白帽子里最會(huì)種樹(shù)的，依靠找漏洞，一個(gè)月種了32棵樹(shù);種樹(shù)里最會(huì)找漏洞的，以漏洞數(shù)量和質(zhì)量，獲得AFSRC2018第一季度第一名的黃金榮譽(yù)勛章。

　　他就是Dx-mmmark。

　　在代碼組成的比特世界里，Dx-mmmark如同一臺(tái)精準(zhǔn)的掃描儀，發(fā)現(xiàn)百密一疏的漏洞，然后提交給平臺(tái)，及時(shí)修補(bǔ)漏洞。包括Dx-mmmark在內(nèi)的白帽子們，是虛擬世界里的“正義聯(lián)盟”，和互聯(lián)網(wǎng)公司、用戶聯(lián)合對(duì)抗共同的敵人————龐大的黑客軍團(tuán)。

　　這是一場(chǎng)不見(jiàn)刀光劍影，但廝殺相當(dāng)激烈的智力攻防戰(zhàn)。

　　一

　　生于1992年的Dx-mmmark，卻戲稱自己是“老家伙”。

　　如今的白帽子行業(yè)，95后已經(jīng)占據(jù)了主流———這些在校生們，有更為充裕的時(shí)間查找漏洞。但Dx-mmmark的優(yōu)勢(shì)在于狂熱的興趣、不懈的努力以及更為豐富的經(jīng)驗(yàn)。

　　Dx-mmmark從未想過(guò)自己有一天會(huì)成為白帽子。四五年前從計(jì)算機(jī)專業(yè)畢業(yè)后，Dx-mmmark一度遠(yuǎn)離由0、1字節(jié)組成的虛擬世界，他對(duì)沉悶的程序員生活十分抗拒 ，“前兩年啥都嘗試過(guò)，但就是沒(méi)寫(xiě)過(guò)代碼，沒(méi)當(dāng)過(guò)碼農(nóng)”。但兩三年前，“安全”讓他重新?lián)炱鹆藢?duì)網(wǎng)絡(luò)世界的狂熱。

　　如今Dx-mmmark白天的工作，是某互聯(lián)網(wǎng)金融公司的安全工程師，而在工作之外的自由時(shí)間，他則在虛擬世界，化身為一位行俠仗義的白帽子。

　　幾乎所有的白帽子都不會(huì)錯(cuò)過(guò)那部描寫(xiě)黑客生活的經(jīng)典美劇《黑客軍團(tuán)》，它也是Dx-mmmark的最愛(ài)。

　　這部美劇讓他認(rèn)識(shí)到了網(wǎng)絡(luò)世界的兇險(xiǎn)。電影里的男主角名叫艾略特·奧爾德森，是一位患有社交恐懼癥的神經(jīng)質(zhì)程序員，晚上則化身黑客。在技術(shù)高超的艾略特眼中，繁雜浩瀚的網(wǎng)絡(luò)世界是透明的，他想攻擊的目標(biāo)，大門(mén)敞開(kāi)，既無(wú)隱私，也無(wú)秘密，艾略特可以為所欲為。

　　“這個(gè)世界比我們想象的兇險(xiǎn)多了。”Dx-mmmark說(shuō)，“但多數(shù)網(wǎng)民，不知道這些風(fēng)險(xiǎn)”。最佳的安全防護(hù)，其實(shí)是在漏洞被利用、影響用戶之前，就被發(fā)現(xiàn)和修補(bǔ)，這是所謂的無(wú)感知安全。但互聯(lián)網(wǎng)公司不會(huì)忘記他們的價(jià)值，即將在一年內(nèi)種上的5000棵綠樹(shù)，將成為表彰白帽黑客的功勛林。

