黑客的世界

黑客是好是壞？兼而有之：他們讓Windows更安全，從公司免受攻擊中賺錢，甚至被政府雇傭。

提到“黑客”，在絕大多數人的心目中或多或少有著相同的印象——毋庸置疑，他們對電腦興趣濃厚，一般情況下，他們的房間光線不佳，顯示器和鍵盤雜亂堆放。此外，黑客大多戴著鏡片極厚的眼鏡，留著油乎乎的長發，手上夾著一支香煙，從事著看似非法的工作。

確實，黑客們的很多生活同電影中的常見畫面如出一轍。他們定會出現在煙霧迷漫的黑暗房間里，登錄一些敏感網絡，或者控制僵尸網絡。然而，如果對黑客的描述僅限于此，就難以得出完整和正確的概念。目前，更多的黑客已逐漸歸入主流，不再是亞文化的一部分。他們中的很多人都擁有兩張名片，一張寫明“黑客”，在某些場合使用，在非正式渠道開展工作；另外一張注明“IT安全顧問”，與新的客戶聯系。

黑客的共同之處在于：他們能夠發現軟件和網絡服務中的薄弱環節。一旦發現漏洞，黑客們便會各行其道——有些黑客會與廠商聯絡，分享他們的重大“發現”；有些則從漏洞中賺錢謀利；也有少數成員會將漏洞信息賣給類似ZDI（零日計劃，Zero Day Initiative）或iDefense等合法機構或組織，這些信息也會再次被反饋給相應的廠商。更有些黑客會在論壇上發表他們的知識和技術，以期獲得廣泛認可。而那些真正心存邪念的黑客會與犯罪分子聯系，并將安全漏洞賣給出價最高的人，多數情況下，這類黑客往往能出現在媒體的頭條新聞上。

黑客用戶：駭客、帽子

起初，“黑客”是技術愛好者的代名詞，是指那些喜歡擺弄編程、鏈接，進而研究使用系統的人。上世紀六、七十年代，他們的關注目標是電話系統，后來轉為大型計算機系統。隨著互聯網的出現，他們的注意力又轉向網絡。這些技術專家自認為是技術領域的“羅賓漢”，靠自己的知識和技能賺錢。

但也有些道德低下，諳熟技術的人開始把他們的專業知識用在攻擊他人上，一個新名詞應運而生：駭客。

上世紀八十年代，那些刪除個人電腦游戲復制保護的人也被稱作是“駭客”。后來，這些原本無害的黑客們在概念上與其他那些地下同行們漸行漸遠。

然而在互聯網時代，“駭客”一詞又有了新的解釋和表述：白帽、灰帽和黑帽。帽子說法源自早前的牛仔電影，影片中的惡人通常頭戴黑色帽子，貴族騎手多戴白色帽子，而西部英雄常戴灰色帽子。直至今日，“白帽黑客”一詞仍有人使用。網絡應用加速專業公司Akamai的IT安全負責人Joshua Corman等專家認為，應當更加精準地區別黑客。Corman打算將幕后操盤手重新分類：如“守法且良性”和“守法但可惡”，“好意但造成損害”和“惡意且造成損害”。像LulzSec和Anonymous等黑客組織就屬于后者，他們經常入侵索尼PlayStation網絡。目前黑客的性質已經很難用界限明顯的“白-灰-黑帽”來為其行為分類。

黑客有益：IT業的信息員

眾多的IT公司因黑客獲益，當然他們只做與白帽黑客有關的事情。黑客們會向制造商通報其產品的缺陷。例如，微軟已從倍受黑客垂青的目標變成安全領域令人尊敬的信息發布者。微軟也不再回避遍布全球的技術怪才。微軟安全策略部經理Sarah Blankinship表示：“起初我們的座佑銘是：與他們水火不容。黑客是常被我們忽視的獨特對手。”但現在情況則大不相同，她帶領少量員工同全球黑客社區中最聰明的人保持聯系，并在“黑帽黑客”安全會議期間為專家舉行聚會。目前，幾乎微軟產品中的每一個漏洞，公司都能從安全方面的研討活動中得到信息反饋。然而，微軟并不向信息提供者支付費用，因為擔心會被高額敲詐。

一位始終與微軟同甘共苦的白帽黑客，名叫Dan Kaminsky 。這位總是身穿自己喜歡的主題T恤的32歲美國黑客，作為安全顧問也是明星黑客圈的成員，他會與黑客精英們開展合作。早在產品正式銷售之前，Kaminsky就對新版Windows源代碼進行了安全測試。Kaminsky因揭露DNS（域名解析系統）的設計概念中存有致命弱點而聲名鵲起，他認為安全合作十分必要：“當我們讓公司自行承擔風險，掩蓋已發現的漏洞，那么其他人不可能從中獲得任何東西。” 基于上述，Kaminsky將自己的工作視作互聯網自由斗爭的一種形式，他表示：“如果 IT產品不斷給財務帶來損失，立法者遲早會介入其中”。政府出手完全管控互聯網世界，這對黑客而言簡直無法想象。

