四位转型黑客的近景生活
如临深渊,如履薄冰——沉重的白帽子
他应该算一个资深黑客了,从玩ham,到Fido飚信,到在瀛海威里贴自己翻译的国外安全文章,至少资历不短了。
但听说要采访,他就变得非常谨慎,突然有电话打来,大概让他去参加公安厅组织的一个网络安全态势方面的会议,我只好中断采访,我知道他很忙,他从前在国企作Project Manager,那时做安全完全是业余爱好,但如今他已经是一个安全公司的技术骨干了,并持有那家公司的股份。
最后,我的采访变成了下午的电话采访。
公司里有几个人
“十几个人”
“目前你在网络安全方面主要开发的东西是什么呢?”
“主要还是IDS”
“你也参与其他安全业务吗?
“对,目前主要是安全顾问,安全检测”
“有评论曾经说现在部分的安全公司是网络黑社会,先扫描,再通知,简直像在收保护费”
“我们关于扫描检测都是有严格规定的,不允许未经用户授权探测和扫描任何节点”
“做安全顾问主要难在哪里?”
“嗯,主要还是客户的安全意识和现状上,如果客户不配合,那么工作难以进行,一些客户的业务系统已经成形了,而且根本没有遵循任何安全规范,但不可能要求他们推翻以前的软件重来,比如一个规模已经很大的ICP,你发现cgi写的都一塌糊涂,但你不可能要求客户按照安全规范重写一遍,当然给这样的客户服务,做起来就会感觉比较吃力。而且一旦出了问题,责任就难以界定…”
“那你会担心攻击者的挑战么?”
“怎么会,就像我一个朋友说的‘作为一个安全工作者,攻击者带给我们更多的挑战也带给我们更多使命和快乐,真正给我们压力的是客户、投资人和官方’”
我和一些安全工作者接触的时候发现他们很喜欢引用别人说的话,似乎这样会显得更谨慎而不犯错误。当然这句话给我深深的好奇,他终于答应告诉他朋友的名字和联系方式,原来那个人其实和我很熟悉,却没想到我一直感觉只关心技术的他会说出如此深沉的语言。
但我电话里询问这句话的来龙去脉的时候,他干笑了一声,仿佛他根本没说过这句话,后来我知道他说过另一句,流传更广的话,那就是一个合格的职业安全工作者,应该“如临深渊,如履薄冰”
他们属于中国最早的黑客,不管中国有没有真正的黑客,至少他们这一批人,是最有资格被称为黑客的。
但他们不再是黑客了,他们已经穿上了职业外套,因他们的安全技能而获取收入或者开创实业。一旦走进职业化和商业化,而脱离了纯学术性,研究性的轨道圈子他们就只是前黑客了,圈子里更为精准的词,叫做白帽子。
历数李学岭写的中国黑客档案中的那些人,如袁哥、Frankie,以及被漏掉的小榕、root、sunx等等,我们的视野无不在安全公司终结。
但完成这个转变之后,我们并没有从他们读出如释重负的感觉,我们感受到的是他们对责任的一种更深的理解,甚至是背负一种沉重。
也许这是他们的职业特点,也许这是他们对责任的理解,也许,还有更深层次的东西。