Most Hackers Aren’t Criminals大多数黑客不是罪犯

靳德斌

幼儿园老师问我儿子爸爸做什么工作，他解释道：“他偷东西，不过没事儿，因为人家给他钱让他这么干。”

我儿子说得没错。

2我是一名黑客，并且管理着一支黑客团队。我们整天寻找方法强行进入可以与互联网相连的任何设备，如服务器、自动取款机、灯泡等，努力获取本不该被看到的信息。如果我们在罪犯之前获取这些信息，那么我们就尽到了自己的职责。

3正如医生或律师为他们所从事的工作感到自豪一样，我也对赖以谋生的工作感到自豪。然而得克萨斯州机动车管理局最近却对我的职业持批判态度。我为自己的爱车购买了个性车牌，该机构迅速将它们没收，声称“HACKING”字样的车牌支持违法和犯罪行为。

4尽管有这种反应其实不是出于好心没收我车牌的市政人员的错，但它却表明对我职业根深蒂固的曲解如何造成了错误的认知和刻板印象。

5好莱坞以及安防行业本身对黑客形象的描述促使“黑客”这个词成为“罪犯”的同义词。黑客经常被描绘成在黑屋里罩着帽兜敲击键盘从事非法活动的人，并且几乎清一色是男性。近年来，像电视剧《黑客军团》和电影《瞒天过海：美人计》也引入了女性黑客角色，但不幸的是男性黑客的刻板印象依然盛行。

6这些刻板印象并不适用于安防行业的大多数黑客。黑客不是独自工作的社会弃儿。我已经干了30多年黑客工作，并且不穿连帽短衫。一些黑客甚至选择穿正装上班。另外，剧透一下，女性也做黑客。进攻型的安防文化本质上是包容的：这种安防业务就是公司雇用能力更强的黑客在罪犯动手前抢先找出机构的失控点。为公司测试安全性并想出侵入公司的创造性方法需要多样化的团队和思维模式。

7“黑客”这个词的现代用法是20世纪50年代在麻省理工学院校内创造的。多年后，黑客定义为用电脑编程和解决问题的专家，可以拓展电脑和电脑程序最初设计的任务完成能力。

8黑客行为是一项活动，将任何一项活动与犯罪区分开来的通常是获得许可。人们有权自由驾驶，但没有权把车开到时速150英里，这是野蛮驾驶，是一种刑事犯罪。银行家可以将客户的钱转账，但如果没有获得许可而这样做，那就是侵占。你从未听说过有人仅仅因为是证券经纪人而被捕，因为没有人会因为选择金融领域作为职业而受指控，但如果他们参与非法活动，如内幕交易，就会被捕。

9多亏安全研究人员的黑客攻击行动，2019年发现了最常用Wi-Fi加密标准一个新版本存在的漏洞，使罪犯无法利用这些漏洞侵入家庭和商业网络。相反，就在此前的那个月，罪犯在安全研究人员之前发现了谷歌安卓操作系统的一个未知漏洞，让坏人完全控制了十多个手机型号。

10黑客行为本质上并不是犯罪。从事非法黑客攻击活动的人不应该叫作“坏黑客”，而应该称之为“网络罪犯”“威胁行动者”或“网络攻击者”。黑客是像我和我的IBM团队一样寻找漏洞的安全专业人士，希望抢在被罪犯利用之前找到我们电脑系统的薄弱环节。

11电脑犯罪分子分为两类：“黑帽”和“灰帽”。黑帽是恶意侵入的（如刺探情报、盗取数据），利用漏洞寻求经济或个人利益。灰帽是可能没有恶意但没有获得许可而侵入系统的人。某个特定的罪犯属于黑帽还是灰帽，描述的只是已经确定为非法活动的背后动机。

12发展进程中，安全行业也引入了道德伦理帮助解释黑客行为的正当性，给予我们“道德黑客”称号，给始于20世纪50年代的这个职业添加了一层人工防护膜。然而不幸的是，连安防资格证书也在其名称前面加上了这个形容词。我们不能也不应该指责公众将我们称为道德黑客，但请问：把某人介绍为道德证券经纪人听起来是否合适？道德工程师或道德教授呢？

13黑客在维护公司和个人安全方面发挥着关键作用。黑客未能正确地履行职责等同于让公司以为穿着防弹背心而事实上却穿着羊绒衫。在IBM，我的X-Force Red团队开展的一项工作是攻击自动无人驾驶汽车、飞机和火车，以便确保每台机器发货之前发现并纠正每一個可能出现的安全漏洞。想象一下如果这些运输工具在出厂前未能发现并纠正安全缺陷会发生什么糟糕的事情吧。

14对“黑客”一词的曲解不仅损害了进攻型安防行业，也扭曲了立法者对所有黑客的理解和认知。例如，《计算机欺诈与滥用法》严重依赖这个词及对它的误解。为了社会就安全研究和渗透测试展开公开和富有成效的讨论，我们需要澄清黑客到底是谁，他们做的是什么。与我交流的许多政府官员理解这一点。其他人则选择将我的车牌没收。