“1、2、3、4……”中国扶贫基金会工作人员薛丽君嘴里叨念着:2462封信和明信片,把它们码起来、堆放在桌子上像三座小山,而上面歪歪扭扭却又极其认真写下的无数个“谢谢”如此醒目,薛丽君感动之余赶紧拍照发给了它们真正的收件人——阿里巴巴安全部安全专家木雁。
这些信是重庆石柱土家族自治县7所小学的2462个孩子写来的,木雁没有见过他们,却早已被他们熟记:你买给我的书包里有我们非常需要的文具,原来我们只能到处去借……如今我的学习态度都因此改变了,谢谢对我们学习的关心……
像是一场因果循环中迟来的褒奖和礼物,两年前,木雁早已通过网络世界的漏洞、现实中2462个包裹,和这些孩子们的命运紧紧相连。
“我是挖漏洞的”
“我是挖漏洞的,”木雁常常这么介绍自己。今年29岁的他常穿着白T恤或格子衬衫,严肃低调话不多,但谈及一些话题也会咧开嘴、羞赧地笑,眼神纯净地还像个孩子。
对着电脑屏幕仔细琢磨,不断敲击键盘,通过一些工具运行程序后,短则几天,长则需要一两年,网络系统的“漏洞”会被挖掘出来。
92年的阿里云安全工程师千霄、朗泽在进入阿里之前也是挖漏洞的,并通过参加各种CTF比赛提升自身技术能力。CTF(Capture The Flag)意为“夺旗赛“,起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式,其核心也是漏洞挖掘。
在黑白两界的网络世界,黑帽通过漏洞入侵各类企业的系统,在安全防范最薄弱的地带,爬取企业数据,攫取用户的资料信息,电信诈骗、信息泄漏等社会问题随之而来。而白帽们则运用同样的技能化身守护者,在黑帽之前发现企业的漏洞和风险,让企业迅速修补、提升安全水位,让黑帽无可乘之机,也让黑产无利可图。
木雁、千霄和朗泽这三位白帽可能在网络世界早有交集,在现实中因为一个“公益众测”比赛才得以真正见面。
公益众测:原来挖漏洞还可以捐钱
2015年9月10日,马云通过全员邮件提出倡议:从2015财年开始,阿里人每年完成3小时的公益志愿服务。技术人员怎么发挥特长做公益?
彼时,“众测”正在网络安全行业盛行,即企业招募白帽子帮忙寻找自身网站或业务系统的漏洞,并以挖出漏洞质量为白帽子分配一定数额奖金。
2016年9月,当时的先知平台负责人阿里云首席安全科学家吴瀚清,找到阿里公益高级专家华山,希望推进先知公益众测事宜,忙活一个月,中国扶贫基金会参与进来,技术人员挖漏洞做公益的初次尝试开始了。
一个小女孩睁大眼睛“想要一副水彩笔画画”的照片触动了木雁,也让他想起高中时代,家境贫困的他也曾受助于一笔2000元的扶贫基金,“不能说是命运转折点,但确实是我进入白帽圈的重要推手。”
千霄和朗泽的出发点略有不同,“众测平台给了白帽子们一个合法的渠道去提交漏洞、与厂商建立联系,也能引导黑帽向白帽子转变,能够形成良好的风气。”
两个年轻白帽已经多次参加众测项目,自知挖漏洞投入和产出极不平衡,可能一两个星期才能挖到一个漏洞,但挖漏洞可以帮助更多的孩子成为他们的动力。
技术可以择善而从
由于是公益项目,三个月的时间里,木雁、千霄和朗泽们只能利用自己的下班时间及双休日来挖漏洞,“当时还建了钉钉群,每次都会就挖到的漏洞进行技术交流,其实是一段有点累但很开心的时光。”
千霄和朗泽都震惊于木雁挖漏洞的效率和思路,“他效率很高,一开始一天一两个,而且用的是完全不同的思路和想法。”但木雁依然腼腆一笑:得益于一直在阿里安全蓝军中进行攻防对抗,才常能看到其他人忽略或者注意不到的地方,进而发现被隐藏极深的漏洞。
“我一直都知道阿里是卧虎藏龙的,”朗泽惊异的是木雁能在一次公益众测中如此用心付出,毕竟不背KPI,也不能占用工作时间。
技术是冰冷中立的,看似复杂的网络世界和现实世界,其实背后是人心、人性的较量,如何让真正拥有高超技术能力的人,择善而从,一直是白帽世界里争论不休的话题。
谈及入门时刻,三个白帽子都不约而同提到一本杂志《黑客X档案》,这本创立于2002年的网络安全杂志,巅峰时期的月销量达百万册,它教很多年轻人学会运用各种工具和程序,却没有告诉他们如何辨明正义邪恶。
一份关于网络黑色产业链的数据报告显示,黑灰产从业者大多是年龄介于15至25岁之间的年轻人,如果技术上乘,月收入上百万并不难。巨大的利益诱惑下,朗泽、木雁等都遇到身边有做技术的朋友跨入黑产行业的情况,但最终不是逃到海外过上担惊受怕的日子,就是被警方逮捕,有了牢狱之灾。
技术反哺现实
这些最后能够在安全领域成为工程师的白帽子,其实是被筛选过的人。筛选的标准与机制里,有时机,有技术能力,但更看重内心对技术的敬畏和一颗正义之心。
“教育要从娃娃抓起,”一颗正义之心的培养,也要从青少年抓起,阿里安全因而也全力推进了另一个公益项目——青骄第二课堂。
为了克服过去禁毒教育的分散性、碎片化且有效性无法评估等困境,2017年10月,国家禁毒办找到阿里安全,希望搭建一个线上平台“青骄第二课堂”,通过“互联网+禁毒教育”的创新模式,向全国2亿青少年提供科学系统的毒品预防教育知识,此前他们尝试在社会上招募各类技术公司搭建,却被告知“无法实现”。
而阿里安全在过去几年中,先后联合国务院联席办推出钱盾反诈公益平台,打击治理网络诈骗;与公安部联合开发儿童失踪信息紧急发布平台——团圆系统,帮助找回2980人。
作为该项目的技术负责人,阿里巴巴安全部高级技术专家千剑表示,在初期组建技术团队时就立下了“利用个人时间做、不计入个人KPI、要对业务结果负责”三项要求。
但苛刻的要求却迅速吸引了很多人的关注,来自阿里安全、阿里云、钉钉等BU的18名阿里员工组成了志愿者队伍,开始推动项目的落地:仅用一个月就上线第一个版本,今年3月份上线完整版本,5月发布手机适配版,6月正式在浙江和云南两个省进行推广和试点,目前已有近90万学生注册。
千剑表示,取名“青骄第二课堂”是希望将禁毒作为切入点,如果把“互联网+教育”这个公益模式走通,或许将来他们可以向更多领域扩展,“比如说,从小孩子入手,从小增强他们对电信诈骗相关信息的认知等等,可以做更多的延伸教育。”
“用先进的技术做最有温度的产品,用安全技术赋能公益事业,是阿里安全参与许多公益项目的初心。”阿里巴巴集团合伙人、首席风险官郑俊芳如是说,这些技术人员们也在用自己的努力,去亲身实践着。
