在許多人眼里，黑客仍然意味著“神秘”和“危險”。但在網(wǎng)絡世界中，黑客卻有著三種不同的面孔：白帽、黑帽和灰帽。類似美國早期西部片中以“白帽”和“黑帽”區(qū)分正邪雙方，在網(wǎng)絡黑客世界中，白帽黑客和黑帽黑客的稱呼分別代表兩種對立角色——臨危救難的英雄和令人側(cè)目的反派：白帽黑客專事網(wǎng)絡、計算機技術(shù)防御;黑帽黑客研究操作系統(tǒng)，尋找漏洞，以個人意志為出發(fā)點攻擊網(wǎng)絡或者計算機;灰帽黑客則介于兩者中間，他們懂得技術(shù)防御原理，且有實力突破這些防御，一般情況下，不會發(fā)動惡意攻擊。

　　360企業(yè)安全集團董事長齊向東用一個場景形象地說明三種黑客的區(qū)別：“看到有人家門沒關(guān)，進屋偷東西的是黑帽子;進屋轉(zhuǎn)一圈，再對你說‘門沒關(guān)嚴’的是灰帽子;提醒你‘門沒關(guān)嚴’，在征得同意后幫你把門關(guān)上的是白帽子。”

　　那條虛開的門縫，則是黑客們攻防的對象——網(wǎng)絡漏洞。

　　“萬物互聯(lián)”下的安全憂患

　　如同人類進行語言表達時，常會出現(xiàn)語法、邏輯上的錯誤一樣，計算機語言中的“語法錯誤或邏輯性錯誤”，都叫作“漏洞”。齊向東說，“漏洞很容易被人拿來進行網(wǎng)絡攻擊，就像我們無意間說話出現(xiàn)瑕疵之后，讓人抓住了把柄，‘有心之人’會拿這些話反過來攻擊我們。在計算機領(lǐng)域也是一樣”。

　　漏洞被非法利用有何危害?齊向東認為，危害在不同時期有著不同的嚴重性：在以內(nèi)容和應用為核心的“消費互聯(lián)網(wǎng)”時代，遭受網(wǎng)絡攻擊會丟隱私、丟錢，會“傷財”;而在已經(jīng)來臨的以大數(shù)據(jù)為核心的“工業(yè)互聯(lián)網(wǎng)”時代，互聯(lián)網(wǎng)背后是生產(chǎn)線、控制系統(tǒng)，直至萬事萬物。一旦遭受網(wǎng)絡攻擊，會控制失靈、車毀人亡、危及生命，是“損命”。

　　近兩年，全球范圍內(nèi)先后發(fā)生多起引發(fā)廣泛關(guān)注的，針對工業(yè)、能源等關(guān)鍵基礎(chǔ)設(shè)施的攻擊，除了竊取敏感數(shù)據(jù)外，更多是以直接破壞工業(yè)設(shè)備系統(tǒng)為目標，使目標系統(tǒng)癱瘓、日常作業(yè)流程無法正常運轉(zhuǎn)，嚴重者可大面積威脅百姓生命財產(chǎn)安全。2016年4月，德國核電站原料添加系統(tǒng)遭遇網(wǎng)絡攻擊，檢查人員發(fā)現(xiàn)系統(tǒng)內(nèi)被植入破壞性木馬，安全起見，核電站被臨時關(guān)閉;去年，卡巴斯基掃描了全球170個國家和地區(qū)的近20萬套工業(yè)控制系統(tǒng)，其中92%都存在安全漏洞，存在遭遇黑客攻擊、接管甚至破壞設(shè)備正常運行的風險。

　　有統(tǒng)計顯示，網(wǎng)絡攻擊每年給企業(yè)造成的損失高達5000億美元，并且，這個數(shù)字每年還在大幅上升。在針對企業(yè)的攻擊中，重點關(guān)注的領(lǐng)域依次是：通信網(wǎng)絡、電子電器、海洋與港口、能源化工、交通運輸、航空航天和網(wǎng)絡安全。2015年，菲亞特克萊斯勒汽車美國公司在美國召回旗下大切諾基、自由光等車型共計140萬輛，原因是這些車型存在重大安全漏洞，可能會讓黑客遠程劫持車輛。

