长亭科技CEO陈宇森：网络安全战争里从不乏攻防较量(3)

如果利用病毒入侵网络只需要一个简单程序，那高水平的漏洞挖掘和利用，则需要掌握系统的计算机知识，从编程、汇编到操作系统，以及逆向工程，都要有所涉猎，同时还需要如同排雷手般丰富的经验。虽然媒体经常曝光一些“天才少年”，以后者入侵了大型重要网站为例彰显他们的水平，黑客圈也充斥着各种掌握极大量数据的传奇黑客。但在陈宇森看来，这些人都算不上真正的或者说顶级黑客。

对，和大众的固有印象不同，相比安全人员这个标签，陈宇森更希望称自己是一名黑客。对他来说，黑客应该如同其英文母词“hacker”一样，是对计算机有狂热爱好和深入研究者的中性描述。他引用第一个破解iPhone的著名黑客Geohot的话，说黑客精神的核心是：“我渴望权力，不是针对人的权力，而是针对自然力量和技术目标的权力。我只是想知道这一切是如何运作的”。

在黑客圈内，黑客也有白帽黑客和黑帽黑客之分，两者都会挖掘漏洞，这也是他们交手的主战场。不同的是，白帽黑客将漏洞交予厂商和第三方平台，帮助修复产品;黑帽黑客则利用漏洞获得非法收益。陈宇森也不知道为什么，在中国，黑客直接成了一个负面词语，“有点逼良为娼的意思”。

长亭科技首席安全研究员、还在清华大学就读博士的杨坤，就是一名典型的白帽黑客。他经常带领公司和学校的团队进行各类攻防比赛，挖过模拟漏洞，也挖过真实的互联网产品漏洞，他做得最多的事情是，长时间枯坐在电脑前面，从上百万行代码里面找出开发人员的纰漏。这是一件看起来丝毫不酷的事情，却也是一名黑客走向顶尖高度的必经之路。

通常，一般的大型互联网公司在自己的安全部门，都有负责挖掘漏洞的白帽黑客，同时，无论国内还是国外，都有来自政府、企业和第三方的漏洞平台负责收取白帽黑客们挖掘的漏洞，并给予现金和物质回报。其中如BAT等大型互联网公司，根据对不同漏洞的评估，单个漏洞的收购价格上几万是常事。

只是，和回报巨大的黑色产业比起来，白帽黑客通过挖掘漏洞得到的物质奖励仍然显得单薄。已经关闭的国内漏洞平台乌云负责人方小顿曾将这种差距形容为，“月入一万和日入一万的差距”。陈宇森则认为这个差距还将继续增大。“很简单，连入互联网的东西越来越多了。”有过多年黑客经验的冯梓则提供了另外的信息，“过去一份QQ名单可能几百块就能买到，那时候的黑客不知道这些信息的价值，现在翻10倍也不一定买得到了。”