebook提出警告,称OpenID认证系统密码存在漏洞。Facebook因此而支付给他33,500美元的奖金。政府采购者和安全公司对未被发现的重大漏洞的赏金出价相当高。就软件供应商而言,他们发现,设立漏洞赏金计划,远比雇用全职人员做同样的工作更具性价比。
零日计划
对于活跃于黑客空间的天才们来说,零日市场内的法律灰色区域是另外一个机会所在。过去,安全研究人员曾暗示过网络漏洞市场存在的可能性。现在,这已经变成了现实。政府、执法部门和安全供应商,已经作为买家的身份出现在这一市场上。专家建议政府和安全供应商应当(从黑客手中)购买零日漏洞,以防止其落入黑市商人的手中。更重要的是,与政府或者安全公司进行交易,出现欺诈的几率要小得多,这也可能成为黑客未来所从事的工作。据称,英国网络防御部队正在尝试雇佣网络黑客,以弥补在拥有网络防御机能的人员方面的不足。
零日市场出价要比漏洞赏金计划高10到100倍。惠普零日计划支付给研究人员1000多万美元奖金,以奖励他们提出的安全建议。为了缩小这一价格差距,谷歌之类的公司已经提高了其漏洞赏金数额。
参与零日计划的公司数目正在增加,大赏金计划方兴未艾。更高的奖金将吸引网络交易和人才从黑市流入合法的贸易途径。无论如何,最优秀的黑客都更有可能从网络黑市转战灰色市场领域,而网络黑客们得到的最大奖赏则是——他们不必在监狱里度过余年!
对如今的中国人来说,黑客一词已经显得十分陌生,有人淡忘了中国黑客的存在,有人则把黑客跟木马病毒等地下产业链联系在一起,在一份网络调查中,如今公众眼里最知名的黑客,竟是“熊猫烧香”的作者李俊。 2011年6月11日,中国最顶级的黑客组织领袖们召开了《COG信息安全论坛》筹委会第一次会议,会议的主题有2个,一是要在今年9月召开一次大型的论坛,并发布首个《中国黑客自律公约》,另一个则是纪念2001年的那场中美黑客大战。两个主题,一个目的——重拾黑客精神和重建黑客文化。巅峰与沉寂与今天的落寞不同,中国黑客曾经是中文互联网上最闪耀的那颗星。1997年龚蔚(goodwell)成立第一个中文黑客站点“绿色兵团”时,并未想过黑客两个字能够聚集那么多年轻人参与。但随着中国互联网的飞速发展和一部《黑客帝国》电影的热播,让黑客成了那个年代年轻人们最执着的互联网理想。2001年,一场撞机事件引发了中美黑客大战,“红客”这一有中国特色的专有名词自此流传开来,网民的追捧、海内外媒体的报道、政府部门的关注让黑客们的影响力达到了前所未有的程度。尽管有无数业内人士对本次大战中中方参与者的技术水平颇有微词,如金山安全反病毒工程师就认为那次大战不过是插旗子+DDoS而已,但有一点无人质疑——那场大战是中国黑客在大众面前最后的辉煌。龚蔚回忆,事件结束后,大部分人热情过后逐渐回归到了追求更高的技术层面。同时这个时期另一部分代表中国黑客顶级技术的团队开始走向商业化运作的道路,同时选择了远离了媒体的喧嚣,这也是中国黑客成长历经的一个过程。与这些先行者沉默或归隐不同,一批批新踏入这一领域的年轻黑客并没有继承前辈的精神和文化,短短几年就形成了数个骇客集团,他们对挂马盗号钓鱼的兴趣远远高于黑客技术的探索。AVG中国区总经理丁方昱亦评价道,“追求金钱已经成为主流。偷偷摸摸的在自己国人身上赚黑心钱似乎比挥舞红旗更重要”。黑客一词的光环在中国逐渐暗淡……沉默与重启作为COG论坛组织者之一龚蔚(goodwell)向腾讯科技表示,中美黑客大战十年后的今天,媒体亦或大众对黑客文化的了解与事实背道而驰,曲解了纯正的自由、免费、共享、互助这些黑客们所推崇的至高精神。同时黑客新人辈出而在追求至高技术的同时却没有任何正确的引导,缺乏一些最基本的道德准线,我们希望通过这次会议的凝聚树立行业自律公约,通过这种形式让更多的人了解什么才是真正的黑客。这并不是他一个人的看法,从COG论坛筹委会名单上一串沉甸甸名字也可以证明这点——绿色兵团代表Goodwell、鹰派代表万涛、红盟代表Lion、 knownsec代表李麒Liwrml、0x557代表Laowang、网络力量代表Coldface、风宁、红狼小组 代表Amxk、绿色兵团isbase站代表、Tools代表Oldjun、邪恶八进制代表冰雪封情及绿色兵团shutdown。筹备会透露,9月份召开的CQG信息安全论坛是非盈利性质的,规模在400人左右,且只会邀请所有经筹委会认可的对信息行业做出贡献的人。在回答COG论坛和自律公约能影响多少黑客这个问题时,龚蔚表示自己并不知道,但他认为这是一件对行业有意义的事情,不管它是大还是小如果能做那就力所能及的去做。行业自律公约主要还是依靠自发的推广,最终要看团队的公正性和对行业的影响力。黑客有必要重拾黑客精神吗?