　　安全是發(fā)展的前提，在工業(yè)互聯(lián)網(wǎng)時代，網(wǎng)絡安全至關(guān)重要。今年2月，國家發(fā)展改革委已批準由360公司牽頭承建大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室，重點開展數(shù)據(jù)匯聚隱私保護、數(shù)據(jù)防泄漏、系統(tǒng)漏洞分析、安全協(xié)同分析、大數(shù)據(jù)系統(tǒng)風險評估與安全監(jiān)測等技術(shù)的研發(fā)和工程化工作。日前，美國國防高級研究計劃局也啟動開發(fā)項目，核心目標是開發(fā)能夠檢測且自動響應針對美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡攻擊的技術(shù)，參與者包括雷神公司、斯坦福研究院等主要供應商，以及美國國土安全部等政府機構(gòu)。網(wǎng)絡安全防護，正在成為國家基礎(chǔ)設(shè)施領(lǐng)域建設(shè)的重要部分。

　　眾測之力鎖牢安全屏障

　　在世界范圍內(nèi)，科技型公司和重視品牌建設(shè)的企業(yè)，已經(jīng)在“挖漏洞”上先行一步。美國知名漏洞眾測平臺HackerOne首席運營官王寧表示，越來越多的美國公司意識到，僅依靠幾名技術(shù)人員維護安全的做法已經(jīng)過時。除了加強安全團隊建設(shè)，這些公司也開始與第三方平臺合作，借白帽黑客眾測之力，鎖牢安全屏障。近年來，我國不少企業(yè)也紛紛組建安全應急響應中心，提高安全防御能力。在烏云、補天、威客眾測等第三方漏洞響應平臺上，企業(yè)授權(quán)白帽黑客進行漏洞挖掘，并根據(jù)漏洞的危害程度、影響范圍提供相應獎勵，激勵越來越多的黑客戴上象征正義的“白帽子”。

　　以國內(nèi)最大的在線旅行服務商攜程旅行網(wǎng)為例，攜程擁有開發(fā)人員3000多名，安全人員卻僅有40名。在攜程旅行網(wǎng)信息安全總監(jiān)凌云看來，“以40人之力保障由3000多人開發(fā)出來的程序安全性，無疑是不夠的”。為借助白帽黑客的力量讓系統(tǒng)更安全，過去一年攜程為各大漏洞響應平臺的白帽子提供了約百萬元獎勵。

　　“網(wǎng)絡安全生態(tài)體系的建設(shè)必須群策群力、久久為功，單靠一家公司、一個組織不可能完成。技術(shù)共享、人才共享和更廣泛、更及時的漏洞響應是未來的趨勢?！饼R向東說。國內(nèi)的補天平臺注冊白帽已達31633名，自2013年起，他們累計發(fā)現(xiàn)了20多萬個漏洞，企業(yè)為這些白帽發(fā)出獎金近900萬元;美國的HackerOne已擁有來自150多個國家的注冊白帽約11萬名，自2013年起，他們累計發(fā)現(xiàn)了18萬多個漏洞，其中有4萬多個漏洞已經(jīng)被修復。

　　精英白帽的“自我修養(yǎng)”

　　“90后”白帽黑客“華不再揚”內(nèi)斂安靜，看上去只是一位鄰家小弟，但作為技術(shù)達人的他有著不尋常的經(jīng)歷：從小癡迷網(wǎng)絡游戲，進入職業(yè)高中后鉆研黑客技術(shù)，畢業(yè)后曾在鞋廠做普工，很快又以安全分析師的身份被游戲公司聘用，并站上各大網(wǎng)絡安全專業(yè)沙龍的講臺。工作之余，“華不再揚”熱衷參加企業(yè)漏洞懸賞計劃，在補天平臺的“風云白帽排行榜”上，他的積分已經(jīng)高居總排行榜第八位。

