帽子什么颜色真那么重要吗?
编辑 笨笨的蛋
文 张耀疆
今天我来说说黑客。
这个概念蛮大的,往实了说要论技术,往虚了讲甚至上升到哲学。加上被时代变迁,以及“人神莫辨”和“正邪斗争”之色彩所裹挟,就更显得支离破碎且错综复杂。
早在15年前,我还在上海交大读研期间,凭着对网络安全技术钻研及实践的一腔热情,曾经写就一部“百万字巨著”——《聚焦黑客》,开篇有这么一段描述:
作为独特的群体,黑客们信奉着几十年一直延续下来的一种独特的文化理念。在这种滋生于网络的文化理念中,真正意义上的黑客,用技术手段来维护电脑和网络世界的宁静,构筑着网络的便捷和安全,他们是正义的侠士。他们所崇尚的所谓‘黑客文化’,强调的是信息共享的精神,这种精神恰是自由主义与个人英雄主义的结合。黑客们不断地创造(而不是破坏),不断地证明着自己,在解决问题与克服限制的过程中永远不知疲倦。
不过,在一个成熟的商业社会里,当人们为了追逐金钱和利益而不惜心力的时候,自由和共享就带有浓浓的理想主义色彩了。
与这种理想主义色彩的群体相对应,另一个专门致力于搞破坏的群体也在不遗余力且大行其道。不过,从他们身上,很少再能看到老一辈黑客崇尚创造的精神,相反,他们所表现的,除了破坏,还是破坏。这样一个群体,不光为社会所痛恨,就连承袭着传统黑客文化的‘黑客’们也对此大为不齿,并极力将之归类为另一个阵营,那就是‘Cracker’,也就是我们常说的‘骇客’,他们不是创造者和建设者,而是真正意义上的破坏者。
十几年过去了,我个人的能力和认识早已跟不上技术发展的脉络,但纵览回顾,基本观念倒没怎么过时,只不过彼时在“黑客”与“骇客”之间的针锋相对,如今换成了“白帽子”和“黑帽子”的针尖麦芒。或者,还需要在“黑客”之“自由共享并创造”的行为特征之上,加一条“正当获利”,同时给“骇客”之“除了破坏还是破坏”补一条“非法牟利”,算是对当下“白帽子”和“黑帽子”概念比较确切的描述了。
只是觉得,十几年前,当业界还在为“黑客”本身正名,以图将“骇客”这样的“另类”排除在外,十几年后,我们已经“堕落”到不得不放弃“黑客”,继而在一个更小的领域里去讨论“白帽子”和“黑帽子”的是非功过了。
这就像我们曾尊称医生为“白衣天使”,而在医患关系紧张的当下,我们连高声疾呼“医生”无罪、有罪只是没有医德的少数人都显得那样的空乏无力。
难道不觉得有点悲哀吗?
