网络安全的隐形守护者——白帽黑客

提起黑客我们的脑海中总是会浮现那些“啪啪啪”敲键盘，进入别人电脑或是企业服务器的“神秘人”，他们来无影去无踪，但是每次造访总会将所到之处破坏个淋漓尽致，直到拿到自己想要的好处才肯收手。

然而世界上还有另外一群“黑客”，他们一心向善，每次攻击都是为了帮助受攻击者发展漏洞、修复漏洞，甚至有很大一部分人分文不取，他们就是被称为“白帽”的另类黑客。这篇文章记录了几位“白帽”的生活，我们一起来看看他们对网络世界有什么样的价值。

美国很多家庭都安装了智能锁来保护自己的家门，但是这种由“智能中心”控制的门锁总会有被黑客侵入的一天，好在，最早进入的黑客并没有恶意。

当居住在达拉斯的20多岁的黑客和视频游戏爱好者Charles Dardaman和他的朋友Jason Wheeler（一位信息安全专家）打开了这个中心时，他们发现管理员密码硬编码在其存储卡上。这比侵入智能锁本身更有价值。

智能集线器，如技术公司Zipato制造的集线器，可控制从锁具到恒温器和安全系统的各种小工具。获得对集线器的管理员访问就像获得使用Zipato技术的任何家庭的主密钥。

在获得管理员权限后，他们二人并没有从中做任何违法行为，尽管他们完全没有被发现的风险。事实上，他们立即通知Zipato有关违规行为。 Dardaman和Wheeler就是所谓的道德黑客——那些为了生活而闯入系统以帮助其提高技术安全性的人。这些“白帽黑客”与犯罪黑客完全不同，因为他们不会做任何违法行为。许多人为政府机构或公司工作，而其他人则在家庭实验室外工作，相比得到的报酬，他们更喜欢“破解”这件事本身的乐趣。 但这并不意味着他们的所有黑客行为都是严格授权的。虽然Dardaman和Wheeler将他们的工作日花在了那些要求他们测试他们的漏洞的公司上，但是他们花了他们的夜晚和周末去追求非正式的“侧面项目”。 其中的一个周末，他们决定破解Zipato，灵感来自信息安全专家Lesley Carhart，当她发现她的房东在今年早些时候把整个公寓大楼换成了智能锁时，她决定开始寻找一个新家。 Dardaman和Wheeler的入侵证明了Carhart的担忧是有根据的。他们把报告交给了TechCrunch（一家美国知名科技类博客），这个消息立即传播开来。“这家公司将智能家居技术放在那里是不安全的，但他们没有在意，因为他们认为没有人会检查，”Dardaman解释道。 “白帽”黑客的攻击可以对人们的安全产生真正的正面影响。

2015年，黑客能够在有人驾驶时远程劫持吉普车，促使克莱斯勒召回140万辆汽车。来自白帽集体的黑客集团Anonymous Calgary Hivemind去年闯入Nest安全摄像头，警告人们这里存在漏洞（他们吓跑了房主并强迫Nest重置密码并鼓励用户采用双因素验证）。 今年早些时候，白帽黑客透露，美敦力心脏植入物的安全漏洞可能允许攻击者在靠近患者20英尺范围时，改变患者的植入物设置——显然这是致命的。目前，美国食品和药物管理局正在与美敦力公司合作，以解决白帽报告的漏洞。 这些黑客知道大多数人如何将他们的手艺与犯罪联系起来。“人们谈论生活黑客攻击或旅行黑客攻击并没有负面含义，”一名黑客说道，“但是用'计算机'加上“黑客”就变成了这个可怕的连帽人物。锁匠不会被问到'你为什么不进入入室盗窃？'”这是一种刻板印象。

但道德黑客与他们入侵的公司之间的关系可能很脆弱。虽然一部分组织欢迎这些帮助者，但也有很大一部分组织认为黑客是敌人，很难区分白帽和网络犯罪分子。“对于许多公司来说，支付罚款比担保权更便宜，”一些黑客说，如果没有适当的监管，媒体关注和公众压力可能是加强安全的最佳方式。 对于Dardaman来说，犯罪黑客行为绝不是一种选择。“我想过正常的生活”。 在高中和大学之间的夏天，他开始为电子游戏“我的世界”撰写秘籍，并爱上了合法黑客的解谜。当他从大学毕业并获得信息技术学位时，他知道自己会成为道德黑客。

