“乌云”自成立伊始,就和“白帽子”分不开了,甚至被认为是“白帽子”的家园和旗帜。很多人都说,“乌云”的核心价值就是其背后的“白帽子”。
侠以武犯禁,罪乎?
我觉得,大家应该都赞成这个共识:“白帽子”不会恶意利用安全漏洞。
我认为这个共识中最关键的词是“恶意”。
而此处的“恶意”这词,很多人认为是对利用漏洞行为的动机的判定,但我想说的是,“恶意”不代表着动机,而是对利用漏洞行为的结果判定。
利用安全漏洞的行为结果是否是恶意的,或者说是否构成犯罪。在目前国内的法律上已经有一些较明确的界定。记得TK教主曾经发文专门说过,安在也曾特地找来律师对法律条款进行解读。这里我就不赘述。
这里还是引用TK教主的话:“入侵获取 10 组以上金融证券行业的用户身份认证信息,或 500 组以上一般系统的用户身份认证信息,或入侵了 20 台系统,就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息,或 2500 组以上一般系统的用户身份认证信息,或入侵了 100 台系统,就可以判三年以上。”
而据我对“白帽子”们不太确切的了解,从这个界定出发,或许对大部分“白帽子”的行为判定都能归属到“恶意”的范畴。
这个事实,很多人都不能接受。理由是:我的动机是没有恶意的。
那么,接下来,我们来分析动机的界定。
借用看到过的论文《作案动机判定的难点和侦查学鉴定》中关于动机生成机制的观点:“内在需要(激发作用)——外在诱因(推动作用)——需要与诱因相结合(共同作用)——个体自我调节(决定作用)——动机的形成”。
而“这种推动作案人实施犯罪行为的直接心理动因即作案动机,是多种因素综合作用的结果。”
看到这里,我的结论是:在侦查实践和犯罪心理研究中,你的动机是否属于作案动机,并不是由你的目的和出发点决定的,而是由你的行为决定的。
这意味着,无论我们辩解自己的动机如何,一旦形成犯罪行为,这些动机就是作案动机。作案动机仅会在司法实践中影响量刑的幅度,而并不能抹消作案行为。
因此,无论是出于自身在钱财方面的需要,还是出于乐于助人的好心、好奇心和学习的自我心态,或是炫耀、报复、愤怒等心理情感的作用,亦或是外界环境(技术崇拜、金钱至上的社会环境影响,或是被其他人诱导或哄骗等),动机有无恶意,并不等同于行为有无违法。
所以,第一个共识,我们可以简单概括成:“白帽子”的行为必须合法。无论你的动机好坏,行为不合法,那就不是“白帽子”。
如果说自己是侠义心肠,却以武犯禁,以正义之名,却行恶意违法之事,这与勒庞《乌合之众》中描述的那些“暴民群体”有什么区别?这与我们所呵斥的“黑帽子”又有什么区别?
而什么样的行为合法,什么样的行为不合法,还请仔细阅读相关法律条款和司法解释。
人人心中都有一个教主,却是一千个人心中有一千个教主。
“白帽子”一词自从诞生之日起,就代表着一个群体,而不是某一个人或某些人。
然而,与许多组织团体不同的是,“白帽子”是个松散的群体,而不像正式组织那样具有高度的互依赖性和共同性。可以说,组织只是群体的一个子集,并不能完全代表群体。
这就要谈到一个问题:“乌云”能代表“白帽子”吗?
不能。“乌云”是个商业组织,虽然它提供了一个平台,可供“白帽子”群体进行交流技术和发布漏洞,但他只是“白帽子”群体的一个子集,它不能代表白帽子,也没有谁能代表整个“白帽子”。
因此,不客气地说,在和“乌云”相关的各种事件中,无论是谁说出“我们白帽子如何如何”的话,都是一种个人or组织绑架群体的行为。
而更为根本性的问题是,“白帽子”到底是一个实属群体,还是一个参照群体?
根据群体行为理论,实属群体是个体实际归属的群体,个体在其中要承担相应的角色和义务,享受相应的权利和照顾,与他人发生互动关系,受到群体规划、行为规范、群体压力等因素的制约。而参照群体不一定是个体实际归属的群体,但肯定是个体在心理上“向往”的群体,个体会把这种参照群体的规范、标准、价值观等作为学习的榜样和行动的参照。
以我个人的观点,“白帽子”实际是一个参照人物非常模糊的参照群体。可以说,人人心中都有一个教主,却是一千人心中有一千个教主。许多“白帽子”在向往教主和袁哥的技术和地位时,却有意或无意地忽略了教主和袁哥在面对道德、法律、制度等的约束时的行为准则。也就是说,他们的参照人物看似真实、丰满,实则片面、虚妄。
他们既想成为对社会、对安全有价值的人,赢得合理合法的名誉、地位、金钱,却又不希望受到国家和社会既有制度、规范的制约,他们向往着互联网“自由、开放、共享”精神,却不太接受互联网的社会化趋势。
这种偏差,是很多“白帽子”相关事件的根源之一。两全其美,谈何容易。
而与此同时,作为国家、作为监管机构,作为商业组织(无论是甲方还是乙方),他们眼中的“白帽子”却应该是一个实属群体,纳入一个可供监管的组织之内。由于安全行业的特殊性,他们希望“白帽子”在享受相应权利的同时,也要承担相应的角色和义务,受到明确的法律法规、行为规范、监管措施等的管理和监督。而这个基于中央集权理念的出发点和期望,却是与许多“白帽子”所向往的“自由、开放、共享”的互联网精神有不少冲突。
这种冲突,则是很多“白帽子”相关事件的另一个根源。
同样,“白帽子”群体的松散性和非正式性,也必然导致其内存在秉持不同理念、遵守不同行为准则的子群体。而各个子群体间的差异性,决定着其选择参照人物和对待国家监管时的不同选择。而不可忽视的,“白帽子”中的不同子群体,乃至各个子群体内部,仍会因技术、人脉、收入等因素存在虽然模糊却隐约可见的阶级之分。
因此,要做到正确对待“白帽子”群体,最重要的就是做好子群体的分类分级。不同类型、不同阶级的子群体和个人,需要不同的对待方式。
互联网,黑客永不眠
“乌云”的关停引发新一轮对“白帽子”定位和行为规范的大讨论。在看过各种观点,听过各类声音后,我突然发现,这个讨论缺少了一个最关键的声音:普通民众。
这几天,我和家人,圈外的朋友,甚至楼下便利店相熟的店员和店长,都聊了一下“白帽子”和“乌云”。我大致整理了下结果,普通人的看法是这样的:
1)对“白帽子”的整体印象:
挖洞什么的不太了解;感觉很神秘;一群宅男;好像小孩子居多;技术很厉害;按几下键盘就能控制电脑和各种带电的东西(我觉得是电影看多了。但很有意思的是,当我试图纠正时,他们举了很多据称是自己熟人的例子,说就是这么牛的);都是半夜干活;银行和军队也挡不住他们(用什么什么新闻报道举例,我没话说);好人坏人都有;实际身份很让人好奇。
2)对“白帽子”做的事情:
这是在搞公益吧;感觉和记者做的事情差不多;有点偷偷摸摸的感觉;他们发现了怎么多问题以后很多应用不敢用了。
3)对“白帽子”的疑问:
国家和人家公司让他们这么搞?会不会偷别人的信息私自倒卖?不会偷别人的钱吧?搞这个不犯法吗?搞这个能养活自己吗?有这技术在腾讯、华为不是能赚更多?(笔者在深圳)
4)对于“乌云”的整体印象:
不了解也搞不明白这个公司干啥;能网罗这么多人背景应该很深;这个名字起得怪怪的。
5)对“乌云”做的事情:
感觉做的事情好像很好,但是总感觉哪里不对;“乌云”怎么靠怎么赚钱?
6)对“乌云”的疑问:
国家允许这样公开吗?会不会公开了就被坏人利用?要赚钱的公司搞这个会不会不合适?“乌云”有没有我们的数据(他们说如果“乌云”没拿到数据,怎么知道泄露了多少数据,又怎么确认黑产传播的数据是不是真的)?
综合上面这些信息和问题,我觉得:
1)至少一部分普通民众还是区分不了“白帽子”、“骇客”、“黑客”。基本的安全常识宣贯还是任重道远。在安全圈里自嗨,不如走出去,和国家、其他企业或机构携手,让更多的人知道该知道的安全常识。
2)新闻媒体报道和小道八卦谣传仍然是普通民众的主要信息来源,媒体过多负面、夸大地报道“白帽子”群体,普通民众对“白帽子”的观感普遍失真,且有向负面滑落的倾向。因此,如何让媒体正确的报道和引导,是一个非常重要的问题。
3)虽然不懂技术,但是普通民众普遍对“白帽子”、“乌云”所做的事情是否合法有疑虑,而个人隐私数据是否有可能因此被外泄,也是重点关心的话题。如果这个问题不妥善解决,那么“白帽子”在他们眼中仍然是鱼龙混杂,好坏都有的。那么,普通民众就不可能正面的接受“白帽子”的存在。这个恶性循环会越绕越深。
4)普通民众仍然更加信任国家,而不愿意以赚钱为目的的,公司背景的组织来做这个事。而且,普通民众也认为国家有能力做这个,只是愿不愿意花力气做而已。这实际是一个比较尴尬的问题,除非是政府机构或者公益性组织,否则涉及这种普通民众认为比较敏感的事情,公司类的机构普遍缺乏公信力。当然,这也和媒体之前对安全行业和“白帽子”的报道倾向有关。在闲聊中,3Q大战被提到数次,基本都认为连腾讯这么大的公司都被报道了会拿隐私数据赚钱,你们这些小公司会忍住不拿来赚钱?这种不信任感,极度不利于安全行业和“白帽子”群体的发展和生存。
5)一个我很难解释的问题就是“白帽子”的收入来源问题。在普通民众看来,“白帽子”们能力这么强,挖洞赚的钱也不多啊,为啥不能去个腾讯、华为这样的大公司拿个高薪正经干活?如果说部分“白帽子”本就是安全公司里高薪养着的人,挖洞对你公司又没有好处,你拿钱不干正事老板没有意见?你挖洞即使能赚点钱,这个钱算公司的还是算个人?挖洞奖励有拿得高的,也有拿得低的,拿的低的怎么养活自己?会不会就是搞黑产的,过来交个漏洞洗白?这些问题,因为我不了解,所以我一个都回答不了。但在我看来,这已经不是用“黑客精神”就能回答的理想、志向方面的问题,而是一个又一个的现实问题。如何保障“白帽子”的物质生存空间,如何不让“白帽子”因生活所迫转向对立面的“黑产”,如何让“白帽子”群体形成较有约束力的监管和自律机制,应该是整个安全圈、客户企业,乃至国家应该着力解决的。
说了这么多,我仍然从心里敬佩那些秉承“古典黑客精神”的“白帽子”们。或许,这种“复古”,才是我们大家所期望的。