　　今年年初，螞蟻金服倡議發(fā)起了“互聯(lián)網(wǎng)安全防護(hù)林計(jì)劃”，截至目前已經(jīng)有12家公司SRC(安全應(yīng)急響應(yīng)中心)共同參與。在收到有效漏洞后，參與防護(hù)林計(jì)劃的互聯(lián)網(wǎng)公司，就會(huì)以漏洞提交者的名義捐贈(zèng)一棵樹(shù)(包含1棵灌木、2平方草方格)，過(guò)去不被普通用戶感知的網(wǎng)絡(luò)安全，將通過(guò)數(shù)千棵綠樹(shù)，讓用戶可見(jiàn)可感可知。

　　在比特世界里，熟知并四處查找漏洞的有兩類人。一類是白帽子，他們查找漏洞的目的是堵住漏洞。在由0、1字節(jié)組成的茫茫大海里，搜索漏洞的難度，不亞于在狂瀾巨浪的大海里，尋找迷失的小船，這是一個(gè)極為孤獨(dú)和辛苦的行業(yè)，非興趣或者理想難以支撐。但這種苦海泛舟的孤獨(dú)是必經(jīng)之路————解決漏洞和弱點(diǎn)的唯一路徑，就是發(fā)現(xiàn)它和暴露它。

　　另一類則是黑客，他們視漏洞為“金錢女神”，追逐漏洞如同蚊蠅逐臭，在他們眼中，漏洞就是能帶來(lái)真金白銀的巨大商機(jī)，他們是網(wǎng)絡(luò)世界的毒瘤、小偷和強(qiáng)盜，他們的規(guī)模還在壯大。

　　統(tǒng)計(jì)數(shù)據(jù)顯示，中國(guó)互聯(lián)網(wǎng)欺詐風(fēng)險(xiǎn)已在全球排名前三，網(wǎng)絡(luò)欺詐導(dǎo)致的損失已達(dá)到GDP的0.63%，這一數(shù)字僅次于美國(guó)的0.64%。遍布全國(guó)的黑灰產(chǎn)業(yè)人員超過(guò)了100萬(wàn)，每年給企業(yè)造成的直接損失超過(guò)了1000億，各類黑灰產(chǎn)業(yè)集群超過(guò)了10000個(gè)。

　　Dx-mmmark的工作，某種程度上，就是在和黑客賽跑，在嗅覺(jué)靈敏的黑客到達(dá)之前，找到漏洞，并協(xié)助平臺(tái)堵上漏洞。

　　至少，從現(xiàn)在來(lái)看，Dx-mmmark贏了。

　　二

　　僅用一個(gè)月時(shí)間獲得1536金幣，成為螞蟻金服安全響應(yīng)中心AFSRC資深安全專家，獲得AFSRC2018第一季度第一名的黃金榮譽(yù)勛章，這個(gè)成績(jī)相當(dāng)驚艷，但Dx-mmmark認(rèn)為自己并不算技術(shù)大牛。他上的大學(xué)一般，大學(xué)期間也并非同學(xué)中的學(xué)霸，他把自己的登頂歸結(jié)為綜合因素———好奇、勤奮、細(xì)心。

　　Dx-mmmark不愿套用那些宏大的詞匯去描述他的熱情和理想，“白帽子也是普通人，我可能就是好奇心比較強(qiáng)，安全這個(gè)領(lǐng)域非常寬廣，你走不到邊的，不斷通關(guān)，但沒(méi)有盡頭，所以我就很有興趣。”

　　當(dāng)然，必要的理想主義也是有的，比如在AFSRC的驚艷戰(zhàn)績(jī)，就讓Dx-mmmark小有自豪，“將來(lái)我有孩子了，我就可以給孩子吹牛啊，爸爸曾經(jīng)幫助一個(gè)用戶五六億的金融平臺(tái)，發(fā)現(xiàn)了漏洞，堵住了風(fēng)險(xiǎn)。”

　　其次則是細(xì)心，這是Dx-mmmark從推理小說(shuō)中得到的啟示。日本作家島田莊司和東野圭吾的小說(shuō)，都是他的最愛(ài)，找漏洞的過(guò)程，很像推理。

