黑客是好是壞？兼而有之：他們讓W(xué)indows更安全，從公司免受攻擊中賺錢，甚至被政府雇傭。

提到“黑客”，在絕大多數(shù)人的心目中或多或少有著相同的印象——毋庸置疑，他們對(duì)電腦興趣濃厚，一般情況下，他們的房間光線不佳，顯示器和鍵盤雜亂堆放。此外，黑客大多戴著鏡片極厚的眼鏡，留著油乎乎的長(zhǎng)發(fā)，手上夾著一支香煙，從事著看似非法的工作。

確實(shí)，黑客們的很多生活同電影中的常見畫面如出一轍。他們定會(huì)出現(xiàn)在煙霧迷漫的黑暗房間里，登錄一些敏感網(wǎng)絡(luò)，或者控制僵尸網(wǎng)絡(luò)。然而，如果對(duì)黑客的描述僅限于此，就難以得出完整和正確的概念。目前，更多的黑客已逐漸歸入主流，不再是亞文化的一部分。他們中的很多人都擁有兩張名片，一張寫明“黑客”，在某些場(chǎng)合使用，在非正式渠道開展工作；另外一張注明“IT安全顧問”，與新的客戶聯(lián)系。

黑客的共同之處在于：他們能夠發(fā)現(xiàn)軟件和網(wǎng)絡(luò)服務(wù)中的薄弱環(huán)節(jié)。一旦發(fā)現(xiàn)漏洞，黑客們便會(huì)各行其道——有些黑客會(huì)與廠商聯(lián)絡(luò)，分享他們的重大“發(fā)現(xiàn)”；有些則從漏洞中賺錢謀利；也有少數(shù)成員會(huì)將漏洞信息賣給類似ZDI（零日計(jì)劃，Zero Day Initiative）或iDefense等合法機(jī)構(gòu)或組織，這些信息也會(huì)再次被反饋給相應(yīng)的廠商。更有些黑客會(huì)在論壇上發(fā)表他們的知識(shí)和技術(shù)，以期獲得廣泛認(rèn)可。而那些真正心存邪念的黑客會(huì)與犯罪分子聯(lián)系，并將安全漏洞賣給出價(jià)最高的人，多數(shù)情況下，這類黑客往往能出現(xiàn)在媒體的頭條新聞上。

黑客用戶：駭客、帽子

起初，“黑客”是技術(shù)愛好者的代名詞，是指那些喜歡擺弄編程、鏈接，進(jìn)而研究使用系統(tǒng)的人。上世紀(jì)六、七十年代，他們的關(guān)注目標(biāo)是電話系統(tǒng)，后來轉(zhuǎn)為大型計(jì)算機(jī)系統(tǒng)。隨著互聯(lián)網(wǎng)的出現(xiàn)，他們的注意力又轉(zhuǎn)向網(wǎng)絡(luò)。這些技術(shù)專家自認(rèn)為是技術(shù)領(lǐng)域的“羅賓漢”，靠自己的知識(shí)和技能賺錢。

但也有些道德低下，諳熟技術(shù)的人開始把他們的專業(yè)知識(shí)用在攻擊他人上，一個(gè)新名詞應(yīng)運(yùn)而生：駭客。

上世紀(jì)八十年代，那些刪除個(gè)人電腦游戲復(fù)制保護(hù)的人也被稱作是“駭客”。后來，這些原本無害的黑客們?cè)诟拍钌吓c其他那些地下同行們漸行漸遠(yuǎn)。

然而在互聯(lián)網(wǎng)時(shí)代，“駭客”一詞又有了新的解釋和表述：白帽、灰帽和黑帽。帽子說法源自早前的牛仔電影，影片中的惡人通常頭戴黑色帽子，貴族騎手多戴白色帽子，而西部英雄常戴灰色帽子。直至今日，“白帽黑客”一詞仍有人使用。網(wǎng)絡(luò)應(yīng)用加速專業(yè)公司Akamai的IT安全負(fù)責(zé)人Joshua Corman等專家認(rèn)為，應(yīng)當(dāng)更加精準(zhǔn)地區(qū)別黑客。Corman打算將幕后操盤手重新分類：如“守法且良性”和“守法但可惡”，“好意但造成損害”和“惡意且造成損害”。像LulzSec和Anonymous等黑客組織就屬于后者，他們經(jīng)常入侵索尼PlayStation網(wǎng)絡(luò)。目前黑客的性質(zhì)已經(jīng)很難用界限明顯的“白-灰-黑帽”來為其行為分類。