那么今天,其实我想讲的,就是与“白猫黑猫”哦不——“白帽子黑帽子”相关的话题。
起因其实很简单,前阵子“安在”上发了孙维的一篇文章,《白帽子和路人甲,从0到1》,许是话题的“敏感性”,加上孙维老辣娴熟的笔法,一时间引起热议。
而孙维此文的引子,又是来自再早前发生过的一件真事,某地人民法院对某在校大学生进行了一审宣判,以非法控制他人计算机系统罪判处其有期徒刑6个月。问题的焦点在于,该大学生一直以“白帽子”自居,实施网络攻击纯属“网络炫技”,而公安机关非常重要的取证线索,则来自于第三方漏洞平台。白帽子、攻击、漏洞平台,所有这些看似毫不起眼的术语搁一块儿,就让一个原本简单的案件染上了别样的色彩。
这里先提取一下孙维此文的主要观点:
入侵不等于渗透测试,所有未授权的网络活动都可以视为入侵,也就是违法行为。
白帽子本身只是个称谓,不能认为冠以此名就可以“洗白”,其核心还是要求可控,若失控,白帽子甚至有比黑帽子更大的杀伤力。
在漏洞平台上提交漏洞不能成为“洗白”的理由,也不能成为以白帽子自居的背书。
要想成为真正的白帽子,必须经过实名认证。
擎起法律武器,是被攻击者对抗混乱秩序的必由之路。
中心思想,白帽子不是自称的,而是在可控秩序下才成立的,而要让秩序可控,一定要将“路人甲”式的匿名行为扭转纳入到实名认证的范畴内。
因为此文涉及对白帽子以及第三方漏洞平台一定程度上的质疑,加上作者本人略显微妙的真实身份(某地测评中心高级顾问),在得到很多赞同与共情的同时,也引发了不少争议,特别是在“白帽子社区”,“诛心论”,“立场论”,“人性论”,黑白之名与行为之实,以及关于实名与匿名之争,一时间热闹纷呈。
从我个人来看,“白帽子”之称谓,或向漏洞平台提交漏洞的行为本身,不能成为实施网络犯罪的“挡箭牌”,包括安全测试必须可控且应得到必要授权,这些我都认同,但关于授权的定义,对第三方漏洞平台的看法,以及在个人信息泄露泛滥的当下颇被诟病的“实名制”,或许值得商榷。
在抛出观点之前,我也学学孙维,讲一个故事先。
话说某人,狂热的摄影爱好者,尤其喜欢街拍——行话叫“扫街”。平时机不离身,但凡有空,总会穿梭在城市的大街小巷,如同钻进森林的猎人一般,寻找并定格着自己的“猎物”——城市风貌、市井民情,以及各有故事各具形态的路人甲、路人乙。之所以喜欢街拍,一是通过不断拍摄来精进技艺,毕竟走在熟悉的城市街头要比远赴名山大川要方便得多。更重要的,城市里满是阅不尽的人间“戏剧”(无论悲剧、喜剧还是凡俗正剧),正因为熟悉,才觉得亲切,也正因为陌生,才能满足好奇心。每每拍到精彩画面,某人心里那小小的成就感便油然而生。拍片屡有所获,回头就在个人博客、摄影论坛、微信公号等渠道贴出,有了手机后,某人更是随时随地随性地拍,在朋友圈畅意分享。当然,在获得欣赏和赞美的同时,某人时不时也会遇到质疑:你拍陌生人,经过人家同意了吗?偷拍的话会不会显得不道德?心里不打鼓吗?万一被人发现甚至要扁你怎么办?会不会被人告你侵犯个人肖像权?
熟悉我的人一下子就对号入座了,没错,这个某人正是我。当然,他也可以是许许多多和我一样自称“街拍摄影师”的专业人士和爱好者。在近百年时间里,这个群体里涌现出像布列松、卡帕、薇薇安、马丁.帕尔、森山大道、斯蒂夫.麦凯瑞、马克.吕布、安德烈.科特兹、威廉.克莱因、罗伯特.弗兰克等一众的摄影大师,他们都是街拍高手,也都集毕生于自己所钟爱的街拍(或纪实报道摄影)事业。
当然,更多的还是那些默默无闻者,像我这样,只是一个喜欢拿起相机、拍摄身边所闻所见、以摄影为乐、无所谓什么远大理想和高尚情操的普普通通的人。
说到这儿,会有人问,摄影与信息安全,挨得着吗?没错,原本无关,但还记得有本书叫《黑客与画家》吗?某种意义上讲,艺术与技术是相通的,而我这样的街拍爱好者,不就像安全界里某个群体吗?他们同样籍籍无名,只是喜欢利用自己的技术和一腔热情,去突破一道道“防线”以发现“真相”,并享受由此而来的一点点成就感,过去,他们被称作“黑客”,现在,他们被冠以“白帽子”之名。
回到前面的问题,到底如何看待街头摄影所牵涉到的肖像权甚至隐私权问题?
