阿里安全白帽挖漏洞做公益

近日，阿里巴巴安全部安全專家木雁收到了2462封來自貧困山區孩子的感謝信，這源于他2016年10月參與的一個公益眾測項目。 pro。這場比賽，也成為他加入阿里的一個契機。2015年7月，從電子科技大學本科畢業后，他就直接加入阿里云，做安全防御相關的工作。 flag)意為“奪旗賽”，在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。起源于1996年defcon黑客大會，以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。

白帽子與安全眾測

為提升自身信息安全水位，招募白帽子幫忙尋找自身網站或業務系統的漏洞、并以挖出漏洞質量為白帽子分配一定數額獎金成為眾多企業的選擇。企業通常會采取與眾測平臺合作的方式，舉辦眾測比賽。

先知眾測是阿里云為白帽黑客和企業打造的一個特殊中間平臺，在這個平臺上，企業發出安全測試需求，白帽黑客依據“測試需求”給出測試報告，企業依據報告的有效性給予白帽黑客一定現金獎勵。

2016年9月，有企業找到先知，想要在阿里內部招募白帽子。當時先知負責人是阿里云首席安全科學家吳瀚清，他找到阿里公益專家華山談起了合作。

2015年9月10日，馬云通過全員郵件提出倡議：從2015財年開始，阿里人每年完成3小時的公益志愿服務。技術人員怎么發揮特長做公益?將白帽子們挖漏洞所獲的獎金捐出去，未嘗不是一次好的嘗試。

華山幫忙對接了中國扶貧基金會，一個月后，先知公益眾測正式敲定。

此次公益眾測項目的參與方包含來自阿里安全、阿里云、螞蟻金服、高德等多個bu的20多位技術人員。

2016年10月份，木雁在阿里內網看到招募信息，主動報了名。除了被一個小女孩“想要一副水彩筆畫畫”的夢想所觸動外，也在于他曾得到過幫助。

受捐助小學生寫給阿里安全前沿技術研究專家木雁的信

2008年，木雁讀高三，已經鉆研了兩年技術的他希望尋求新的突破。恰在那時，家境不太好的他申請到了一筆2000元的扶貧基金，隨后他買了人生一部智能手機——“應該是摩托羅拉產的第一代智能機。”

“當時大家都在沖刺高考的時候，我已經接觸了linux，等大家都在玩windows，我已經接觸到另一個領域了。”木雁回憶，如果不是這臺通過助學基金買的手機，很多技術知識會延后學到，可能命運也就不一樣了。

“不論黑客還是白帽子，挖漏洞的過程都一樣，但結果不一樣，黑客可能會拿挖到的漏洞去**，白帽子就會把這個漏洞上報給，讓他們及時采取修復措施。”木雁說，“這是黑客和白帽子的比較大區別。”

“做公益眾測這件事，其實是在幫他們完成一些小夢想。”木雁說，“我希望能幫助他們。”

從攻擊者到防御者

“第一次通過先知用技術去做公益，能用自己擅長的方式——技術去幫助一些人，我很喜歡這樣的模式。”阿里云安全工程師千霄認為這個點子好，于是報名參加。

在他看來，一些技術人員都比較宅，通過參加眾測比賽，獲得排名，公司可以了解到這些技術人員的能力，進而將人才挖掘出來。眾測平臺給了白帽子們一個合法的渠道去提交漏洞、與廠商建立聯系，另外也可引導黑客向白帽子轉變，形成良好的風氣。

高中時，千霄就開始自學網絡安全技術了，為了買黑客x檔案——一本黑客入門級雜志、售價十元，他需要每天省一點吃晚飯的錢，“一個月才能省下這10塊錢。”大二下學期起，他就通過參與各平臺眾測、挖漏洞獲得獎金的方式繳納學費和生活費、養活自己了。

2014年，他參加了阿里舉辦的ctf并獲得第二名。除了2萬多元的現金獎勵，他還獲得了2臺macbook pro。這場比賽，也成為他加入阿里的一個契機。2015年7月，從電子科技大學本科畢業后，他就直接加入阿里云，做安全防御相關的工作。

ctf(capture the flag)意為“奪旗賽”，在網絡安全領域中指的是網絡安全技術人員之間進行技術競技的一種比賽形式。起源于1996年defcon黑客大會，以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。