黑客知識：財富或是榮譽？

事實上，黑客與IT精英之間的合作與生俱來，他們之間堪稱“互利伙伴”。德國人Felix Lindner表示：“情況并不那么簡單，但有時候相互間早已習慣。”當然IT公司要首先學會看明白黑客的提示，就像微軟公司一位經理時常提及的軼事：2005年，黑客社區出現一則提示，但許多大型軟件公司的內部工作人員并未完全搞懂它的意思。很快，該提示就被人遺忘了。不久后，惡意軟件Zotob襲擊了全球的個人電腦，并給某些公司造成了嚴重的財務損失。Zotob利用了先前曾被黑客明確指出的安全漏洞。自此事件之后，微軟公司會更加徹底地檢測每一則提示，甚至包含個別帶有漢字的安全提示。

并不是所有的黑客都能像思想高尚的專家一樣，將信息直接通報給微軟公司——并在微軟的安全月報中作為漏洞提示者被提及。許多安全專家提供的都是有償服務。事實上，黑客們如何處理發現的安全漏洞才是問題的關鍵。德國黑客Halvar Flake認為，漏洞發現者只要遵守現行法律，應該有權自行決定他（她）是否放棄、出售還是特許授權他（她）的知識給其他人。

法國VUPEN公司總經理Chaouki Bekrar對此問題表述得更加直接。他曾公開指責想要獲取信息但又不愿付費的廠商：“越來越多的安全專家不愿同相關廠商分享他們的知識。我們對此并不感到奇怪。更令人震驚的是，公司每年花在商務安全檢查、代碼分析和模擬工具方面的費用高達數百萬美元。與此對等，盡管從事安全研究人員花費等量的工作預先發現未知漏洞，他們卻不愿向其支付一分錢。”VUPEN公司主要依靠發現硬件和軟件安全漏洞，并將其賣給相關制造商維系經營。著名的漏洞發現者Charlie Miller，因對蘋果應用商店進行應用程序惡意操控而一舉成名，他認為應從另一個角度思考：“漏洞發現者是要抵御黑市上10萬美元單價的誘惑，還是以1萬美元將信息賣給政府？不知如何使用漏洞信息？互聯網安全不能僅靠一位17歲的白俄羅斯青年做出道義上的正確決定。”

黑客勞動定額：每周一個漏洞

來自中國的漏洞挖掘者吳石年僅17歲。他以跟蹤查找軟件漏洞為生，迄今為止已發現100多個漏洞，主要集中在瀏覽器方面，例如蘋果Safari、Google Chrome和IE等。僅2010年，他發現的蘋果Lion操作系統的漏洞超過50個，Safari瀏覽器的漏洞有35個漏洞。他將自己的發現結果賣給了ZDI，他說：“只要制造商肯付費，我愿意同他們直接合作。如果不肯，我會將這些漏洞賣給像ZDI和iDefense等較為嚴肅的機構。”他發現一個漏洞，平均需要一周的時間，平均費用約3000美元。吳石說：“其實收入并不高，因為Google只愿為每個漏洞支付500美元。”

他補充道：“對制造商而言，向白帽黑客支付費用要比解決循環攻擊網上漏洞的花費便宜。此外，收到漏洞款項后，研究人員不會去敲詐制造商。”這位家住上海的查漏專業人士并不打算將信息賣給從事犯罪活動的Online-Underground等組織：“我對目前已得的回報感到滿意，不會卷入那些冒險的事情。”

黑客的工作收入多少取決多重因素。首先要看他是合法賺錢，還是將其知識賣給罪犯。后者獲利雖多，但風險更大。IT專家最終都會終止與有組織的犯罪團伙或恐怖組織合作。

據包括ZDI機構的Dan Holden在內的專家們估計，從事地下交易的黑帽黑客每提供一個大眾化漏洞收費10萬美元。Holden的客戶雖向其購買漏洞信息，但都完全合法。ZDI隸屬于惠普，該機構致力于將所獲信息用于提高自身產品的安全性能。隨后，它還將信息免費提供給相關的制造商，并以此縮小技術差距。

黑客價格：無特殊優惠

漏洞的存在非常普遍，特別是像Adobe Reader、IE和 Windows等廣為使用的產品更是如此。漏洞在非法市場的交易價一般在5~10萬美元之間。Holden 指出：“費用高低主要取決于攻擊目標。有時候，被發現的漏洞只適合于蠕蟲攻擊。但也有時候，則適合用于進行釣魚式網絡攻擊。”安全策略師Rob Rachwald在接受FAZ Online采訪時曾表示：“據估計，包括漏洞、非法攻擊和黑客工具在內的整個安全市場的市值約為2.5億美元。”

如此龐大經濟誘惑，但愿白帽黑客能繼續不為臟錢所惑，不向地下組織提供信息，同時希望IT制造商們能夠提前向黑客們支付相應費用，以在他們的幫助下營造更加安全的網絡。