黑客有益：IT業(yè)的信息員

眾多的IT公司因黑客獲益，當(dāng)然他們只做與白帽黑客有關(guān)的事情。黑客們會(huì)向制造商通報(bào)其產(chǎn)品的缺陷。例如，微軟已從倍受黑客垂青的目標(biāo)變成安全領(lǐng)域令人尊敬的信息發(fā)布者。微軟也不再回避遍布全球的技術(shù)怪才。微軟安全策略部經(jīng)理Sarah Blankinship表示：“起初我們的座佑銘是：與他們水火不容。黑客是常被我們忽視的獨(dú)特對(duì)手?！钡F(xiàn)在情況則大不相同，她帶領(lǐng)少量員工同全球黑客社區(qū)中最聰明的人保持聯(lián)系，并在“黑帽黑客”安全會(huì)議期間為專家舉行聚會(huì)。目前，幾乎微軟產(chǎn)品中的每一個(gè)漏洞，公司都能從安全方面的研討活動(dòng)中得到信息反饋。然而，微軟并不向信息提供者支付費(fèi)用，因?yàn)閾?dān)心會(huì)被高額敲詐。

一位始終與微軟同甘共苦的白帽黑客，名叫Dan Kaminsky 。這位總是身穿自己喜歡的主題T恤的32歲美國(guó)黑客，作為安全顧問也是明星黑客圈的成員，他會(huì)與黑客精英們開展合作。早在產(chǎn)品正式銷售之前，Kaminsky就對(duì)新版Windows源代碼進(jìn)行了安全測(cè)試。Kaminsky因揭露DNS（域名解析系統(tǒng)）的設(shè)計(jì)概念中存有致命弱點(diǎn)而聲名鵲起，他認(rèn)為安全合作十分必要：“當(dāng)我們讓公司自行承擔(dān)風(fēng)險(xiǎn)，掩蓋已發(fā)現(xiàn)的漏洞，那么其他人不可能從中獲得任何東西?！?基于上述，Kaminsky將自己的工作視作互聯(lián)網(wǎng)自由斗爭(zhēng)的一種形式，他表示：“如果 IT產(chǎn)品不斷給財(cái)務(wù)帶來?yè)p失，立法者遲早會(huì)介入其中”。政府出手完全管控互聯(lián)網(wǎng)世界，這對(duì)黑客而言簡(jiǎn)直無法想象。

黑客知識(shí)：財(cái)富或是榮譽(yù)？

事實(shí)上，黑客與IT精英之間的合作與生俱來，他們之間堪稱“互利伙伴”。德國(guó)人Felix Lindner表示：“情況并不那么簡(jiǎn)單，但有時(shí)候相互間早已習(xí)慣。”當(dāng)然IT公司要首先學(xué)會(huì)看明白黑客的提示，就像微軟公司一位經(jīng)理時(shí)常提及的軼事：2005年，黑客社區(qū)出現(xiàn)一則提示，但許多大型軟件公司的內(nèi)部工作人員并未完全搞懂它的意思。很快，該提示就被人遺忘了。不久后，惡意軟件Zotob襲擊了全球的個(gè)人電腦，并給某些公司造成了嚴(yán)重的財(cái)務(wù)損失。Zotob利用了先前曾被黑客明確指出的安全漏洞。自此事件之后，微軟公司會(huì)更加徹底地檢測(cè)每一則提示，甚至包含個(gè)別帶有漢字的安全提示。

并不是所有的黑客都能像思想高尚的專家一樣，將信息直接通報(bào)給微軟公司——并在微軟的安全月報(bào)中作為漏洞提示者被提及。許多安全專家提供的都是有償服務(wù)。事實(shí)上，黑客們?nèi)绾翁幚戆l(fā)現(xiàn)的安全漏洞才是問題的關(guān)鍵。德國(guó)黑客Halvar Flake認(rèn)為，漏洞發(fā)現(xiàn)者只要遵守現(xiàn)行法律，應(yīng)該有權(quán)自行決定他（她）是否放棄、出售還是特許授權(quán)他（她）的知識(shí)給其他人。