今天，Dardaman在Critical Start工作，这家公司为大公司和银行提供“白帽服务。该公司是不断发展的信息安全行业的一部分，该行业致力于遏制不断上升的网络攻击潮。
该领域在21世纪初开始增长，以应对早期社交媒体和在线零售的出现而引发的数据泄露。在那些日子里，在被政府抓住之后从犯罪黑客转为白帽黑客的人并不罕见。现在像Dardaman这样的人可以在学校接受道德黑客攻击课程，并获得网络安全的在线认证。 Dardaman的大部分订单都在一到两周之间。通常情况下，公司不会告诉他们的安全团队Dardaman在那里，允许他静静地在他们的网络中移动，观察事情的运作方式并深入了解系统。但猫捉老鼠的游戏只持续了几天。 “我的目标是在本周末被发现”他补充道，并指出他最后的举动通常是获得对该公司服务器的域访问，以引发安全团队的警报。“如果他们在本周末没有抓住我，他们应该重新评估他们的安全工具。” 在他的空闲时间，Dardaman破解智能家居技术 - 可以通过传感器或互联网连接进行语音激活或远程控制的设备 - 因为他认为人们没有充分了解安全风险。

美国银行的入侵测试员，里奇兰学院的道德黑客教授Phillip Wylie说：“最好的保护你系统的方式，就是把他当作攻击对象来测试” “这能找出其他网络犯罪分子试图闯入该体系的方式。” 像Dardaman一样，Wylie被闯入封闭系统的兴奋所吸引。在加入美国银行之前，他曾担任顾问，在网络应用上进行渗透测试或授权网络攻击。有一次，他发现了一个严重的漏洞，使他能够访问客户的核心数据库。“密码是'password1'，”他说。他使用了一个名为John the Ripper的工具进入内部（只花了30秒钟）。“我可以将用户添加到该系统; 我可以关闭服务器，转储数据库，删除记录......”

但并非所有黑客都只是为了揭露安全风险。23岁的计算机科学家Jane Manchun Wong花了她的空闲时间逆向工程应用程序，以了解接下来会发生什么功能。“我找到的东西就是公共信息，”Wong说。“它藏在每个人的手机里。仅仅因为很难找到，提取它并不违法。” 四月份，她宣布Instagram试图为某些用户隐藏“喜欢”照片的消息。“当我第一次发布时，Instagram试图说，' 我们没有测试这个。“但代码却是存在 - 这就是证据，”她说。那个月晚些时候，Instagram宣布它实际上将开始测试七个国家的一些用户隐藏的喜好。

不过，Wong的大目标和所有白帽是一样的。当她在代码中发现泄露的用户数据时，她会将其报告给公司，以便它可以修复潜在的违规行为。她也很有趣，说她喜欢解谜。 Wong 在接受BBC采访时解释道，“自从我开始对此感兴趣并且公司开始监控我的推文后，更多公司一直在提高他们的应用安全性。这是我这样做的一个原因......公司将提高他们的应用程序安全性，因此更难以打破。“ Wong的黑客行为确实引起了媒体的广泛关注。当她发布关于Instagram的消息时，“几乎整个互联网都爆炸了。”Wong注意到公司并不喜欢她正在做的事情，但是他们没有做太多让她保持安静的事情。 大多数白帽黑客都表示他们并没有试图让公司看起来很糟糕。通常情况下，他们会私下通知某个组织，并向他们提供大约90天的时间 - 这是Google的Project Zero推广的一项规范- 用于修补任何安全漏洞。“如果他们回应并修复它，那就太好了，”Dardaman说道，他遵守这种严格的道德准则。“如果他们说他们不会修复它，我会尽早发布报告。如果他们试图把它拖出来六个月，我就放弃它 - 没有理由不这样做。如果这是一个真正的问题，那么你应该能够在那段时间内修复它。” Wong也愿意与她破解的公司合作。去年，她发现Facebook正在开发一个javascript库，以加快网络应用程序的运行速度。当她开始在推特上发布有关该项目的提示时，一名Facebook员工伸出手，要求她不要透露细节，因为他们计划在第二年宣布这个细节 - 她遵守了。5月，她很高兴发现他们已经发布了项目开源。

但许多黑客表示，他们有责任让用户了解安全漏洞。当公司因暴露潜在漏洞而对他们感到生气时，他们会质疑该组织是否认真对待安全问题。“如果有人发现漏洞并报告漏洞并且供应商表示他们会向执法机构报告，那就是一个问题，”Wylie说，尽管这些最终是空洞的威胁。“他们应该感到高兴，因为他们有免费的测试人员。” 在开头我们提到的Zipato智能中心问题，该公司在收到报告后不久回复，承诺尽快修复这些缺陷。“他们不喜欢听我说这些”Dardaman笑着说道。“但是他们修好了。” 几周后，一旦Zipato完成修复工作，他就会发布这份报告。

---

文章作者Zoe Schiffer，是vox网站编辑
本文由新睿云编译发布

长按二维码，关注我们

新睿云，让云服务触手可及

云主机｜云存储｜云数据库｜云网络

点击“阅读原文”参与活动