　　“你去看電影里福爾摩斯那些神探，他們很厲害很神奇，但是你看島田莊司和東野圭吾的小說(shuō)就知道了，生活中的神探，靠的是持續(xù)的好奇心、反復(fù)的努力，以及細(xì)心細(xì)心再細(xì)心。”

　　做安全和碼農(nóng)不同，做碼農(nóng)可能只需要懂代碼就夠了，然后組織二進(jìn)制語(yǔ)言去實(shí)現(xiàn)業(yè)務(wù)指令。但安全的范疇很廣泛，不僅要懂點(diǎn)技術(shù)，還要懂業(yè)務(wù)，懂運(yùn)維。不僅要有理性，有邏輯，還要洞察人性。最有趣的是要把自己代入黑客的角色，去反向推斷，到底黑客是如何尋找和利用漏洞的。這個(gè)過(guò)程，很像推理小說(shuō)中，正邪兩股力量，在智力層面的總和較量。

　　細(xì)心和邏輯推演能力體現(xiàn)在Dx-mmmark喜歡的小說(shuō)《嫌疑人x的獻(xiàn)身》里，石神制造的謀殺案的完美假象，已經(jīng)蒙騙了專業(yè)警察，但最終能被小說(shuō)塑造的名偵探湯川 識(shí)破，就在于湯川細(xì)致入微的觀察能力和嚴(yán)密無(wú)縫的邏輯推理能力。

　　持續(xù)的努力當(dāng)然也是不可少的。收獲最多的一月份，Dx-mmmark在工作之余，每周擠出三天，每天花費(fèi)兩到四個(gè)小時(shí)，排查漏洞和攻擊，“為啥很多學(xué)生也能發(fā)現(xiàn)不少漏洞，因?yàn)樗麄儠r(shí)間更充裕。”

　　三

　　正如月有圓缺，人無(wú)完人。程序也許沒(méi)有漏洞，但人是有漏洞的。因此，幾乎一線互聯(lián)網(wǎng)公司，都啟動(dòng)了安全應(yīng)急中心，鼓勵(lì)白帽子尋找業(yè)務(wù)漏洞、系統(tǒng)漏洞、運(yùn)營(yíng)風(fēng)險(xiǎn)、安全事件等，并給予獎(jiǎng)勵(lì)，Dx-mmmark大概為十來(lái)家互聯(lián)網(wǎng)公司當(dāng)過(guò)白帽子。

　　2017年的雙11，Dx-mmmark看到了螞蟻金服的英雄貼，后者正在大規(guī)模召集安全領(lǐng)域?qū)＜�、白帽子、社�?huì)團(tuán)體及個(gè)人共同發(fā)現(xiàn)潛在的漏洞信息，并依此建立漏洞統(tǒng)計(jì)分析中心，預(yù)知并自查風(fēng)險(xiǎn)，提升業(yè)務(wù)安全。

　　相比于其他公司，Dx-mmmark認(rèn)為AFSRC吸引他的原因主要有四個(gè)。

　　第一，“onebug onetree”的公益活動(dòng)。

　　隨著參與人數(shù)越來(lái)越多，支付寶app里的螞蟻森林“一樹(shù)難求”。但是Dx-mmmark等白帽子，貢獻(xiàn)了一個(gè)有效漏洞，螞蟻金服就會(huì)以漏洞提交者的名義捐贈(zèng)一棵樹(shù)(包含1棵灌木、2平方草方格以及10年的精心養(yǎng)護(hù))，這個(gè)活動(dòng)對(duì)Dx-mmmark的吸引力很強(qiáng)。

　　過(guò)去，白帽子的工作被淹沒(méi)于浩瀚的虛擬世界里，漏洞堵上了，他們的工作就終止了，現(xiàn)在，白帽子的貢獻(xiàn)值，穿越到電腦屏幕之外，在阿拉善沙漠里，落地生根為看得見(jiàn)、摸得著的5000棵功勛林，“這棵樹(shù)就永遠(yuǎn)種在哪里了，以我的名義，特別有滿足感，有成就感”。

