靳德斌

幼兒園老師問我兒子爸爸做什么工作，他解釋道：“他偷東西，不過沒事兒，因?yàn)槿思医o他錢讓他這么干?！?/p>

我兒子說得沒錯。

2我是一名黑客，并且管理著一支黑客團(tuán)隊(duì)。我們整天尋找方法強(qiáng)行進(jìn)入可以與互聯(lián)網(wǎng)相連的任何設(shè)備，如服務(wù)器、自動取款機(jī)、燈泡等，努力獲取本不該被看到的信息。如果我們在罪犯之前獲取這些信息，那么我們就盡到了自己的職責(zé)。

3正如醫(yī)生或律師為他們所從事的工作感到自豪一樣，我也對賴以謀生的工作感到自豪。然而得克薩斯州機(jī)動車管理局最近卻對我的職業(yè)持批判態(tài)度。我為自己的愛車購買了個性車牌，該機(jī)構(gòu)迅速將它們沒收，聲稱“HACKING”字樣的車牌支持違法和犯罪行為。

4盡管有這種反應(yīng)其實(shí)不是出于好心沒收我車牌的市政人員的錯，但它卻表明對我職業(yè)根深蒂固的曲解如何造成了錯誤的認(rèn)知和刻板印象。

5好萊塢以及安防行業(yè)本身對黑客形象的描述促使“黑客”這個詞成為“罪犯”的同義詞。黑客經(jīng)常被描繪成在黑屋里罩著帽兜敲擊鍵盤從事非法活動的人，并且?guī)缀跚逡簧悄行?。近年來，像電視劇《黑客軍團(tuán)》和電影《瞞天過海：美人計(jì)》也引入了女性黑客角色，但不幸的是男性黑客的刻板印象依然盛行。

6這些刻板印象并不適用于安防行業(yè)的大多數(shù)黑客。黑客不是獨(dú)自工作的社會棄兒。我已經(jīng)干了30多年黑客工作，并且不穿連帽短衫。一些黑客甚至選擇穿正裝上班。另外，劇透一下，女性也做黑客。進(jìn)攻型的安防文化本質(zhì)上是包容的：這種安防業(yè)務(wù)就是公司雇用能力更強(qiáng)的黑客在罪犯動手前搶先找出機(jī)構(gòu)的失控點(diǎn)。為公司測試安全性并想出侵入公司的創(chuàng)造性方法需要多樣化的團(tuán)隊(duì)和思維模式。

7“黑客”這個詞的現(xiàn)代用法是20世紀(jì)50年代在麻省理工學(xué)院校內(nèi)創(chuàng)造的。多年后，黑客定義為用電腦編程和解決問題的專家，可以拓展電腦和電腦程序最初設(shè)計(jì)的任務(wù)完成能力。

8黑客行為是一項(xiàng)活動，將任何一項(xiàng)活動與犯罪區(qū)分開來的通常是獲得許可。人們有權(quán)自由駕駛，但沒有權(quán)把車開到時速150英里，這是野蠻駕駛，是一種刑事犯罪。銀行家可以將客戶的錢轉(zhuǎn)賬，但如果沒有獲得許可而這樣做，那就是侵占。你從未聽說過有人僅僅因?yàn)槭亲C券經(jīng)紀(jì)人而被捕，因?yàn)闆]有人會因?yàn)檫x擇金融領(lǐng)域作為職業(yè)而受指控，但如果他們參與非法活動，如內(nèi)幕交易，就會被捕。

9多虧安全研究人員的黑客攻擊行動，2019年發(fā)現(xiàn)了最常用Wi-Fi加密標(biāo)準(zhǔn)一個新版本存在的漏洞，使罪犯無法利用這些漏洞侵入家庭和商業(yè)網(wǎng)絡(luò)。相反，就在此前的那個月，罪犯在安全研究人員之前發(fā)現(xiàn)了谷歌安卓操作系統(tǒng)的一個未知漏洞，讓壞人完全控制了十多個手機(jī)型號。

10黑客行為本質(zhì)上并不是犯罪。從事非法黑客攻擊活動的人不應(yīng)該叫作“壞黑客”，而應(yīng)該稱之為“網(wǎng)絡(luò)罪犯”“威脅行動者”或“網(wǎng)絡(luò)攻擊者”。黑客是像我和我的IBM團(tuán)隊(duì)一樣尋找漏洞的安全專業(yè)人士，希望搶在被罪犯利用之前找到我們電腦系統(tǒng)的薄弱環(huán)節(jié)。

11電腦犯罪分子分為兩類：“黑帽”和“灰帽”。黑帽是惡意侵入的（如刺探情報、盜取數(shù)據(jù)），利用漏洞尋求經(jīng)濟(jì)或個人利益?；颐笔强赡軟]有惡意但沒有獲得許可而侵入系統(tǒng)的人。某個特定的罪犯屬于黑帽還是灰帽，描述的只是已經(jīng)確定為非法活動的背后動機(jī)。

12發(fā)展進(jìn)程中，安全行業(yè)也引入了道德倫理幫助解釋黑客行為的正當(dāng)性，給予我們“道德黑客”稱號，給始于20世紀(jì)50年代的這個職業(yè)添加了一層人工防護(hù)膜。然而不幸的是，連安防資格證書也在其名稱前面加上了這個形容詞。我們不能也不應(yīng)該指責(zé)公眾將我們稱為道德黑客，但請問：把某人介紹為道德證券經(jīng)紀(jì)人聽起來是否合適？道德工程師或道德教授呢？

13黑客在維護(hù)公司和個人安全方面發(fā)揮著關(guān)鍵作用。黑客未能正確地履行職責(zé)等同于讓公司以為穿著防彈背心而事實(shí)上卻穿著羊絨衫。在IBM，我的X-Force Red團(tuán)隊(duì)開展的一項(xiàng)工作是攻擊自動無人駕駛汽車、飛機(jī)和火車，以便確保每臺機(jī)器發(fā)貨之前發(fā)現(xiàn)并糾正每一個可能出現(xiàn)的安全漏洞。想象一下如果這些運(yùn)輸工具在出廠前未能發(fā)現(xiàn)并糾正安全缺陷會發(fā)生什么糟糕的事情吧。

14對“黑客”一詞的曲解不僅損害了進(jìn)攻型安防行業(yè)，也扭曲了立法者對所有黑客的理解和認(rèn)知。例如，《計(jì)算機(jī)欺詐與濫用法》嚴(yán)重依賴這個詞及對它的誤解。為了社會就安全研究和滲透測試展開公開和富有成效的討論，我們需要澄清黑客到底是誰，他們做的是什么。與我交流的許多政府官員理解這一點(diǎn)。其他人則選擇將我的車牌沒收。