如臨深淵,如履薄冰——沉重的白帽子
他應該算一個資深黑客了,從玩ham,到Fido飚信,到在瀛海威裡貼自己翻譯的國外安全文章,至少資歷不短了。
但聽說要采訪,他就變得非常謹慎,突然有電話打來,大概讓他去參加公安廳組織的一個網絡安全態勢方面的會議,我只好中斷采訪,我知道他很忙,他從前在國企作Project Manager,那時做安全完全是業余愛好,但如今他已經是一個安全公司的技術骨干了,並持有那家公司的股份。
最後,我的采訪變成了下午的電話采訪。
公司裡有幾個人
“十幾個人”
“目前你在網絡安全方面主要開發的東西是什麼呢?”
“主要還是IDS”
“你也參與其他安全業務嗎?
“對,目前主要是安全顧問,安全檢測”
“有評論曾經說現在部分的安全公司是網絡黑社會,先掃描,再通知,簡直像在收保護費”
“我們關於掃描檢測都是有嚴格規定的,不允許未經用戶授權探測和掃描任何節點”
“做安全顧問主要難在哪裡?”
“嗯,主要還是客戶的安全意識和現狀上,如果客戶不配合,那麼工作難以進行,一些客戶的業務系統已經成形了,而且根本沒有遵循任何安全規范,但不可能要求他們推翻以前的軟件重來,比如一個規模已經很大的ICP,你發現cgi寫的都一塌糊塗,但你不可能要求客戶按照安全規范重寫一遍,當然給這樣的客戶服務,做起來就會感覺比較吃力。而且一旦出了問題,責任就難以界定…”
“那你會擔心攻擊者的挑戰麼?”
“怎麼會,就像我一個朋友說的‘作為一個安全工作者,攻擊者帶給我們更多的挑戰也帶給我們更多使命和快樂,真正給我們壓力的是客戶、投資人和官方’”
我和一些安全工作者接觸的時候發現他們很喜歡引用別人說的話,似乎這樣會顯得更謹慎而不犯錯誤。當然這句話給我深深的好奇,他終於答應告訴他朋友的名字和聯系方式,原來那個人其實和我很熟悉,卻沒想到我一直感覺只關心技術的他會說出如此深沉的語言。
但我電話裡詢問這句話的來龍去脈的時候,他干笑了一聲,仿佛他根本沒說過這句話,後來我知道他說過另一句,流傳更廣的話,那就是一個合格的職業安全工作者,應該“如臨深淵,如履薄冰”
他們屬於中國最早的黑客,不管中國有沒有真正的黑客,至少他們這一批人,是最有資格被稱為黑客的。
但他們不再是黑客了,他們已經穿上了職業外套,因他們的安全技能而獲取收入或者開創實業。一旦走進職業化和商業化,而脫離了純學術性,研究性的軌道圈子他們就只是前黑客了,圈子裡更為精准的詞,叫做白帽子。
歷數李學嶺寫的中國黑客檔案中的那些人,如袁哥、Frankie,以及被漏掉的小榕、root、sunx等等,我們的視野無不在安全公司終結。
但完成這個轉變之後,我們並沒有從他們讀出如釋重負的感覺,我們感受到的是他們對責任的一種更深的理解,甚至是背負一種沉重。
也許這是他們的職業特點,也許這是他們對責任的理解,也許,還有更深層次的東西。