应该说这个问题非常复杂,计较紧了,不仅事关法律,更关系到人性心理、社会道德、文化传统和历史发展等。所以,这里不敢过多展开,只用我曾在朋友圈里一段文字来概括:
关于能不能拍,以及什么情况下拍,实际上是著作权和肖像权的平衡问题。一般来讲,只要不是以营利为目的,且不涉及侵犯隐私(比如在私密场合而非公共领域)和名誉(比如故意诋毁或歪曲),而且所拍人物并非画面主体(比如只是作为环境因素而呈现),则未经同意而拍摄(即我们通常讲的“偷拍”)并不构成侵权。当然,实际拍摄时,还要注意道德和习惯,以避免引起不必要的麻烦,比如要是人家明确禁止或反感,则不可强求。以上所述专指“偷拍”情况,若是在有明确授权、或者事后补充授权情况下,就不必这么多废话了。
话说起来简单,道理要掰扯清楚则有点难,好在我是一个很喜欢较真的人,那这里面的道理我就试着解析一下。
抽丝剥茧继而提炼抽象,其实这事情暗含着四个关键因素:对象,动机,手段和结果。
首先说对象。某人没事就端着相机或拿着手机去大街上溜达,他的拍摄对象是谁?既然是扫街,那就说不上具体所指,通常都是撞大运,打哪指哪。若被确切对象“套牢”了,就称不得街拍了,有可能是“私房”或“沙龙”照,并不在某人热衷之列。
其次是动机。街拍的魅力,莫过于由“好奇心”驱动,以获得定格瞬间捕获美妙画面时的那种满足感。另外,如果说有目的,前面讲了,通过勤练手来提升摄影技艺,应该是包括某人在内大多数爱好者之所想。至于商业目的或其他私利?那是职业摄影师或摄影家的事情,也许偶尔有作品获选得奖,但一不是常态,二也非初衷。
再有是手段。这里面又可以一分为三,即策略、人和方法。所谓策略,牵涉到是有授权(签署肖像权相关协议)的还是非授权的(偷拍)?预设式(蹲点守候)的还是非预设式(打一枪换一个地方)?而人呢,很简单,是单独行动(我个人倾向,比较自由)?还是搭伴同行(比如有协会组织一起)?最后是方法,既有摄影技术的因素,更有器材的考虑,比如你用的是单反、DC还是干脆就手机?或者你喜用大变焦还是小定焦?
最后是结果。除了愉悦心情、提升技术、强身健体外,街拍还可能有一些其他结果,比如被人发现后阻止,那最好是及时收手,免得过多纠缠。或者你把美女照在论坛里分享,结果被人认出来了,事主找上门来说你侵犯肖像权(实际上很可能是你把人家姑娘拍埋汰了),这种情况通常发生在闺蜜、陌路情人或熟人间居多,那你要根据情况去判断了,或者不予理会,或者积极沟通求得谅解。再有,稍微极端点,你居然走了狗屎运所拍作品获大奖了,被印刷了,进画廊了,并且因此而名利双收了,有一天突然有人一纸诉状告你了,名义通常是侵犯肖像权,无论私下和解,还是诉诸公堂,最终多会归结为利益。此外,好的街拍,不仅仅是对个人,更是对人类社会的贡献,说这话一点不托大,君不见能流传至今的,很多经典的街头摄影作品,莫不是对某时期、某地方、某人群以及某文化的真实记录,我们能有对历史的记忆,除了文字,照片起了相当大的作用。
以上所述,仅限于业余街拍范畴,摄影门类太广,像报道摄影、人像摄影、展会摄影,以及牵涉到反腐刑侦等方面的公务摄影,通常要另当别论。
对比之前我对街拍摄影的释疑,往对象、动机、手段和结果四个因素上去套,有心人基本上也就了然于胸了。
同样的,用这“四点论”来看白帽黑帽以及漏洞测试,也许会对是非判断有所启发。
