去评论
dz插件网

是什么原因让白帽子不会变黑?

左右不逢缘
2023/08/06 09:55:32
为保护她的身份,我们就称她为迪伊吧。迪伊称自己是一名白帽子黑客。她年轻,漂亮,一头奔放的紫红色秀发,还带点东欧口音。让我想起了科幻电影《第五元素》里的米拉·乔沃维奇。



“什么东西能让你转成黑帽子?你会为了100万美元去入侵吗——如果你知道自己不会被抓到的话?”

“不会。对我而言,那是道德问题。”她立马坚定回答道。

“好吧,那么10亿美元呢?”

很明显,她不想回答这个问题。

迪伊是我去年探访过的36名白帽子之一,访谈主题就是:是什么因素将他们一直留在了正义的一方?

白帽子 = 讲道德的黑客

白帽子黑客就是采用计算机安全技术做“好”事的一群人。白帽子们知道怎样渗透系统,但他们只用这些知识保护网络而不是攻击网络。

访谈的开端很是偶然,发生在我的同事之间。我是大卫·霍姆斯,F5网络的安全专家。当时我们在处理一家大型零售金融公司的漏洞问题,忽然就意识到:掌握内部信息的人不就可以利用该漏洞从公司劫走大笔金钱吗?午饭时我们还讨论了具体到底可以拿走多少钱。不仅仅是为抢劫而抢劫,而是为了赚够能让我们余生无忧的钱——这么大一票工作完成后就再也不用做回白帽子了。

像很多其他职业一样,白帽子的角色在一切正常的时候常常被人忽略掉。可一旦出现了严重的数据泄露,那就意味着黑帽子们赢得了网络攻防战的胜利。比如2014年的索尼影业数据泄露事件,自称“和平卫士(GOP)”的黑帽子团伙渗透了索尼的网络,将数以TB计的敏感数据盗走。索尼的白帽子们明显惨败。


“74%的白帽子声称再多的金钱都不能染黑他们。”


比例很高,可喜可贺。那么问题来了:技术高超的白帽子当然可以也是有钱的黑帽子,那为什么他们还不是呢?

当然,“声称”这事儿是不靠谱的,也许1000万美元就是绝大多数白帽子由白转黑的心理价位了。钱自然是影响很大的一方面,但也绝不是唯一的理由。

另一名东欧黑客本恩解释道:“我是为了荣誉和自我满足而黑,才不是为了钱。”不过,他也提到了其中的道德核心:“如果有人在你面前掉了钱包,悄悄捡起拿走是很容易的事,但你得做正确的事,把它交还给失主。”

黑客世界里,道德的标准很难把握。就拿著名的黑客主义者,自我标榜的美国爱国者J3st3r来说吧,他不也声称攻击了rchan、维基解密、伊斯兰招募网站和其他一些网站么?网络安全专家布莱恩·麦克亨利曾说过:“没人是清白的。J3st3r是黑帽子吗?他确实触犯了法律,但是出于对他信仰的坚持……难道这不是一种人生价值的体现么?”




“作为白帽子,赚的是正当的钱,无须像黑帽子一样担惊受怕。但并非所有的国家都是这样。”


在有些发展中国家里,作为黑帽子而非白帽子来赚钱是绝对可行的。但除了钱的因素,还有其他原因会让黑客在黑白之间切换。

你会为了一个政治声明而去黑别人么?



只有1/8的白帽会为了表达一个政治上的倾向而选择黑掉别人。

迪伊本可以将自己视作黑客主义者。但另一方面,她成长在一个压制政治言论的专制政府统治下。其他受访者认为搞破坏是幼稚的行为。“政治讲演理应公开。诽谤或强关网站是胆怯的表现。”更为普遍的反馈是,丑化一个网站并不能达成任何实际效果。

要知道黑了 Ashley Madison 的黑客,他们黑网站的动机可是出于道义,是要给这家鼓动婚外情的网站一个教训。如果这是对Ashley Madison的道德抗议,那还真是代价惨重,造成了无数的离婚,至少3人自杀,以及大约400位教会人员离任。

报复增加“黑”的行为


25%的白帽子会出于报复而黑了别人。


当涉及到报复时,大多数人的道德标准往往会有所松动。白帽子也不例外——为复仇而黑的比例理论上是黑客主义者的2倍。或许这该归咎于复仇的个人本性而非行动主义的社会性。其实,有时候,为复仇而黑也是相当奇怪的复仇场景,比如说,当为了某些人的非正常死亡而怒黑流氓国家或为富不仁的亿万富翁的时候。

但,话又说回来。大多数白帽子还是有道德底线的,只不过,其中一些人很愿意(理论上)为了政治或个人原因,甚或足够丰厚的回报,而跨过那条线。也就意味着,我们有可能最终将见证一大波白帽子变成黑帽子,就像绝地武士变西斯一样?

这事很难讲,如同生活中的其他事一样,这就是个度的问题。

白帽子用黑客技术收集并查看其老板的财务报表。这算是黑帽子行为吗?至少侵犯隐私是绝对跑不脱的了,尽管许多白帽子会声称这是年轻时干得糊涂事,甚至记不清干没干过。

你最近一次做一些和黑帽相关的活动是什么时候?



有意思的是,将近1/3的人承认从高中开始就有做过“黑帽”,但却没有人愿意承认最近曾有过相关行为。

还有一些人承认经常会强行浏览大量网站,出于个人目的编程下载文件之类的——Reddit共同创始人兼白帽子亚伦·斯沃茨被指控的就是这个罪名。其他还有诸如探测零售网站寻找搜刮优惠券和修改优惠码的方法,获取超额折扣和网页应用业务逻辑缺陷的商品等等。讽刺的是,这么干的人有时还会得到保护这些资源的安全团队的同情。难道是,本是同根生,相煎何太急?


“我对试图保护广大人民群众的工种表示更高的敬意。”


从整个社会的角度来看,我们或许没必要担心白帽子的大规模黑化,至少在现代化的工业社会里不会。白帽子也不过是有着正当职业的纳税人的一种。当然,他们不是洁白无暇的天使,但大多数白帽子还是不会为金钱所动的。堕落变节者自然会有,可任何团体都会出现这种人:执法部门、情报机构、宗教组织……

喜欢恶作剧的白帽子

大多数白帽子曾经,或者仍在通过调戏朋友或同事的系统来释放压力。这真不是开玩笑,我采访过的白帽了有56%的人都喜欢恶作剧。

你是否使用过你的黑客技术戏耍过某人?



“所有的黑客式的调戏都不是攻击。很多时候它仅仅是为了调戏。”

曾有一位白帽子用“豪放”的方式提醒他的朋友们:在不用耳机的时候收好这小玩意儿。不然,就等着被“令人发指”的音频洗脑吧——此君黑掉了他们的蓝牙耳机。甚至连著名的“白帽安全”创始人耶利米·格罗斯曼也不能免俗。他曾经在Facebook上“杀死”了一位朋友——仅仅是开玩笑而不是出于报复。



最后,与邪恶势力作斗争的概念深深根植于人类行为思维模式之中,而网络安全世界跟其他任何科技产业都大为不同。网络安全世界需要很多很多的好人。我们正经历白帽子断代的严酷现实:距离我们拥有足够的人手对付所有坏蛋,大概还有25年的差距。我们需要为有兴趣加入白帽子阵营的年轻人提供更多网络安全技能的培训机会,一起努力吧!

---

要闻/干货/原创/专业 关注“安全牛”