靳德斌
幼兒園老師問我兒子爸爸做什么工作,他解釋道:“他偷東西,不過沒事兒,因?yàn)槿思医o他錢讓他這么干?!?/p>
我兒子說得沒錯。
2我是一名黑客,并且管理著一支黑客團(tuán)隊(duì)。我們整天尋找方法強(qiáng)行進(jìn)入可以與互聯(lián)網(wǎng)相連的任何設(shè)備,如服務(wù)器、自動取款機(jī)、燈泡等,努力獲取本不該被看到的信息。如果我們在罪犯之前獲取這些信息,那么我們就盡到了自己的職責(zé)。
3正如醫(yī)生或律師為他們所從事的工作感到自豪一樣,我也對賴以謀生的工作感到自豪。然而得克薩斯州機(jī)動車管理局最近卻對我的職業(yè)持批判態(tài)度。我為自己的愛車購買了個性車牌,該機(jī)構(gòu)迅速將它們沒收,聲稱“HACKING”字樣的車牌支持違法和犯罪行為。
4盡管有這種反應(yīng)其實(shí)不是出于好心沒收我車牌的市政人員的錯,但它卻表明對我職業(yè)根深蒂固的曲解如何造成了錯誤的認(rèn)知和刻板印象。
5好萊塢以及安防行業(yè)本身對黑客形象的描述促使“黑客”這個詞成為“罪犯”的同義詞。黑客經(jīng)常被描繪成在黑屋里罩著帽兜敲擊鍵盤從事非法活動的人,并且?guī)缀跚逡簧悄行?。近年來,像電視劇《黑客軍團(tuán)》和電影《瞞天過海:美人計(jì)》也引入了女性黑客角色,但不幸的是男性黑客的刻板印象依然盛行。
6這些刻板印象并不適用于安防行業(yè)的大多數(shù)黑客。黑客不是獨(dú)自工作的社會棄兒。我已經(jīng)干了30多年黑客工作,并且不穿連帽短衫。一些黑客甚至選擇穿正裝上班。另外,劇透一下,女性也做黑客。進(jìn)攻型的安防文化本質(zhì)上是包容的:這種安防業(yè)務(wù)就是公司雇用能力更強(qiáng)的黑客在罪犯動手前搶先找出機(jī)構(gòu)的失控點(diǎn)。為公司測試安全性并想出侵入公司的創(chuàng)造性方法需要多樣化的團(tuán)隊(duì)和思維模式。
7“黑客”這個詞的現(xiàn)代用法是20世紀(jì)50年代在麻省理工學(xué)院校內(nèi)創(chuàng)造的。多年后,黑客定義為用電腦編程和解決問題的專家,可以拓展電腦和電腦程序最初設(shè)計(jì)的任務(wù)完成能力。
8黑客行為是一項(xiàng)活動,將任何一項(xiàng)活動與犯罪區(qū)分開來的通常是獲得許可。人們有權(quán)自由駕駛,但沒有權(quán)把車開到時速150英里,這是野蠻駕駛,是一種刑事犯罪。銀行家可以將客戶的錢轉(zhuǎn)賬,但如果沒有獲得許可而這樣做,那就是侵占。你從未聽說過有人僅僅因?yàn)槭亲C券經(jīng)紀(jì)人而被捕,因?yàn)闆]有人會因?yàn)檫x擇金融領(lǐng)域作為職業(yè)而受指控,但如果他們參與非法活動,如內(nèi)幕交易,就會被捕。
9多虧安全研究人員的黑客攻擊行動,2019年發(fā)現(xiàn)了最常用Wi-Fi加密標(biāo)準(zhǔn)一個新版本存在的漏洞,使罪犯無法利用這些漏洞侵入家庭和商業(yè)網(wǎng)絡(luò)。相反,就在此前的那個月,罪犯在安全研究人員之前發(fā)現(xiàn)了谷歌安卓操作系統(tǒng)的一個未知漏洞,讓壞人完全控制了十多個手機(jī)型號。
10黑客行為本質(zhì)上并不是犯罪。從事非法黑客攻擊活動的人不應(yīng)該叫作“壞黑客”,而應(yīng)該稱之為“網(wǎng)絡(luò)罪犯”“威脅行動者”或“網(wǎng)絡(luò)攻擊者”。黑客是像我和我的IBM團(tuán)隊(duì)一樣尋找漏洞的安全專業(yè)人士,希望搶在被罪犯利用之前找到我們電腦系統(tǒng)的薄弱環(huán)節(jié)。
11電腦犯罪分子分為兩類:“黑帽”和“灰帽”。黑帽是惡意侵入的(如刺探情報、盜取數(shù)據(jù)),利用漏洞尋求經(jīng)濟(jì)或個人利益?;颐笔强赡軟]有惡意但沒有獲得許可而侵入系統(tǒng)的人。某個特定的罪犯屬于黑帽還是灰帽,描述的只是已經(jīng)確定為非法活動的背后動機(jī)。
12發(fā)展進(jìn)程中,安全行業(yè)也引入了道德倫理幫助解釋黑客行為的正當(dāng)性,給予我們“道德黑客”稱號,給始于20世紀(jì)50年代的這個職業(yè)添加了一層人工防護(hù)膜。然而不幸的是,連安防資格證書也在其名稱前面加上了這個形容詞。我們不能也不應(yīng)該指責(zé)公眾將我們稱為道德黑客,但請問:把某人介紹為道德證券經(jīng)紀(jì)人聽起來是否合適?道德工程師或道德教授呢?
13黑客在維護(hù)公司和個人安全方面發(fā)揮著關(guān)鍵作用。黑客未能正確地履行職責(zé)等同于讓公司以為穿著防彈背心而事實(shí)上卻穿著羊絨衫。在IBM,我的X-Force Red團(tuán)隊(duì)開展的一項(xiàng)工作是攻擊自動無人駕駛汽車、飛機(jī)和火車,以便確保每臺機(jī)器發(fā)貨之前發(fā)現(xiàn)并糾正每一個可能出現(xiàn)的安全漏洞。想象一下如果這些運(yùn)輸工具在出廠前未能發(fā)現(xiàn)并糾正安全缺陷會發(fā)生什么糟糕的事情吧。
14對“黑客”一詞的曲解不僅損害了進(jìn)攻型安防行業(yè),也扭曲了立法者對所有黑客的理解和認(rèn)知。例如,《計(jì)算機(jī)欺詐與濫用法》嚴(yán)重依賴這個詞及對它的誤解。為了社會就安全研究和滲透測試展開公開和富有成效的討論,我們需要澄清黑客到底是誰,他們做的是什么。與我交流的許多政府官員理解這一點(diǎn)。其他人則選擇將我的車牌沒收。