阿里安全白帽挖漏洞做公益

近日，阿里巴巴安全部安全專家木雁收到了2462封來自貧困山區(qū)孩子的感謝信，這源于他2016年10月參與的一個(gè)公益眾測項(xiàng)目。 pro。這場比賽，也成為他加入阿里的一個(gè)契機(jī)。2015年7月，從電子科技大學(xué)本科畢業(yè)后，他就直接加入阿里云，做安全防御相關(guān)的工作。 flag)意為“奪旗賽”，在網(wǎng)絡(luò)安全領(lǐng)域中指的是網(wǎng)絡(luò)安全技術(shù)人員之間進(jìn)行技術(shù)競技的一種比賽形式。起源于1996年defcon黑客大會，以代替之前黑客們通過互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式。

白帽子與安全眾測

為提升自身信息安全水位，招募白帽子幫忙尋找自身網(wǎng)站或業(yè)務(wù)系統(tǒng)的漏洞、并以挖出漏洞質(zhì)量為白帽子分配一定數(shù)額獎(jiǎng)金成為眾多企業(yè)的選擇。企業(yè)通常會采取與眾測平臺合作的方式，舉辦眾測比賽。

先知眾測是阿里云為白帽黑客和企業(yè)打造的一個(gè)特殊中間平臺，在這個(gè)平臺上，企業(yè)發(fā)出安全測試需求，白帽黑客依據(jù)“測試需求”給出測試報(bào)告，企業(yè)依據(jù)報(bào)告的有效性給予白帽黑客一定現(xiàn)金獎(jiǎng)勵(lì)。

2016年9月，有企業(yè)找到先知，想要在阿里內(nèi)部招募白帽子。當(dāng)時(shí)先知負(fù)責(zé)人是阿里云首席安全科學(xué)家吳瀚清，他找到阿里公益專家華山談起了合作。

2015年9月10日，馬云通過全員郵件提出倡議：從2015財(cái)年開始，阿里人每年完成3小時(shí)的公益志愿服務(wù)。技術(shù)人員怎么發(fā)揮特長做公益?將白帽子們挖漏洞所獲的獎(jiǎng)金捐出去，未嘗不是一次好的嘗試。

華山幫忙對接了中國扶貧基金會，一個(gè)月后，先知公益眾測正式敲定。

此次公益眾測項(xiàng)目的參與方包含來自阿里安全、阿里云、螞蟻金服、高德等多個(gè)bu的20多位技術(shù)人員。

2016年10月份，木雁在阿里內(nèi)網(wǎng)看到招募信息，主動報(bào)了名。除了被一個(gè)小女孩“想要一副水彩筆畫畫”的夢想所觸動外，也在于他曾得到過幫助。

受捐助小學(xué)生寫給阿里安全前沿技術(shù)研究專家木雁的信

2008年，木雁讀高三，已經(jīng)鉆研了兩年技術(shù)的他希望尋求新的突破。恰在那時(shí)，家境不太好的他申請到了一筆2000元的扶貧基金，隨后他買了人生一部智能手機(jī)——“應(yīng)該是摩托羅拉產(chǎn)的第一代智能機(jī)?！?/p>

“當(dāng)時(shí)大家都在沖刺高考的時(shí)候，我已經(jīng)接觸了linux，等大家都在玩windows，我已經(jīng)接觸到另一個(gè)領(lǐng)域了?！蹦狙慊貞?，如果不是這臺通過助學(xué)基金買的手機(jī)，很多技術(shù)知識會延后學(xué)到，可能命運(yùn)也就不一樣了。

“不論黑客還是白帽子，挖漏洞的過程都一樣，但結(jié)果不一樣，黑客可能會拿挖到的漏洞去**，白帽子就會把這個(gè)漏洞上報(bào)給，讓他們及時(shí)采取修復(fù)措施?！蹦狙阏f，“這是黑客和白帽子的比較大區(qū)別?！?/p>

“做公益眾測這件事，其實(shí)是在幫他們完成一些小夢想?！蹦狙阏f，“我希望能幫助他們。”