白帽子做漏洞测试,并向漏洞平台提交测试结果,首先就有个对象的问题。通常情况下(并非授权情况下的众测项目),这和某人“扫街”是一样的,都是在互联网的“大街”上随意“溜达”随性“拍摄”的,扫到哪算哪,攻破哪进哪。这种漫无目的的行为,一般不会有大问题,可一旦聚焦,即确定了某个目标,就要掂量一下了。比如某人扫街,无意中将镜头对准了军事禁区或敏感地带,那就不是说拍到没拍到的问题了,这个动作本身都可能惹祸上身,就好像白帽子并没有实施真正攻击,单只是扫描人家都可能出事一样。
排除了对象的“风险问题”,动机就要搞清楚了,但动机这东西若无明确佐证,通常会很“扯淡”。我们常听到的说法,白帽子做漏洞测试(这里还是特指未经授权的情况),多是出于正义提醒和技术练手的目的,是从“攻击”成功中所获得的成就感,以及在“社区”里得到认同的荣誉感,就好像某人通过街拍愉悦身心强身健体一样,都是从个人体验来讲的,只要不涉及商业,不侵犯他人利益,都没问题。可这些都是在没出事情况下的“不是问题”,一旦出事,比如对象选错了,或者后果很严重,那你再说自己动机纯良,顶多是个态度端正,并不会是决定性因素。不过,如果你一开始就动机不纯,比如一门心思想“脱裤”谋利,想“打击报复”,或者想“网络炫耀”,对不起,你会被“罪加一等”。
即便动机良善,漏洞测试也是像街拍一样的“危险工种”,街拍可能会被人扁,漏扫或致犯罪。为什么?也许白帽子们要反思一下自己的手段了。这里,策略、人、方法,需要综合考虑,是不是很眼熟?没错,就是经典的PPT(Policy,People,Technology)。这里我重点说一下第一个P,即Poliey——漏洞测试必须“程序正义”,也就是包括授权在内的策略和程序指引——做事得有分寸,不能瞎胡闹。提到授权,个人以为并非简单的书面协议,就像街拍,很多时候你不可能事先得到拍摄对象的认可,那怎么认定你可以拍摄呢?公共场合!也就是说,无论什么人,只要你置身公共场合,旁人就有看见你甚至拍摄你的权利,如果你提出质疑或明确反对,对方回避,这是道德问题,无关法律,除非他严重侵犯了你的权益并造成了后果。这里,置身公共场合本身,就是一种“授权”。类比而言,被白帽子测试的网站,只要你置于互联网公开领域,并且网站本身事关公共利益(比如包含大量用户数据或个人信息),你的“漏洞百出”很可能导致公共利益受到侵犯(比如恶意人员利用漏洞窃取敏感数据),那白帽子的测试行为,某种意义上是有“程序正义”性的,只要没造成严重后果,是否经过书面授权要另当别论。而作为漏洞平台,若能有更明确且合乎法律的策略约束及过程控制,对白帽子行为的“程序正义”也是一种必要的保证。
最后,我们不得不看也许最重要的一个因素——漏洞测试的结果。如果任何事情都以结果论,那对所谓的白帽子来说,只要你造成了恶劣后果,比如破坏计算机网络系统、染指网络诈骗等黑产、侵犯个人敏感信息,甚至涉嫌侵害国家安全,给他人、企业、社会或国家带来直接损失和负面影响,那么,无论你如何选定目标、出于何种动机、或采取什么手段,都可能作茧自缚。就好比某人街拍,就算你不特指目标,也无不良目的,活儿也好,但也许你无意中拍到了某黑社会老大犯案情景,以至于惹祸上身被人追杀也未可知。当然,幸运的是,现实环境下,包括街拍在内,往往并非简单的唯结果论,多数情况下,相关方对事情的判断还是会综合考虑对象、动机、手段和结果这几个因素的。
有了上述理论,我想,再看各种观点,无论是“只要未经授权就是非法”、“只有实名认证才是真正可控”,或者“对白帽子质疑就是诛心”、“人性不是非黑即白,要认可甚至包容灰色地带”,等等,我们是不是就可以多一些更理性且合乎逻辑的判断?