“在高中、大學時，我更多可能會從攻擊入侵者的視角去思考問題，會想著如何挖出一個系統漏洞，來阿里后，我更多會站在防御者視角去思考問題，就是怎么找到別的黑客在攻擊，看他有沒有攻擊成功，我們怎么去做防御。”說起自己加入阿里云后的轉變，千霄說，作為一個白帽子，不僅要懂得攻擊邏輯，防御和對安全建設上的思考也是必備的技能。

收到2462封感謝信

朗澤是千霄的同事，他與千霄有著相似的成長經歷，二人同為90后，也在同一家公司同一個部門就職，早在大學參加眾測比賽時就相識。

“我們之前經常做這些測試，其實投入產出比很低，測試好幾個星期，可能就挖出一兩個漏洞。”朗澤說，雖然投入產出不成正比，但因擅長做眾測，所以看到這樣的項目，只要條件允許，還是都會積極參與。

眾測在技術方面很具有挑戰性，多數參賽人員均是把這次公益眾測當成了一次練手的機會。在三個月時間里，他們利用自己下班時間及雙休日來找漏洞。每次挖到漏洞，大家還會分享經驗，進行技術交流。

但千霄和朗澤都震驚于木雁挖漏洞的效率和思路，“他效率很高，一開始一天一兩個，而且用的是完全不同的思路和想法。”

三個多月后，20多名技術人員共獲得46.46萬元獎金，超過360等企業獎金之和，可謂力壓群雄。其中，木雁以挖到13個漏洞的成績拔得頭籌，獲得24.62萬元獎金。

2017年4月，這46.46萬元通過中國扶貧基金會的“愛心包裹”項目，捐給了重慶石柱土家族自治縣7所小學的4646個孩子們，包裹中包含文具、美術用品等物品。時隔一年后，木雁收到這些孩子們寄來的2462封感謝信。

“每發現一個高危漏洞，就相當于獲得一定額度的現金，就等于幫助了更多小孩子。”木雁說，“我努力了，就能幫助別人;再努力一點，就能幫助更多人。”

技術是冰冷的，但可以用技術去做有溫度的事，這是阿里白帽子們的共識。

千霄說：“對我們來說，能幫到這些孩子們，都還是挺開心的。”

技術與年輕人

“工作上做的再出色，也只是工作，但對我來說，因為公益項目是利用我的業余時間做的，也會產生社會價值，所以影響會更加深遠。”千劍說。他是阿里巴巴安全部技術專家，其作為技術負責人幫助國家禁毒辦搭建的全國青少年毒品預防教育數字化平臺——青驕第二課堂”已于今年6月25日正式推出。

據悉，“青驕第二課堂”的開發與維護落在阿里的肩上，是基于阿里巴巴之前成功開發公安部“團圓”系統的成功經驗。但這個項目的成功也并非一人之功。

千劍介紹道，這個平臺既有面向學生的功能、也有面向管理者的功能，其中，管理者的功能尤其復雜，相當于一個中型、大型的網站，技術水平要求極高，他必須組建技術團隊，“我就在各種群里發布信息，招募技術人員來做志愿者，還要求志愿者要遵守‘利用個人時間做、不計入個人kpi、要對業務結果負責’三項要求。”

看似苛刻的要求卻迅速吸引了很多人的關注。抱著“人人做公益”的理念，來自阿里安全、阿里云、釘釘等bu的18名阿里員工組成了志愿者隊伍，開始推動“青驕第二課堂”項目的落地。

這一項目從2017年11月立項，僅用一個月就上線了第一個比較簡單的版本，今年3月份上線完整的版本，5月發布h5版本(即手機上適配的版本)，6月正式在浙江和云南兩個省進行推廣和試點，目前已有近90萬學生注冊。

按照國家禁毒辦的規劃，他們希望通過“互聯網+禁毒教育”的創新模式，向全國2億青少年提供科學系統的毒品預防教育知識，提高防范意識，遠離毒品侵害。

千劍表示，取名“青驕第二課堂”是希望將禁毒作為切入點，如果把“互聯網+教育”這個公益模式走通，或許將來他們可以向更多領域擴展，“比如說，從小孩子入手，從小增強他們對電信詐騙相關信息的認知。”

“用先進的技術做比較有溫度的產品，用安全技術賦能公益事業，是阿里安全參與許多公益項目的初心。”阿里巴巴集團合伙人、首席風險官鄭俊芳如是說。