与网络漏洞赛跑的92年安全工程师“老司机”

　　白帽子里最会种树的，依靠找漏洞，一个月种了32棵树;种树里最会找漏洞的，以漏洞数量和质量，获得AFSRC2018第一季度第一名的黄金荣誉勋章。

　　他就是Dx-mmmark。

　　在代码组成的比特世界里，Dx-mmmark如同一台精准的扫描仪，发现百密一疏的漏洞，然后提交给平台，及时修补漏洞。包括Dx-mmmark在内的白帽子们，是虚拟世界里的“正义联盟”，和互联网公司、用户联合对抗共同的敌人————庞大的黑客军团。

　　这是一场不见刀光剑影，但厮杀相当激烈的智力攻防战。

　　一

　　生于1992年的Dx-mmmark，却戏称自己是“老家伙”。

　　如今的白帽子行业，95后已经占据了主流———这些在校生们，有更为充裕的时间查找漏洞。但Dx-mmmark的优势在于狂热的兴趣、不懈的努力以及更为丰富的经验。

　　Dx-mmmark从未想过自己有一天会成为白帽子。四五年前从计算机专业毕业后，Dx-mmmark一度远离由0、1字节组成的虚拟世界，他对沉闷的程序员生活十分抗拒 ，“前两年啥都尝试过，但就是没写过代码，没当过码农”。但两三年前，“安全”让他重新捡起了对网络世界的狂热。

　　如今Dx-mmmark白天的工作，是某互联网金融公司的安全工程师，而在工作之外的自由时间，他则在虚拟世界，化身为一位行侠仗义的白帽子。

　　几乎所有的白帽子都不会错过那部描写黑客生活的经典美剧《黑客军团》，它也是Dx-mmmark的最爱。

　　这部美剧让他认识到了网络世界的凶险。电影里的男主角名叫艾略特·奥尔德森，是一位患有社交恐惧症的神经质程序员，晚上则化身黑客。在技术高超的艾略特眼中，繁杂浩瀚的网络世界是透明的，他想攻击的目标，大门敞开，既无隐私，也无秘密，艾略特可以为所欲为。

　　“这个世界比我们想象的凶险多了。”Dx-mmmark说，“但多数网民，不知道这些风险”。最佳的安全防护，其实是在漏洞被利用、影响用户之前，就被发现和修补，这是所谓的无感知安全。但互联网公司不会忘记他们的价值，即将在一年内种上的5000棵绿树，将成为表彰白帽黑客的功勋林。

　　今年年初，蚂蚁金服倡议发起了“互联网安全防护林计划”，截至目前已经有12家公司SRC(安全应急响应中心)共同参与。在收到有效漏洞后，参与防护林计划的互联网公司，就会以漏洞提交者的名义捐赠一棵树(包含1棵灌木、2平方草方格)，过去不被普通用户感知的网络安全，将通过数千棵绿树，让用户可见可感可知。

　　在比特世界里，熟知并四处查找漏洞的有两类人。一类是白帽子，他们查找漏洞的目的是堵住漏洞。在由0、1字节组成的茫茫大海里，搜索漏洞的难度，不亚于在狂澜巨浪的大海里，寻找迷失的小船，这是一个极为孤独和辛苦的行业，非兴趣或者理想难以支撑。但这种苦海泛舟的孤独是必经之路————解决漏洞和弱点的唯一路径，就是发现它和暴露它。

　　另一类则是黑客，他们视漏洞为“金钱女神”，追逐漏洞如同蚊蝇逐臭，在他们眼中，漏洞就是能带来真金白银的巨大商机，他们是网络世界的毒瘤、小偷和强盗，他们的规模还在壮大。

　　统计数据显示，中国互联网欺诈风险已在全球排名前三，网络欺诈导致的损失已达到GDP的0.63%，这一数字仅次于美国的0.64%。遍布全国的黑灰产业人员超过了100万，每年给企业造成的直接损失超过了1000亿，各类黑灰产业集群超过了10000个。

　　Dx-mmmark的工作，某种程度上，就是在和黑客赛跑，在嗅觉灵敏的黑客到达之前，找到漏洞，并协助平台堵上漏洞。

　　至少，从现在来看，Dx-mmmark赢了。

　　二

　　仅用一个月时间获得1536金币，成为蚂蚁金服安全响应中心AFSRC资深安全专家，获得AFSRC2018第一季度第一名的黄金荣誉勋章，这个成绩相当惊艳，但Dx-mmmark认为自己并不算技术大牛。他上的大学一般，大学期间也并非同学中的学霸，他把自己的登顶归结为综合因素———好奇、勤奋、细心。

　　Dx-mmmark不愿套用那些宏大的词汇去描述他的热情和理想，“白帽子也是普通人，我可能就是好奇心比较强，安全这个领域非常宽广，你走不到边的，不断通关，但没有尽头，所以我就很有兴趣。”

　　当然，必要的理想主义也是有的，比如在AFSRC的惊艳战绩，就让Dx-mmmark小有自豪，“将来我有孩子了，我就可以给孩子吹牛啊，爸爸曾经帮助一个用户五六亿的金融平台，发现了漏洞，堵住了风险。”

