周鴻祎：黑客——站在路口的孤獨者

　　這是360網(wǎng)站安全總監(jiān)小趙在7月份寫的一篇博客。小趙接觸到這樣一個小黑客，初中生，他不知道自己站在十字路口上，他只想發(fā)現(xiàn)漏洞攢錢買一臺筆記本電腦。小趙不斷用路標把他從充滿誘惑的十字路口引開。

　　小趙是360“庫帶計劃”的負責人。國內(nèi)外的安全高手如果發(fā)現(xiàn)了網(wǎng)站的漏洞提交給360，就會得到現(xiàn)金獎勵。發(fā)現(xiàn)了漏洞，360會幫助軟件公司和開發(fā)者及時推出漏洞補丁，防止被黑客“拖庫”。

　　黑客是永遠徘徊在十字路口的一群人，各種誘惑，黑路還是白路，考驗著人性，決定著前途。今天，我們得到一個好消息：這個小黑客初中畢業(yè)進入了一家澳洲的安全公司，規(guī)模不大。今年9月，這位小黑客將參加360主辦的中國互聯(lián)網(wǎng)安全大會。
 

　　說在前面：本文有感而發(fā)，并無對任何人和產(chǎn)業(yè)的詆毀。只是說說自己內(nèi)心對選擇的一點感觸，請各位不要對號入座。

　　十年前，別人說我是個黑客，我會覺得很驕傲；十年后，有人說我是黑客，我會立刻糾正他。

　　十年前，可以隨意看到身邊的人意氣風發(fā)的給人講自己是個黑客，做過哪些入侵；十年后，曾經(jīng)圈內(nèi)叱咤風云的人物都已經(jīng)銷聲匿跡，低調(diào)地做著自己的事兒。

　　十年的時間，黑客圈巨變，刑法修正案對黑客行為的立法讓這個灰色的圈子徹底變黑。掌握web安全技術(shù)的傳統(tǒng)黑客們孤獨的站在十字路口，一邊是充滿誘惑的黑產(chǎn)圈子，一邊是嚴厲的法律制裁和身邊朋友進監(jiān)獄的案例。究竟該何去何從？一念之差可能人生的軌跡就會有天淵之別。

　　相信圈內(nèi)的朋友都有過這樣的內(nèi)心掙扎，做黑產(chǎn)、“項目”每年能賺到幾百甚至上千萬，而做白每年苦逼的能賺到幾十萬就算不錯。究竟要怎樣選擇？哪條路才是對的？我也曾經(jīng)掙扎過，但內(nèi)心的傳統(tǒng)觀念還是讓我選擇了保守，去做一份web安全的工作，去做一款web安全的產(chǎn)品，踏踏實實的賺每一分錢，舒舒服服的睡每一個覺。

　　初始道路的選擇不是像職業(yè)規(guī)劃那樣簡單的行為選擇，而是內(nèi)心對于自我的深度定位和對底線的明晰劃分。說簡單一些，十字路口，內(nèi)心的掙扎就像有一部電影中決定是否把自己出賣給魔鬼來換取永生一樣。一旦選擇了黑，內(nèi)心也會隨之變化，就會認為自己成為了那個世界的人，就會習慣那個世界的規(guī)則。熊貓燒香作者李俊我想就是那種自我心理暗示極強的人，自我認定為不普通的人，自然也不會習慣普通人的生活，再次打擦邊球再次被捕，雖說有運氣差的因素，但某種程度上來說是必然的。

　　一旦選擇了黑，就會背負原罪，而且一生無法洗白。所以，十字路口的抉擇對一個人的影響其實是一生的。

　　還有一件事對我的觸動很深，讓我覺得我現(xiàn)在所做的事情是極有意義的。付費漏洞收集平臺的最大作用本來是為了最快最全的收集漏洞，但其實對站在十字路口的人卻有了燈塔的作用，雖然是點點光芒不像黑產(chǎn)霓虹燈那樣絢麗奪目，但在選擇的天枰上這點點光芒確實可以改變很多人的人生軌跡。

　　每天都有很多白帽子向我們提交很多漏洞，我們評估驗證后給他們付費。一天我偶然接觸到了一個漏洞提交者，短暫交流后發(fā)現(xiàn)他居然是個初中生。他的技術(shù)非常非常初級，只能找到一些很淺的漏洞，所以能付給他的錢也很少。他對我說：自己的家庭條件不好，自己學習努力挖漏洞就是想賺錢買一臺筆記本電腦。

　　那一刻我的心被觸動了，久違了的觸動，仿佛看到了自己之前的影子，鼻子一酸當時就想對他說送他一臺。但一轉(zhuǎn)念，我決定用另一種方式幫助他實現(xiàn)自己的目標。我開始對他進行一些技術(shù)上的指導(dǎo)，幫助他找到更多更嚴重的漏洞，同時在心理層面引導(dǎo)他走白帽子的路。因為我很清楚，挖漏洞提交賺錢比做黑產(chǎn)賺錢要難的多也要慢的多。這個孩子就像是一個站在十字路口的人，筆記本就是他的清晰目標，向左只需1步就可以拿到筆記本，向右卻需要100步。

　　讓我感到欣慰的是，這個小小的白帽子(我想此刻可以這么稱呼他了)挖出的漏洞等級越來越高，從最基本的XSS到了高危SQL注入。他本人也非常勤奮，略算一下，近3個月的時間他得到的漏洞獎勵也基本可以買到一臺主流配置的筆記本電腦了。

　　我不確定自己是否真的能影響這個小朋友一直走白的道路，但我對自己工作的認識全然不同了，我現(xiàn)在要做的就是做大付費漏洞收集平臺，讓更多的漏洞到我的手上，讓更多的人在選擇的十字路口能夠看見這邊的點點星火。