　　其次，很贊的海外游學(xué)活動(dòng)。AFSRC每年都會(huì)組織海外游學(xué)計(jì)劃。白帽黑客查找漏洞的過(guò)程極為孤獨(dú)，白帽黑客的圈子也不大，小伙伴們多是網(wǎng)絡(luò)交流，很少線下見(jiàn)面，一塊海外旅游、游學(xué)的時(shí)光，非常難得。

　　“哈哈，當(dāng)然想去游學(xué)了，這個(gè)我請(qǐng)年假也要去的。”Dx-mmmark很憧憬——他今年獲選的勝算不小。在這之前，AFSRC的游學(xué)項(xiàng)目，已經(jīng)到達(dá)過(guò)迪拜、澳洲等等。

　　今年春天，獲選的AFBOYS，得以去澳洲游學(xué)。除了哈雷、大堡礁和熱氣球體驗(yàn)等精彩的游玩項(xiàng)目，更為難得的是海外交流學(xué)習(xí)的機(jī)會(huì)。這是AFSRC白帽的獨(dú)家福利。交流對(duì)象包括全球互聯(lián)網(wǎng)巨頭以及世界最頂尖的安全大牛，也是Dx-mmmark最為看重的環(huán)節(jié)。

　　今年的澳洲游學(xué)中，AFBOYS參觀了google澳洲總部大樓，和谷歌的安全大牛們，詳細(xì)交流了攻防經(jīng)驗(yàn)。

　　不出意外的話，Dx-mmmark今年也有望獲得這樣的游學(xué)機(jī)會(huì)。

　　第三，螞蟻金服制定了豐厚的漏洞獎(jiǎng)勵(lì)機(jī)制，包括常規(guī)的物質(zhì)獎(jiǎng)勵(lì)、榮譽(yù)獎(jiǎng)勵(lì)和特殊獎(jiǎng)勵(lì)的模式。

　　季度獎(jiǎng)勵(lì)比如周大福純金勛章;年度大獎(jiǎng)包括海外知名公司、高校游學(xué);嚴(yán)重漏洞額外最高獎(jiǎng)36萬(wàn)元。

　　2018年第一季度，Dx-mmmark拿到了大概2萬(wàn)元的獎(jiǎng)金，這是一筆不小的收入，“螞蟻還是挺大方的。”

　　這筆獎(jiǎng)勵(lì)，對(duì)于95甚至00后的學(xué)生白帽子群體來(lái)說(shuō)，吸引力更強(qiáng)，在螞蟻金服發(fā)現(xiàn)幾個(gè)有效漏洞，一年的學(xué)費(fèi)、生活費(fèi)，甚至旅游經(jīng)費(fèi)都有了。

　　曾有一名白帽子，在AFSRC 發(fā)現(xiàn)的單個(gè)漏洞，就拿到高達(dá)36 萬(wàn)的獎(jiǎng)金。

　　第四，螞蟻很重視安全，很尊重白帽子。

　　“響應(yīng)非�？�，很多當(dāng)天就給反饋，最長(zhǎng)的也就一兩個(gè)工作日。”Dx-mmmark說(shuō)，“白帽子在這里，特別受重視、尊重。”

　　早在成立之時(shí)，螞蟻金服安全應(yīng)急響應(yīng)中心就公開(kāi)承諾，對(duì)每一位報(bào)告者反饋的問(wèn)題都有專人進(jìn)行跟進(jìn)和處理，并及時(shí)給予答復(fù)。

　　這就是一個(gè)非學(xué)霸白帽子逆襲的典型案例，“其實(shí)白帽子也很普通的”，Dx-mmmark多次強(qiáng)調(diào)，不要美化他，“只要你有好奇心，愛(ài)學(xué)習(xí)，都能來(lái)當(dāng)白帽子，這個(gè)圈子，還是不夠大，歡迎大家都來(lái)”。