　　其次则是细心，这是Dx-mmmark从推理小说中得到的启示。日本作家岛田庄司和东野圭吾的小说，都是他的最爱，找漏洞的过程，很像推理。

　　“你去看电影里福尔摩斯那些神探，他们很厉害很神奇，但是你看岛田庄司和东野圭吾的小说就知道了，生活中的神探，靠的是持续的好奇心、反复的努力，以及细心细心再细心。”

　　做安全和码农不同，做码农可能只需要懂代码就够了，然后组织二进制语言去实现业务指令。但安全的范畴很广泛，不仅要懂点技术，还要懂业务，懂运维。不仅要有理性，有逻辑，还要洞察人性。最有趣的是要把自己代入黑客的角色，去反向推断，到底黑客是如何寻找和利用漏洞的。这个过程，很像推理小说中，正邪两股力量，在智力层面的总和较量。

　　细心和逻辑推演能力体现在Dx-mmmark喜欢的小说《嫌疑人x的献身》里，石神制造的谋杀案的完美假象，已经蒙骗了专业警察，但最终能被小说塑造的名侦探汤川 识破，就在于汤川细致入微的观察能力和严密无缝的逻辑推理能力。

　　持续的努力当然也是不可少的。收获最多的一月份，Dx-mmmark在工作之余，每周挤出三天，每天花费两到四个小时，排查漏洞和攻击，“为啥很多学生也能发现不少漏洞，因为他们时间更充裕。”

　　三

　　正如月有圆缺，人无完人。程序也许没有漏洞，但人是有漏洞的。因此，几乎一线互联网公司，都启动了安全应急中心，鼓励白帽子寻找业务漏洞、系统漏洞、运营风险、安全事件等，并给予奖励，Dx-mmmark大概为十来家互联网公司当过白帽子。

　　2017年的双11，Dx-mmmark看到了蚂蚁金服的英雄贴，后者正在大规模召集安全领域专家、白帽子、社会团体及个人共同发现潜在的漏洞信息，并依此建立漏洞统计分析中心，预知并自查风险，提升业务安全。

　　相比于其他公司，Dx-mmmark认为AFSRC吸引他的原因主要有四个。

　　第一，“onebug onetree”的公益活动。

　　随着参与人数越来越多，支付宝app里的蚂蚁森林“一树难求”。但是Dx-mmmark等白帽子，贡献了一个有效漏洞，蚂蚁金服就会以漏洞提交者的名义捐赠一棵树(包含1棵灌木、2平方草方格以及10年的精心养护)，这个活动对Dx-mmmark的吸引力很强。

　　过去，白帽子的工作被淹没于浩瀚的虚拟世界里，漏洞堵上了，他们的工作就终止了，现在，白帽子的贡献值，穿越到电脑屏幕之外，在阿拉善沙漠里，落地生根为看得见、摸得着的5000棵功勋林，“这棵树就永远种在哪里了，以我的名义，特别有满足感，有成就感”。

　　其次，很赞的海外游学活动。AFSRC每年都会组织海外游学计划。白帽黑客查找漏洞的过程极为孤独，白帽黑客的圈子也不大，小伙伴们多是网络交流，很少线下见面，一块海外旅游、游学的时光，非常难得。

　　“哈哈，当然想去游学了，这个我请年假也要去的。”Dx-mmmark很憧憬——他今年获选的胜算不小。在这之前，AFSRC的游学项目，已经到达过迪拜、澳洲等等。

　　今年春天，获选的AFBOYS，得以去澳洲游学。除了哈雷、大堡礁和热气球体验等精彩的游玩项目，更为难得的是海外交流学习的机会。这是AFSRC白帽的独家福利。交流对象包括全球互联网巨头以及世界最顶尖的安全大牛，也是Dx-mmmark最为看重的环节。

　　今年的澳洲游学中，AFBOYS参观了google澳洲总部大楼，和谷歌的安全大牛们，详细交流了攻防经验。

　　不出意外的话，Dx-mmmark今年也有望获得这样的游学机会。

　　第三，蚂蚁金服制定了丰厚的漏洞奖励机制，包括常规的物质奖励、荣誉奖励和特殊奖励的模式。

　　季度奖励比如周大福纯金勋章;年度大奖包括海外知名公司、高校游学;严重漏洞额外最高奖36万元。

　　2018年第一季度，Dx-mmmark拿到了大概2万元的奖金，这是一笔不小的收入，“蚂蚁还是挺大方的。”

　　这笔奖励，对于95甚至00后的学生白帽子群体来说，吸引力更强，在蚂蚁金服发现几个有效漏洞，一年的学费、生活费，甚至旅游经费都有了。

　　曾有一名白帽子，在AFSRC 发现的单个漏洞，就拿到高达36 万的奖金。

　　第四，蚂蚁很重视安全，很尊重白帽子。

　　“响应非常快，很多当天就给反馈，最长的也就一两个工作日。”Dx-mmmark说，“白帽子在这里，特别受重视、尊重。”

　　早在成立之时，蚂蚁金服安全应急响应中心就公开承诺，对每一位报告者反馈的问题都有专人进行跟进和处理，并及时给予答复。

　　这就是一个非学霸白帽子逆袭的典型案例，“其实白帽子也很普通的”，Dx-mmmark多次强调，不要美化他，“只要你有好奇心，爱学习，都能来当白帽子，这个圈子，还是不够大，欢迎大家都来”。