• 黑客群体的露面说明互联网公司开始回馈IT行业了,


    揭开中国黑客群体的神秘面纱 年薪数百万

    2015-04-26 09:59:45 15259 次阅读 14 次推荐 稿源:经济观察报 33 条评论
     

    在网络世界有专属的代号,那里才是他们最习惯的“世界”作为360Vulcan黑客团队的领头人,“MJ0011”最终还是决定不把他的“战利品”放在 360公司的历史荣誉展览室里。一拿到全球最知名的黑客大赛——Pwn2Own的冠军,公司的几位老板就下命令式地要求他把决赛中所使用的那部电脑给“贡献”出来。

    他还真是非常认真地跟团队的成员商量过这件事,但不出意外, 几乎没有得到任何积极的回应。“他们都太低调了,就想把自己关在实验室里,最好谁都不知道。”这群跟“MJ0011”一样的人,在网络世界都有着一个专属 于自己的虚拟代号,那里才是他们最习惯的“世界”,所以久而久之,真实的名字似乎都没那么重要了。

    但即便如此,还是有很多同事直接间接地认识了他们。“MJ0011”就经常碰到第一次见面的同事问类似的问题,“听说你们年薪几百万,还拿着大把股票?”对此,他只能笑笑。

    “Ir0nSmith” 也在经历着一夜成名的境况。在今年的“3·15晚会”上,他把最近在国外黑客圈特别流行的“绵羊墙”搬到了舞台上,在一个已经被黑客处理过的公共WiFi 下,所有接入用户的信息都会被展示到屏幕上。就像他当天做的那样,用户的邮箱密码、发在朋友圈的自拍照等,都被“劫持”了。结果,“Ir0nSmith” 也成了360公司的名人。

    像他俩这样的人物,在360还有几十个。除了时不时地会蹦出诸如“360攻破特斯拉”之类的新闻之外,他们在做的 任何事情都不为人所知。“MJ0011”领导的攻防实验室和漏洞研究实验室还好,他们还会向安全产品部门输出一些核心技术。“Ir0nSmith”负责的 硬件和无线领域,几乎是纯粹的研究,而且多数都是目前很难商业化的技术。

    “所以,(养黑客)这个事只有在大公司里才有,而且会越来越贵。”“MJ0011”现在已经深刻感觉到挖一个人有多难,从去年开始,尤其是最高深的漏洞安全人才,动辄几百万元,甚至是上千万元。

    “但老周(360董事长兼CEO周鸿祎)还是特喜欢挖那些有潜质的团队。”“MJ0011”在行业里属于“大牛”级,他在公司内部直接向总裁齐向东汇报,只要齐在北京,他们每周都会见一次。

    内部也的确曾有人质疑过老板的决定,在他们看来,如此高的代价并没有得到足够的回报。齐向东则完全不听这一套,“我们现在就是要树大旗,做一个大平台,形成人才高地。有这么一批高水平的人,是我们在物联网时代提供全方位服务的基础。”

    在 今年两个团队相继“露脸”之后,齐的底气就更足了。几个团队都提出了增员的需求,他想都没想就同意了。反而是拿到批条的“MJ0011”有些为难,“有几 家公司已经开出大价钱挖团队去打明年的Pwn2Own(全世界最著名、奖金最丰厚的黑客大赛)了,价格估计又会涨不少。”

    困境

    这 可是与2010年之前有着天壤之别,那时安全人员的行业平均月薪只有三到五千元。在很长一段时间里,网络安全技术人员的待遇甚至普遍要低于IT行业的平均 水平。因此,美国知名的杀毒巨头 McAfee从2005年开始,就疯狂挖角中国的黑客人才,他们开出的薪水在当时看来非常夸张:年薪30万元,可这比国外的行业水平还是低不少。

    国内最知名的安全团队Keen Team的负责人王琦,在2007年时是微软中国安全响应中心的创始人。突然有一天,他接到美国总部的电话,派他去找一个人。总部发现在报告给Windows操作系统的漏洞中,这个人的名字出现频率极高。