当然,事是从白帽子说起的,继而联系到第三方漏洞平台,那我这里就有必要再对漏洞平台说几句。
不论以往争议有多大,无可否认的,以乌云为代表的第三方漏洞平台,在对国内信息安全行业的发展以及社会整体信息安全意识水平的提升方面,都有着举足轻重的作用。我已经不止一次在安在访谈中听到大咖们对剑心以及乌云的正面反馈了,无论从乌云号召并打造的“白帽子”社区文化,还是开创了安全众测之先河,一方面给企业受众多一种可行的选择,另一方面,更给了广大热爱安全技术的年轻人一个施展才能并赚钱谋生的“出口”,不至于有更多的人无意或无奈中堕落入黑产的漩涡。
但为什么有争议?为什么还会反反复复并产生新的争议?就像这次事件。就我个人言,我宁愿相信这是一种“爱之深恨之切”的心理。正因为希望他好,并且好上加好,希望他能趟出一条真正的“自由而光明之路”,所以就见不得他出问题。
那到底有没有问题?这里我不想论对错,但有一种说法很有意思,即时移世异,或者叫时过境迁。也许当一切都混沌初开的时候,谈不上什么规律继而规则,一切都是新的,都是在变化的,事物的走向完全取决于变化所指。但当局面打开,变化初定,继而形成相对的稳定状态,再要对一些含糊的、不明确的东西“搁置争议”,恐怕就说不过去了。
这种情况下怎么办?很简单,积极主动并且正向地去面对,模糊的澄清一下,零散的规整一下,疏漏的弥补一下。就漏洞平台本身来讲,是否能从对象、动机、手段和结果等四个方面再次审视一下对白帽子的定义?继而完善一下规则规范,并去努力打造更清明、更可控、更具发展空间的白帽子文化,是不是会更“正能量”一些?
争议难免,就像我们常说,这个社会永远都有两套规则,一套是由法律体系构建的,还有一套是由潜规则维系的,从人性来讲,有人性恶就有人性善,所以,灰色才是常态,非黑即白或非白即黑都太绝对。但二元论不代表模糊论,人性灰度不代表我们可以黑白不分,就像讲灵活性但别忘了前提是先有原则性,否则,任何时候,我们都有理由放弃对理想的追求和对正义的向往了。
当最初黑客的称谓还代表着自由主义、英雄主义甚至革命的浪漫主义时,我们根本未曾想过,有一天它会因骇客而如此“堕落”。
当黑客被骇客污染,我们曾努力为黑客正名,很可惜,我们没有成功,妥协的结果是,我们把黑客再分为白帽子和黑帽子。
当白帽子被黑帽子污染,我们也努力为白帽子正名,可惜的是,现在连白帽子也被质疑了,那是否还要继续妥协,比如再把白帽子分为“自称白帽子实则黑帽子的白帽子”,和“自称白帽子实际也是白帽子的白帽子”?
再往后呢?如果每一次裂变之后滋生出的还是争议?我们还有可妥协的吗?
◆ ◆ ◆ ◆ ◆
其实我想说的,此时此刻,该去正面坚守而非被动妥协了,与其再去纠结白帽子和黑帽子,与其在概念上纠缠不清,不如去努力树立一种有着基本原则和行为规范的文化出来,并且让这种文化能在一种可被认可的平台上平稳落地。
就像某位老人曾经说过的,不管白猫黑猫,抓住老鼠都是好猫。
那是否我们也可以说,不管白帽子黑帽子,只要能为网络环境保驾护航,能够促进信息安全事业发展,那都是好帽子?
◆ ◆ ◆ ◆ ◆
下面内容是在原帖中的评论,便于大家看到更多的观点: