"白帽"黑客攻击是为了防御 发现致命漏洞避免损失

　　宋嵩绘

　　坐在那里时间一久，会让他的身形有些僵硬。电脑前的方家弘，总有一行行代码在他眼里飞速划过。常人眼里，这是一个枯燥乏味的界面，流淌过一串串看不懂的代码。但在他的世界里，那是一个个跳动的精灵，闪烁着令他痴迷的光辉。

　　只有一个时刻会让他突然亢奋起来：那就是漏洞被“逮”住的时候。这时，他会像猎人发现猎物一般，兴奋之情溢于言表。

　　这是一名“白帽子”黑客的工作状态。“白帽子”黑客，能提前发现安全隐患，并上报给相关企业或组织，以便及时修补漏洞，保障信息安全。而这，也正是他们存在的价值。

　　实力让情怀落地

　　见到方家弘时是在北京朝外SOHO，他刚从上海来北京，出差与安全企业交流业务。但在大部分时间里，方家弘总是在安全实验室高强度地工作，有的时候，为研究一个问题，他会发狠闭关，吃饭靠外卖解决。

　　寻找漏洞的方式就是尝试攻击。如同兵法推演一样，与漏洞过招，胜负只在电光石火之间。要找到这些埋藏很深的漏洞，方家弘经常需要通过各种“黑客攻击”手段，直至找到脆弱的一环。

　　“未知攻，焉知防，攻击是为了更好地防御。”方家弘看了看窗外，吐出了这句哲学味很浓的话。

　　13年前，刚刚结束高考的方家弘，在志愿书上填写了信息安全专业。这是上海交通大学该专业招收的第一批学生，当时国内开设安全专业的大学屈指可数。这个选择，源自方家弘孩提时代父亲的启蒙。父亲在小学教计算机，所以，他很小就在上海少年宫学习计算机，读小学时便尝试编写程序。

　　多年之后，方家弘结束了大学生活，可那时，国内安全行业还不大受重视，因为网络安全具有“后知后觉”的特性，没有出现问题前，很多企业并不认为有必要在安全上投入。毕业后，他进入微软，工作的五年内，他努力，也迷茫，总感觉还有劲没使出来。“为什么不能为更多人提供安全服务？”

　　实力终究让情怀落地。工作5年后，他和一群朋友创办了上海碁震云计算科技有限公司，组建了一支专业的安全研究团队。

　　是非界限，不容模糊

　　创业初期是艰难的。方家弘回忆说，几年前他给一些厂商介绍安全的重要性，常常磨破嘴皮都没法说服他们接受自己的观念。“不像开发一款产品，我们做的都是幕后的工作，没有一个直观的展示。”方家弘有时也会感到无奈，因为他甚至很难向家人、亲戚解释自己的工作。“当时从事安全比较边缘，我们同学里现在还做安全的人已经非常少了，很多转行了。”

　　所幸，近年来网络安全问题频发，使得企业、公众开始重视安全问题，发现、上报漏洞，安全研究人员也能获得不错的收入。

　　借着这股春风，他和他的团队风生水起。言语之中，他的自豪感自然流出：“如今，这个团队已经成为全国甚至全球顶级的安全研究队伍，发现并上报了许多高危漏洞。而通常，这种级别的漏洞，如果放到黑色产业市场上去卖，通常能开六位数的价码。”

　　通常来说，这个行业内部有着严格的行规，“白帽子”黑客都有明确的是非观，行业准则也有所限定，既然能靠自己的本事光明正大地赚钱，就绝不会触犯法律。方家弘开玩笑地说，收入的增加，在一定程度上也避免了许多有才华的年轻人“误入歧途”。

　　最大的漏洞，是人性的弱点

　　长期和各种漏洞打交道，让方家弘在安全上非常敏感。比如关于补丁更新，常人会觉得频繁更新很麻烦，但他有着职业的看法。

　　进入移动互联网时代，手机、电视、路由器等智能终端设备繁多，软硬件的开放趋势，一定程度上也拓宽了黑客非法牟利的途径，有些应用里面可能含有恶意程序，会将用户暴露在风险之下，人们往往还不知情。方家弘晃了晃手机，音调不自觉中提高了，“现在一台手机的价值不仅仅是它的价钱了，里面还有你的个人隐私、银行账户等信息，一旦被黑客入侵或利用，带来的损失非常大。”

　　他强迫自己养成了一个习惯，每次安全补丁更新，他会第一时间打上，还会要求身边的亲戚朋友也更新。

　　他介绍，普通黑客很少能独立发现并利用漏洞，尤其是高级别的、核心的漏洞。

　　“那为什么手机依然很容易被攻击？我有些疑惑。”

　　“电信诈骗、刷二维码损失财物等，这些小伎俩不是利用什么厉害的技术漏洞，而大多是抓住了人贪心的弱点啊！”那一刻，方家弘的言语之中有遗憾，有愤怒，也有无奈。（记者　喻思娈）