黑客风云录：眼前的黑不是黑 你说的白是什么白

如果把互联网比作江湖，那么黑客就是江湖中的“风云儿女”，攻守交错，正邪不两立，吃瓜群众多以帽子的颜色来给他们划分善恶与派系，比如，“黑帽子黑客”、“白帽子黑客”这样大家可能有所耳闻的，还有“灰帽子黑客”、“红帽子黑客”、“蓝帽子黑客”。

绿林人士的统称：黑客

很久很久以前，“黑客”一词并非贬义，而是指专门研究、发现计算机和网络漏洞的计算机的狂热分子。

他们中的一拨人入侵电脑，主要是为了证明自己的才能、实现想法，并有着自己的一套原则，比如不随意篡改计算机上的数据，迫不得已修改的最后还要改回来等，是黑客的主要构成人员；

但是渐渐的，黑客中另一拨人开始干起了窃取信息甚至破坏服务器的勾当，除了炫技，还通过技术手段获利的，被称作破坏者(Cracker) 。

两拨人行事相似，目的不同，就像迎面走来一位自称“江湖人士”的人，你无法第一时间判断他的好坏。

久而久之，破坏者的行为让整个黑客的形象都垮掉，加上“黑客”一词自带暗属性，读起来顺口，让大家以为黑客就是破坏者，破坏者就是黑客。现在的媒体报道中的“黑客”，多被认为是有企图的犯罪分子。

以帽子分派系

为了厘清黑客并非都是破坏分子，圈内人士用帽子的颜色来区分他们。为了更好的理解，我们用金庸笔下的人物来做个比喻。

黑帽子黑客：即现在狭义上的“黑客”，手段高明，为了种种目的入侵电脑，传播病毒、窃取信息等等。

代表人物：丁春秋、鸠摩智。

白帽子黑客：与黑帽子黑客相反，有正义感，受雇于企业机构，通过提前发现计算机中的漏洞来阻止对手入侵，甚至直接技术对攻。

代表人物：天龙三兄弟。

灰帽子黑客：灰帽子的技术可能远高于白帽子与黑帽子，但他们一不受人雇佣，二不做坏事，行事不羁洒脱，看见不平之事也许会拔刀相助。

代表人物：张三丰、扫地僧。

红帽子/蓝帽子黑客：这里仅介绍国内的红/蓝帽子黑客，他们属于我国民间团体，严格意义上红帽子、蓝帽子都属于白帽子与灰帽子的范畴，但他们将互联网划分国界，以热爱祖国、坚持正义为宗旨，参与国际间的网络攻防战。

代表人物：郭靖。

当然，除了以上真正的技术流，还有一些无帽的小黑客，比如“脚本小子”，但他们技术太弱，甚至不会基本的编程，充其量就是丁春秋脚下喊口号的带头跟班。

黑白大战

有江湖就有排名，有江湖就有“决战紫禁之巅”的传说。

在互联网江湖，关于黑客的排名也许各有说法，这里就不做一家之言了，有兴趣的也可以去搜一搜他们的“惊天大事”。

但不得不提的是一个白帽子和黑帽子之间的巅峰大战：下村勉VS米特尼克。

米特尼克，被评论为“世界头号黑客”，15岁破解北美空中防务指挥系统，震惊全美。1984年的圣诞，他又盯上了圣迭戈超级计算机中心，《纽约时报》称这一行动“将整个互联网置于一种危险的境地”。

这一次攻击，米特尼克留下了一个撩人的邮件，大致意思就是：抓不到我吧，啦啦啦啦，我就是这么强大。一下子激怒了该中心的日籍白帽子下村勉，誓要活捉米特尼克。

接下来的几年里，两人在互联网中刀光剑影，你来我往，侦查与反侦察，陷阱与反陷阱，最终，在北卡罗来纳州罗利市，下村勉利用无线电的波长锁定了米特尼克，配合FBI将其抓捕归案。

后来，这场黑客之间的对决被拍成电影《骇客追缉令》。

美女、罪犯、偏执狂

说到正义一方的白帽子们，对于计算机的研究和造诣都不可小觑，但不要认为这些搞编程、写代码、找漏洞的人就是头发掉光的油腻大叔。

他们之中，有的是混迹时尚圈的标准美女，比如波兰的白帽子乔安娜；有的是具备特殊癖好的偏执狂，比如白帽子查理·米勒，沉溺于寻找苹果设备的漏洞无法自拔；还有罪犯，比如上面提及的米特尼克，刑满释放后改过自新做了一个白帽子和演说家。

对于这类白帽子，国外很多公司都是抱着吸引人才的态度来对待，比如谷歌旗下就有一个名为“Project Zero”黑客天团，专门寻找自家或者其他企业的漏洞。

Facebook曾发放了最大的漏洞发现奖金：32000英镑，用于奖励报告服务器中关键漏洞的人。

Uber公司曾推出一个“捉虫奖励”计划，让世界各地的白帽子查找自己系统漏洞，然后给予少则数千，多则上万美元的奖励。

国外漏洞众测平台“第一黑客”则成为白帽子的聚集地，他们借助平台提交漏洞获取丰厚的报酬。

此外，根据“第一黑客”平台公布的白帽子收入情况来看，均可超过本国的顶级工程师。

法律边缘人白帽子

当然，我国的白帽子形式可能有些不太乐观。

首先是白帽子所作所为与黑帽子无异，都是通过入侵电脑来达到目的，虽然目的有所不同，但手法依旧是违规操作，很容易就越过了法律的边界。

其次就是国内的企业给予的漏洞奖励还没有那么丰厚，远远低于黑市交易价格，打消了白帽子的找漏洞、提交漏洞的积极性。

此外，企业与白帽子之间也存在着辩证不清的难处：

企业对白帽子又爱又怕；

因为后者能为帮他们发现安全漏洞和修复方案，但他们又怕白帽子“放荡不羁爱自由”，按自己的行事逻辑办事，做出一些有争议的事。

白帽子对企业也是又爱又怕；

他们喜欢挖漏洞带来的回馈，不仅包括物质上的礼物、奖金，更有精神上的鼓励——自己的ID出现在感谢名单上的自豪。同时他们也怕自己一不小心就背了锅，对方发来感谢并逮捕了自己。

2016年，国内著名的漏洞反馈平台“乌云网”宣布关闭并进行无限期调整。起因是因为平台中一名白帽子发现某婚恋网站的系统漏洞后，在乌云平台提交。该婚恋网发现确实存在漏洞后，向这名白帽子表示感谢。一个多月后，他们又以“网站数据被非法窃取”为由报警，导致这名白帽子被捕入狱。乌云平台也开始整顿停业。

单兵作战变为集体武装

白帽子黑客行走江湖，怀揣着一身本领，就像怀揣着一把枪，给人的感觉更多的是害怕。

如何才能利用好这些能发挥巨大作用的群体呢？

在古代，就是将单个游侠儿召集到一起，统一训练，统一管理，成为护院、镖师等。

在现代，也可以将白帽子召集在一起，进行法律知识的普及，形成规范的君子协定和约束。

实际上，国内很多企业的应急响应中心组成了一个“SRC联盟”，共同上线了“白帽子协议”，来平衡他们和白帽子之间的供需要求。

这个协议大概意思是：我们欢迎白帽子进行身份登记，然后到我家寻找漏洞，但是有一定条件的，比如卧室不允许入内、物品摆放不能打乱等。

也许，在没有找到完美解决办法之前，这份协议大概是相对适用的吧。