三问黑客秀

当今世界各国都在热议网络空间安全之际，各种披着网络安全竞赛、产品发布、安全培训等外衣的黑客秀也在不停上演，且呈愈演愈烈之风。

当一名12岁的中国初一学生，站到聚光灯下，演示如何突破学校在线答题系统，如何花1分钱买了2500元的东西… …而带来不断掌声和我身边的孩子们“顶礼膜拜”时，作为网络空间内的一个自然人，一名孩子的父亲，一个从事计算机教育的工作者，隐隐中感到一阵阵“心塞”，不得不问问这种“黑客秀”的目的何在，是否偏离了我们的“初心”呢?

1.“黑客秀”是否可以代表“安全秀”?

当前，Pwn2Own、Pwnium、Black Hat、DEFCON、POC、Code Gate、PHDaysCTF、XCTF等等会议和竞赛，主办方有公司、政府或黑客组织，形式有对抗、夺旗、演示、研讨等等。但无一例外，几秒突破windows、IE、智能设备、支付系统，总是最吸引眼球的，曝光率最高的。

于是，这种平台受到了各类厂商的高度关注。各类商家纷纷亮相，甚至不惜重金聘用或收购黑客团队(几十亿收购安全企业，年薪千万聘请黑客屡见不鲜)，有针对性的组织准备，其中不乏几次中国安全公司的黑客团队“勇夺世界第一”。一时间，仿佛拥有了顶级黑客就是拥有了安全核心技术。

热闹繁华之后，业内人士应该明白，现在的网络安全问题已经“泛在化”。安全防护的是一个体系，而某个黑客只是精通某项技术，突破的是一个点，这显然不是个等价问题。

希望，能够在看到精彩的“黑客秀”之外，看到更多的“安全秀”，听到更多的体系化的安全解决方案。

2.“黑客秀”会不会鼓励“全民皆黑”?

“黑客秀”泛滥呈现三种态势，一是各种秀的技术层次参差不齐，有的攻击技巧要求并不很高，利用网络中现有的工具即可完成，即入门的门槛极低。二是“黑客秀”呈现低龄化，不知的未来会不会有小学生被推向舞台，代表商业利益而出现在聚光灯下?三是出现了打着安全旗号的有偿“网络攻击”技能培训，花上1000多元就可以学习，跨站、破解、注入等等攻击技能。

冷眼旁观之下，我们不得不思考，低龄高薪是否会鼓励更多青年人从事“黑产”事业?“黑客”技能是否应该允许收费培训呢?当社会的多数人都掌握了“开锁”技能之后，有谁还有安全的信心呢?

希望，能够在看到精彩的“黑客秀”之外，在普及“网络安全知识”的大旗下不再有更多地商业利益追求，希望“黑客秀”真实的初衷不变，秀的是攻击技巧，解决的应该是“安全问题”。

3.“黑客秀”带来的是“正能量”吗?

“黑客秀”的内容呈现多样性，有的演示渗透系统，有的演示破解支付体系，有的演示突破智能硬件… …，这么多内容呈现后，其中心思想和灵魂却不统一。有的是技术炫耀，有的可以打击商业竞争对手，有的是给潜在用户暗示——“我发现了你的安全问题，我可以帮你解决”，有的甚至是对商家的“裹挟”… …其实，在所谓的“白客”、“红客”… …受到各种媒体的高度曝光、关注和炒作后，也带来了许多“负能量”。

例如：某知名互联网企业，被曝光其APP应用存在多个漏洞后，不得不紧急发布“漏洞奖励公告”，定价从6千到10万不等。而业内人士应该知道，现在所谓的漏洞挖掘门槛正在迅速降低，基本上多数用的就是动态测试，当然结果是出现了可以利用的“洞”和暂时无法利用的“洞”。请，各位试想，若是这个洞出现了价格后，会不会出现象“挖”比特币一样的“挖”洞大军呢?安全界的资源和力量将被引导向何方?

希望，能够在看到精彩的“黑客秀”之外，安全界能够不盲从，慎选择，炫酷的技术秀下，应该传授的是安全防护，引导的是网络安全的“正能量”。

三问“黑客秀”后，我也没有答案。不得不说，更多的人士被“黑客秀”吸引，从事网络安全事业，当然是好事情。但我们也不得不看到，这种秀正在被越来越多的商业力量裹挟;通过“黑客秀”原本不被社会和法律接受的“黑产”正在披着“网络安全的外衣合法化”;“黑客秀”带来的负能量正在积极挥发，有着正朝社会主流所不能接受的方向逐渐转变之危险。

另外从战略高度讲，“黑客秀”有其正面意义，但是不合适的“黑客秀”这样的一个个战术胜利，会不会将逐渐整个安全界拖入一个战略失败，安全问题的解决不是靠单打独斗，只有体系的完善才能最大程度的扩展安全边界。