新华网北京9月27日电(记者袁全 全晓书)从职业角度来说,袁仁广是维护网络安全的“卫士”,不过,他更习惯称自己为“白帽子”。
“白帽子”也就是业界所说的“白帽黑客”。
“黑客”这个名词伴随着互联网在中国的普及而产生,它源于英语单词“hacker”。因为饱受争议,“黑客”一词用起来必须谨慎。
2002年商务印书馆出版的《现代汉语词典》增补了1200余条新词新意,其中就包括“黑客”: 指精通电子计算机技术,善于从互联网中发现漏洞并提出改进措施的人; 指通过互联网非法侵入他人的电子计算机系统查看、更改、窃取保密数据或干扰计算机程序的人。
袁仁广所做的工作符合第一项定义。发现计算机软件漏洞,再分析、检测,最后修补漏洞,是他和他所领衔的360漏洞工作室的基本职责。
袁仁广的名字多次出现在微软的安全公告致谢榜上。在年轻人居多的互联网圈子里,他是无人不知的“袁哥”。尽管未到不惑之年,但这个称谓足以证明他的实力之强、资历之深。
传奇
39岁的重庆人“袁哥”成名于1998年。那时互联网在中国刚刚兴起,极少有人关心网络安全。在青岛海信公司,毕业于山东大学数学专业的袁仁广负责编写电视机单片控制程序。这个“胖胖的”、“不善言辞的男孩”,每天下班后会继续呆在单位,研究刚流行的微软Win98操作系统。
早在大学期间,袁仁广就自学过操作系统、计算机语言、计算机病毒等基础知识,这让他很早就具备了编写软件代码的本事。一次,他无意间发现Win98系统的一个共享密码验证的致命漏洞,一旦这个漏洞被不怀好意的人利用,那么用户设置的网络共享密码完全是形同虚设,网络共享文件的安全荡然无存。
当时23岁的袁仁广难抑激动之情,立即把自己的发现通过电子邮件报告给微软。这封中文邮件饱含期待,然而美国的软件大亨却迟迟没有回音。袁仁广后来将此归结于自己的英语不好,以及微软那时还没有太多华人员工,所以“没有人会关心一封来自中国的邮件。”
他最后实在等不了了,就把这个漏洞公布在自己的网站和国内一家计算机论坛上,并给出修补漏洞的建议。他的发现立即在互联网爱好者中产生轰动,并引发持续的讨论。两年后,微软终于有了回复,“袁仁广”的名字第一次登上这家世界级软件公司的致谢名单。
时至今日,这个案例依然在中国网络安全界流传,并被奉为经典。在收获同行赞誉和后辈崇拜的同时,“袁哥”在网络江湖的领军地位也由此奠定。
寂寞
对于像“袁哥”这样的网络安全卫士,最开心的时刻就是发现别人的漏洞。然而“挑刺儿”听着痛快,却绝非易事,传奇的背后是漫长难耐的寂寞和久无收获的失败感。
这是一项研究型的工作,需要人“坐得住”,“袁哥”想了一下,费劲地说出来。
25岁的刘龙是“袁哥”的忠实“粉丝”,也是团队中最年轻的同事之一。刘龙每天的工作就是坐在办公室,看上一天“汇编语言”——往往是“只有机器能读出来的程序”。程序多是由字母、数字和各种符号组合而成的代码,外行人看如同“天书”,但它们却透露着计算机的“秘密”。
刚开始,刘龙觉得找漏洞很“酷”,因为黑客崇尚信息透明,靠自己的本事看到外人看不到的东西,这满足了人性中强烈的好奇心,也符合年轻人喜欢挑战的特点。但入职一年多,他发现,工作并没有想象得那么风光,在揪出“漏洞”之前,还有很多别人看不到的辛苦。
操作中,计算机常常崩溃,而显示屏前的人也常常游走在崩溃的边缘。
刘龙说,他可能在几个月、甚至是半年时间里都不会在这些代码中有任何发现。这个自称“菜鸟”的安全“卫士”认为更大的折磨是,就算发现一百个“疑似漏洞”,而最后经过检测、试验,也时常只有一、两个可以被确认是漏洞。
“没有兴趣的话,那种寂寞和挫败感是常人无法想象的。”刘龙说。
赤心
在刘龙看来,除了满足好奇心,查找漏洞也是一项神圣的工作。随着网络安全形势愈发严峻,他觉得如果自己能帮助用户和国家的信息免受侵害,是一件特别自豪的事。
1994年互联网进入中国。之后的20年,随着网民数量急速增长,黑客队伍也庞大起来,他们是网络安全的探索先驱。
被称为安全“卫士”的“白帽黑客”,在网络江湖上是正义的一方。他们不会进行破坏,只是告诉用户哪里密码不安全,会遭到别人的攻击。而他们的对手,是另一群黑客——利用漏洞破坏用户的信息,窃取别人隐私,为自己牟利,江湖又称“骇客”。
“骇客”挣钱快、回报多,靠收取保护费,一笔交易就可以赚成百上千万元,但他们要面临法律制裁的风险,还有道义上的谴责。
“袁哥”认为真正的“白帽子”追求的是荣誉感。自己发现的漏洞能够得到用户认可,特别是自己的名字能登上世界级大企业的致谢榜,是对这个群体最大的鼓励和回报,即使没有报酬,也心甘情愿。
今年5月,刘龙发现在Win8操作系统下IE浏览器的一个安全漏洞,怀有恶意攻击目的的人会利用这个漏洞运行计算机里的程序。经过反复研究、分析、测试利用漏洞,并请教前辈指导后,刘龙将结果汇报给企业,马上得到了对方的肯定和致谢。自己发现的漏洞被认可,并放在待修补列表中,让刘龙心里特别有成就感。
他把触发漏洞的操作过程拍摄成视频,分享到微博上,立刻得到业内人士的好评,很多资深的、他崇拜的“偶像级”黑客也纷纷点赞。
这种情形,袁仁广刚刚入行时,是想也不敢想的。
90年代末,互联网安全还未被重视,从事漏洞研究完全凭个人意愿。袁仁广到国内的互联网企业谋求网络安全职位工作,得到的回复往往是“没有这个职位”。更让他难受的是,有时候出于好心,义务地将漏洞报告给企业,反而遭到对方的谩骂、指责,认为是竞争对手在诬陷。
二十年后的今天,袁仁广、刘龙这样的网络安全“卫士”成为市场上的抢手人才,他们的报酬也愈加丰厚。让他们保持工作热情的绝不仅仅是钱,而是那份在网络大海中寻找未知漏洞的神秘感,以及心中捍卫正义的荣耀感。(申安妮对本文亦有贡献。)
(原标题:特写:“白帽”黑客)