法國(guó)VUPEN公司總經(jīng)理Chaouki Bekrar對(duì)此問題表述得更加直接。他曾公開指責(zé)想要獲取信息但又不愿付費(fèi)的廠商：“越來越多的安全專家不愿同相關(guān)廠商分享他們的知識(shí)。我們對(duì)此并不感到奇怪。更令人震驚的是，公司每年花在商務(wù)安全檢查、代碼分析和模擬工具方面的費(fèi)用高達(dá)數(shù)百萬美元。與此對(duì)等，盡管從事安全研究人員花費(fèi)等量的工作預(yù)先發(fā)現(xiàn)未知漏洞，他們卻不愿向其支付一分錢?！盫UPEN公司主要依靠發(fā)現(xiàn)硬件和軟件安全漏洞，并將其賣給相關(guān)制造商維系經(jīng)營(yíng)。著名的漏洞發(fā)現(xiàn)者Charlie Miller，因?qū)μO果應(yīng)用商店進(jìn)行應(yīng)用程序惡意操控而一舉成名，他認(rèn)為應(yīng)從另一個(gè)角度思考：“漏洞發(fā)現(xiàn)者是要抵御黑市上10萬美元單價(jià)的誘惑，還是以1萬美元將信息賣給政府？不知如何使用漏洞信息？互聯(lián)網(wǎng)安全不能僅靠一位17歲的白俄羅斯青年做出道義上的正確決定?！?/p>

黑客勞動(dòng)定額：每周一個(gè)漏洞

來自中國(guó)的漏洞挖掘者吳石年僅17歲。他以跟蹤查找軟件漏洞為生，迄今為止已發(fā)現(xiàn)100多個(gè)漏洞，主要集中在瀏覽器方面，例如蘋果Safari、Google Chrome和IE等。僅2010年，他發(fā)現(xiàn)的蘋果Lion操作系統(tǒng)的漏洞超過50個(gè)，Safari瀏覽器的漏洞有35個(gè)漏洞。他將自己的發(fā)現(xiàn)結(jié)果賣給了ZDI，他說：“只要制造商肯付費(fèi)，我愿意同他們直接合作。如果不肯，我會(huì)將這些漏洞賣給像ZDI和iDefense等較為嚴(yán)肅的機(jī)構(gòu)?！彼l(fā)現(xiàn)一個(gè)漏洞，平均需要一周的時(shí)間，平均費(fèi)用約3000美元。吳石說：“其實(shí)收入并不高，因?yàn)镚oogle只愿為每個(gè)漏洞支付500美元。”

他補(bǔ)充道：“對(duì)制造商而言，向白帽黑客支付費(fèi)用要比解決循環(huán)攻擊網(wǎng)上漏洞的花費(fèi)便宜。此外，收到漏洞款項(xiàng)后，研究人員不會(huì)去敲詐制造商?！边@位家住上海的查漏專業(yè)人士并不打算將信息賣給從事犯罪活動(dòng)的Online-Underground等組織：“我對(duì)目前已得的回報(bào)感到滿意，不會(huì)卷入那些冒險(xiǎn)的事情?！?/p>

黑客的工作收入多少取決多重因素。首先要看他是合法賺錢，還是將其知識(shí)賣給罪犯。后者獲利雖多，但風(fēng)險(xiǎn)更大。IT專家最終都會(huì)終止與有組織的犯罪團(tuán)伙或恐怖組織合作。

據(jù)包括ZDI機(jī)構(gòu)的Dan Holden在內(nèi)的專家們估計(jì)，從事地下交易的黑帽黑客每提供一個(gè)大眾化漏洞收費(fèi)10萬美元。Holden的客戶雖向其購(gòu)買漏洞信息，但都完全合法。ZDI隸屬于惠普，該機(jī)構(gòu)致力于將所獲信息用于提高自身產(chǎn)品的安全性能。隨后，它還將信息免費(fèi)提供給相關(guān)的制造商，并以此縮小技術(shù)差距。

黑客價(jià)格：無特殊優(yōu)惠

漏洞的存在非常普遍，特別是像Adobe Reader、IE和 Windows等廣為使用的產(chǎn)品更是如此。漏洞在非法市場(chǎng)的交易價(jià)一般在5~10萬美元之間。Holden 指出：“費(fèi)用高低主要取決于攻擊目標(biāo)。有時(shí)候，被發(fā)現(xiàn)的漏洞只適合于蠕蟲攻擊。但也有時(shí)候，則適合用于進(jìn)行釣魚式網(wǎng)絡(luò)攻擊。”安全策略師Rob Rachwald在接受FAZ Online采訪時(shí)曾表示：“據(jù)估計(jì)，包括漏洞、非法攻擊和黑客工具在內(nèi)的整個(gè)安全市場(chǎng)的市值約為2.5億美元?！?/p>

如此龐大經(jīng)濟(jì)誘惑，但愿白帽黑客能繼續(xù)不為臟錢所惑，不向地下組織提供信息，同時(shí)希望IT制造商們能夠提前向黑客們支付相應(yīng)費(fèi)用，以在他們的幫助下營(yíng)造更加安全的網(wǎng)絡(luò)。