從攻擊者到防御者

“第一次通過先知用技術(shù)去做公益，能用自己擅長的方式——技術(shù)去幫助一些人，我很喜歡這樣的模式。”阿里云安全工程師千霄認(rèn)為這個(gè)點(diǎn)子好，于是報(bào)名參加。

在他看來，一些技術(shù)人員都比較宅，通過參加眾測比賽，獲得排名，公司可以了解到這些技術(shù)人員的能力，進(jìn)而將人才挖掘出來。眾測平臺給了白帽子們一個(gè)合法的渠道去提交漏洞、與廠商建立聯(lián)系，另外也可引導(dǎo)黑客向白帽子轉(zhuǎn)變，形成良好的風(fēng)氣。

高中時(shí)，千霄就開始自學(xué)網(wǎng)絡(luò)安全技術(shù)了，為了買黑客x檔案——一本黑客入門級雜志、售價(jià)十元，他需要每天省一點(diǎn)吃晚飯的錢，“一個(gè)月才能省下這10塊錢?！贝蠖聦W(xué)期起，他就通過參與各平臺眾測、挖漏洞獲得獎(jiǎng)金的方式繳納學(xué)費(fèi)和生活費(fèi)、養(yǎng)活自己了。

2014年，他參加了阿里舉辦的ctf并獲得第二名。除了2萬多元的現(xiàn)金獎(jiǎng)勵(lì)，他還獲得了2臺macbook pro。這場比賽，也成為他加入阿里的一個(gè)契機(jī)。2015年7月，從電子科技大學(xué)本科畢業(yè)后，他就直接加入阿里云，做安全防御相關(guān)的工作。

ctf(capture the flag)意為“奪旗賽”，在網(wǎng)絡(luò)安全領(lǐng)域中指的是網(wǎng)絡(luò)安全技術(shù)人員之間進(jìn)行技術(shù)競技的一種比賽形式。起源于1996年defcon黑客大會，以代替之前黑客們通過互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式。

“在高中、大學(xué)時(shí)，我更多可能會從攻擊入侵者的視角去思考問題，會想著如何挖出一個(gè)系統(tǒng)漏洞，來阿里后，我更多會站在防御者視角去思考問題，就是怎么找到別的黑客在攻擊，看他有沒有攻擊成功，我們怎么去做防御。”說起自己加入阿里云后的轉(zhuǎn)變，千霄說，作為一個(gè)白帽子，不僅要懂得攻擊邏輯，防御和對安全建設(shè)上的思考也是必備的技能。

收到2462封感謝信

朗澤是千霄的同事，他與千霄有著相似的成長經(jīng)歷，二人同為90后，也在同一家公司同一個(gè)部門就職，早在大學(xué)參加眾測比賽時(shí)就相識。

“我們之前經(jīng)常做這些測試，其實(shí)投入產(chǎn)出比很低，測試好幾個(gè)星期，可能就挖出一兩個(gè)漏洞?！崩蕽烧f，雖然投入產(chǎn)出不成正比，但因擅長做眾測，所以看到這樣的項(xiàng)目，只要條件允許，還是都會積極參與。

眾測在技術(shù)方面很具有挑戰(zhàn)性，多數(shù)參賽人員均是把這次公益眾測當(dāng)成了一次練手的機(jī)會。在三個(gè)月時(shí)間里，他們利用自己下班時(shí)間及雙休日來找漏洞。每次挖到漏洞，大家還會分享經(jīng)驗(yàn)，進(jìn)行技術(shù)交流。

但千霄和朗澤都震驚于木雁挖漏洞的效率和思路，“他效率很高，一開始一天一兩個(gè)，而且用的是完全不同的思路和想法?！?/p>

三個(gè)多月后，20多名技術(shù)人員共獲得46.46萬元獎(jiǎng)金，超過360等企業(yè)獎(jiǎng)金之和，可謂力壓群雄。其中，木雁以挖到13個(gè)漏洞的成績拔得頭籌，獲得24.62萬元獎(jiǎng)金。