    他就是现在鼎鼎大名的吴石,但当王琦找到他时完全惊呆了。这个后来被国内黑客圈奉为“精神导师”的年轻人住在一个小黑屋里,公司已经两年没有给他发工资了,生活穷困潦倒。

    大师级的人物只能如此,这让当时冒出来的一批有才华的年轻人颇为沮丧,他们开始一个个地进入“黑色产业”。

    赚钱开始变得极其容易。他们做出大批的网络游戏盗号木马、远程控制木马等各类木马产品和黑客工具,然后以一个独家性的条款出售给“包马人”,之后就是大规模的散布和盗取。

    “那时候,不需要高深的技术,一个小黑客每个月可以赚上百万、上千万。”王琦清楚地记得他当时发现了一个非常好的技术苗子,有一天这个人在自己的博客里写了一句话:“我突然觉得天都变了,整个世界都不一样了”。王之后再也没见过他,只是听说他后来还开上了法拉利。

    这种状况盛极一时,持续了数年,搞得整个中国互联网乌烟瘴气,黑客这个圈子也被踩到了脚底下。甚至直到现在,这种恶性的影响都没有完全消散。

    黑客在国外是分为“白帽子”和“黑帽子”的,上述的那些做黑色产业的就是黑帽子,而白帽子从不利用黑客技术去从事非法活动,他们更多的是为了研究漏洞,并将发现的漏洞汇报给厂商。

    而在国内,黑客就等同于黑帽子,王琦就曾无数次地拒绝采访,“我们不想被媒体炒作成少年黑客的无聊形象。”

    “Ir0nSmith”很早就来到了360,不过早期他的工作是保证公司内部的电脑和服务器不被黑客攻击。出于兴趣爱好,他和同事们也会做出各种安全报告提供给别的厂商,“但人家总是认为我们瞎捣乱,他们对此很警惕,特别反感我们能‘黑’进他们内部系统这件事。”

    吴 石已经失望透顶了,因为周围的朋友或是过得惨淡,或是在做着黑产。在离开微软之后的很长一段时间里,他都不愿碰及跟安全相关的任何事。王琦多次邀请他加入 Keen Team,他非常抵触,王琦总是劝他,“我们虽然看不到蛋糕,但你会揉面,他会生火,我们可以先做个馒头出来养活自己,这样至少大家都不会走 (做黑产)。”

    就这样,Keen Team不温不火地做了两三年。无法想象的是,在去年3月之前,只有《福布斯》对他们做过一次采访,吴石得到的评价很高,“发现的漏洞比苹果整个安全团队的两倍还多”。直到被腾讯发现和投资,成为后者战略级的“门客”,这个团队才逐渐为人所知。

    分水岭

    现在看来,2013年的“斯诺登事件”是个明显的分水岭。虽然360、腾讯和阿里巴巴在2010年就开始争抢安全人才,但在此期间,安全人员的平均薪水只是与IT行业其他工种持平。

    “忽然一下子就高了。”“MJ0011”说。“Tombkeeper”以千万年薪转会腾讯这件事在圈里成了一个标杆,这个被尊称为“TK教主”的“黑客大牛”目前是腾讯玄武安全实验室的总监,实际上,他的大部分工作也都是纯粹的研究。

    实际上,这时的中国黑客们已经有了很多出路。他们跟国外的黑客团队一样,一边靠挖漏洞挣钱。如ZDI、VeriSign这样的美国漏洞公司会用很高的价格收购黑客手中的漏洞,然后再转手卖给大公司、政府等;另一边也直接服务这些大公司和政府,给他们提供一些安全的服务。

    但 正如VeriSign东亚区总监周铭所说的那样,这个行业不仅需要天赋,还要有一定的运气成分,“有的人技术很好,但一辈子可能只发现一两个漏洞。”而且 政府的“监管”也越来越严格,这些稍微有点名气的黑客都在政府的名单上,Keen Team的成员几乎每天都会接到“国家安全部门”的电话和约访。

    那 还不如加入大公司了,尤其是他们给的薪水足以过上富裕的生活,于是,中国知名的黑客一个个地被大公司“收编”。包括冰刃的作者PJF、狙剑的作者 SnipeSword、MalwareDe-fender的 作者sandworm、Real-TimeDefender的作者DJ……都去了360。腾讯则是直接和间接地拥有了“TK教主”和Keen Team。