　　大多數(shù)白帽黑客有著與“華不再揚”相似的特征：年輕激進、性格單純、學歷不高但對技術(shù)十分狂熱。這些涉世未深的白帽黑客，在網(wǎng)絡空間中俠肝義膽、叱咤風云，但現(xiàn)實世界里，他們出自善意的“挖漏洞”行為，很可能給自己招來大麻煩。

　　2015年，烏云網(wǎng)某注冊白帽提交了某婚戀網(wǎng)站一個涉及大量會員信息的漏洞，當時該網(wǎng)站確認了這一漏洞，向白帽致謝并予以修復。不過，該網(wǎng)站隨即向公安局報案稱“有4000余條實名注冊信息被不法竊取”。不久后，以涉嫌“非法獲取計算機系統(tǒng)數(shù)據(jù)犯罪”之名，該白帽被逮捕。

　　這一事件在黑客中掀起軒然大波。一位普通白帽，不牟取任何私利，只是義務檢測漏洞，發(fā)現(xiàn)漏洞后告知廠家，也算犯罪嗎?

　　在齊向東看來，這個案例反映出企業(yè)和白帽黑客之間的微妙關(guān)系：不敢溝通、不敢交流，互不信任。他用了一句俗語來形容這個關(guān)系：“麻稈打狼兩頭怕?！?/p>

　　的確，核心白帽的技術(shù)實力之強，可能令任何一家專業(yè)廠商都無法小覷。補天漏洞響應平臺負責人白健說，補天平臺對注冊白帽實施了分層認證管理，對越核心、技術(shù)能力越強的白帽子認證越嚴格。最核心的那一批要有明確的身份信息，與平臺簽書面協(xié)議，甚至做專訪調(diào)查?！按蠹叶记宄刂馈诙础酌钡膫€人基本信息，包括工作情況、家庭情況等?！卑捉≌f，“在對白帽信息有所掌握的前提下，我們把大量政府、企業(yè)和機構(gòu)用戶也拉到平臺注冊。在平臺上，雙方才得以打消顧慮，正常溝通合作”。

　　法律已經(jīng)為黑客的行動劃定了紅線?！吨腥A人民共和國刑法》第二百八十五條、第二百八十六條、第二百八十七條對侵入計算機信息系統(tǒng)、傳播計算機病毒、利用計算機實施金融詐騙等行為做出了約束。今年6月1日起，我國網(wǎng)絡安全領(lǐng)域的基礎(chǔ)性法律《中華人民共和國網(wǎng)絡安全法》也將施行。

　　然而，黑色產(chǎn)業(yè)的猖獗，仍讓不少企業(yè)高度警覺。目前，在國內(nèi)外各大漏洞響應平臺，大部分情況下，只有企業(yè)授權(quán)之后，白帽才能尋找并且提交漏洞。“盡管多方力量嚴加把控，白帽的不少細微動作仍可能在無意中碰觸邊界?！诙础瘯r必須盡量低調(diào)、點到為止?！苯?jīng)驗豐富的白帽“U神”說，“對于黑色產(chǎn)業(yè)尤其要多加小心。許多進入黑色產(chǎn)業(yè)的人，最初認為可以做一次就‘金盆洗手’。但感受過黑色產(chǎn)業(yè)的賺錢速度后，就會鋌而走險繼續(xù)干，直到陷入深淵”。

　　“華不再揚”比照佛教中的“力戒‘貪嗔癡’三毒”，來形容白帽黑客自我修養(yǎng)的最高境界?！敖湄潱J清自己的原則，遵照漏洞挖掘測試規(guī)定的事項，發(fā)現(xiàn)安全風險，協(xié)助廠商解決問題;戒嗔，或許有些漏洞計劃，獎勵不能如自己所愿，也不要計較;戒癡，黑色產(chǎn)業(yè)的誘惑很大，要理智地看待問題?！?/p>

　　時代巨輪滾滾前行，工業(yè)互聯(lián)網(wǎng)如約而至。繁雜的互聯(lián)網(wǎng)生態(tài)與多變的人性，為黑客的色譜添上無窮的灰度。顏色深淺各異的黑帽、白帽與灰帽，在網(wǎng)絡叢林間展開的對抗與博弈，或許才剛剛開始。