2017年4月，這46.46萬元通過中國扶貧基金會的“愛心包裹”項(xiàng)目，捐給了重慶石柱土家族自治縣7所小學(xué)的4646個(gè)孩子們，包裹中包含文具、美術(shù)用品等物品。時(shí)隔一年后，木雁收到這些孩子們寄來的2462封感謝信。

“每發(fā)現(xiàn)一個(gè)高危漏洞，就相當(dāng)于獲得一定額度的現(xiàn)金，就等于幫助了更多小孩子?！蹦狙阏f，“我努力了，就能幫助別人;再努力一點(diǎn)，就能幫助更多人?！?/p>

技術(shù)是冰冷的，但可以用技術(shù)去做有溫度的事，這是阿里白帽子們的共識。

千霄說：“對我們來說，能幫到這些孩子們，都還是挺開心的。”

技術(shù)與年輕人

“工作上做的再出色，也只是工作，但對我來說，因?yàn)楣骓?xiàng)目是利用我的業(yè)余時(shí)間做的，也會產(chǎn)生社會價(jià)值，所以影響會更加深遠(yuǎn)?！鼻φf。他是阿里巴巴安全部技術(shù)專家，其作為技術(shù)負(fù)責(zé)人幫助國家禁毒辦搭建的全國青少年毒品預(yù)防教育數(shù)字化平臺——青驕第二課堂”已于今年6月25日正式推出。

據(jù)悉，“青驕第二課堂”的開發(fā)與維護(hù)落在阿里的肩上，是基于阿里巴巴之前成功開發(fā)公安部“團(tuán)圓”系統(tǒng)的成功經(jīng)驗(yàn)。但這個(gè)項(xiàng)目的成功也并非一人之功。

千劍介紹道，這個(gè)平臺既有面向?qū)W生的功能、也有面向管理者的功能，其中，管理者的功能尤其復(fù)雜，相當(dāng)于一個(gè)中型、大型的網(wǎng)站，技術(shù)水平要求極高，他必須組建技術(shù)團(tuán)隊(duì)，“我就在各種群里發(fā)布信息，招募技術(shù)人員來做志愿者，還要求志愿者要遵守‘利用個(gè)人時(shí)間做、不計(jì)入個(gè)人kpi、要對業(yè)務(wù)結(jié)果負(fù)責(zé)’三項(xiàng)要求。”

看似苛刻的要求卻迅速吸引了很多人的關(guān)注。抱著“人人做公益”的理念，來自阿里安全、阿里云、釘釘?shù)萣u的18名阿里員工組成了志愿者隊(duì)伍，開始推動“青驕第二課堂”項(xiàng)目的落地。

這一項(xiàng)目從2017年11月立項(xiàng)，僅用一個(gè)月就上線了第一個(gè)比較簡單的版本，今年3月份上線完整的版本，5月發(fā)布h5版本(即手機(jī)上適配的版本)，6月正式在浙江和云南兩個(gè)省進(jìn)行推廣和試點(diǎn)，目前已有近90萬學(xué)生注冊。

按照國家禁毒辦的規(guī)劃，他們希望通過“互聯(lián)網(wǎng)+禁毒教育”的創(chuàng)新模式，向全國2億青少年提供科學(xué)系統(tǒng)的毒品預(yù)防教育知識，提高防范意識，遠(yuǎn)離毒品侵害。

千劍表示，取名“青驕第二課堂”是希望將禁毒作為切入點(diǎn)，如果把“互聯(lián)網(wǎng)+教育”這個(gè)公益模式走通，或許將來他們可以向更多領(lǐng)域擴(kuò)展，“比如說，從小孩子入手，從小增強(qiáng)他們對電信詐騙相關(guān)信息的認(rèn)知?！?/p>

“用先進(jìn)的技術(shù)做比較有溫度的產(chǎn)品，用安全技術(shù)賦能公益事業(yè)，是阿里安全參與許多公益項(xiàng)目的初心?！卑⒗锇桶图瘓F(tuán)合伙人、首席風(fēng)險(xiǎn)官鄭俊芳如是說。