    然 而一个无法回避的现实就是,中国第二代黑客因为黑色产业的猖獗明显断层,而且这还影响到了第三代黑客的成长。在美国,黑客一开始就不是一个贬义词。你可以 到处看到写着“Hacker”的涂鸦墙,在开往Menlo Park的路上,你会看到写着“1 Hacker Way(黑客路1号)”的路牌,那就是 facebook的总部。黑客在这里更多的代表着一种具有钻研、探索精神的文化,描述了一批极具想象力的人。

    而国内的大学本科教育完全没有开设这方面的课程,黑客也是上不了台面的职业。有趣的是,国内多数的知名黑客甚至都不是学计算机出身的。“TK教主”毕业于安徽医科大学临床医学系,360里最神秘的“小熊”是考古学的博士。

    “我 的团队完全是社会招聘,现在发现一个好苗子实在太难了。”“MJ0011”最近见了一个研一的学生,他的技术并没有多牛,而是只有他在看了 “MJ0011”最近发表的一篇博客之后,认真地去实施了一遍,还提出了一个小问题。“MJ0011”都有点感动了,“做这行,兴趣是最重要的。”

    没有被黑色产业卷走的这群黑客,有着一个比较统一的性格标签,他们跟吴石一样的“道德洁癖”。吴石会因为王琦自言自语的一句“为达目的,不择手段”而发怒,其实王只是想表达自己的决心,“为了让兄弟们活好,再大的委屈都可以忍受。”

    “MJ0011”讲得最多的竟然是“价值观”,这根本不像是一个酷酷的黑客该说的词,但的确如此,“一般一上来问我薪水的人,我都不太喜欢,其实真正的大牛并不太在意这些,他们会有一种特别的正义感和责任感。”

    前不久,吴石在朋友圈里转发了一篇题为《数学界的扫地僧们》,“搞学问要宅,就算你智商200,现在这个环境下不努力不静心也是不行的。送给天才少年们。”这在黑客圈里被狂转。

    包括吴石在内的几个中生代“大牛”,都有一种宿命感。他们无一例外地选择大公司,正是希望能通过自己的一言一行,以及做事的逻辑和方法,为这个圈子留下点人才和“规矩”。于是,他们愿意出现在各种校园的黑客大赛上,虽然直到现在,公开演讲还都是一道难题。

    “很明显,从前年开始,圈子里就开始把精力放在技术上,他们不会去关注谁挣了多少钱,而是在比谁先攻破了特斯拉,这至少给行业带来了点正向的引导。”王琦说。

    在去年的第一届GeekPwn上,各路不知名的民间黑客实现了一连串令人惊叹的事实:用微信“无人驾驶”特斯拉;让已经关机的手机自动拍照,监听现场的声音;无需木马或钓鱼,让打到别人账户的钱在途中悄无声息转到黑客的账户上……

    尤其是当“TK教主”出现时,全场的年轻黑客们都疯狂了,“现在的孩子都开始崇拜这些中国黑客了,不像我们那时候,一水儿的外国人,一辈子都见不到一次。”Keen Team的一个成员就坐在我身边,他不住地感慨。

    齐向东有一次在内部半开玩笑地说道,“如果足球要从娃娃抓起,那么网络攻防起码要从高中抓起。”但“MJ0011”心里清楚这有多难,资本的力量的确让黑客们看到了希望,可是离他们想要的“春天”,还是很远。

  • 相关阅读:
    TFS2017持续发布中调用PowerShell启停远程应用程序
    基于BUI开发Asp.net MVC项目
    WebAPI应用问题整理
    C#多线程顺序依赖执行控制
    TFS下载文件已损坏问题
    Asp.net core中使用Session
    为什么使用.Net Core, Asp.net Core以及部署到云端
    基于微软开发平台构建和使用私有NuGet托管库
    TFS2017代码搜索功能
    [转】[tip] localhost vs. (local) in SQL Server connection strings
  • 原文地址:https://www.cnblogs.com/shinedream/p/4459421.html
Copyright © 2020-2023  润新知