一大波“00”后少年黑客来袭，地球不再安稳了

2000年以后出生的这些孩子们的生活可谓是一天也离不开网络。他们生活中发生的所有事情统统都记录在Facebook中(如同中国孩子的空间、微博、朋友圈等)，算法可以掌握他们完成作业的速度有多快，他们的告白短信和自拍照也都传载到云上，网络丰富充实着他们的生活。

然而，他们所继承的这个庞大的数字生态系统却又是那么脆弱、破碎甚至是不安全的。由于构建过程中缺乏安全意识，所以错误代码充斥其中：从像雅虎这般的大公司到美国政府机构，个人隐私信息泄漏的事件已属司空见惯。不安全的网络环境甚至已经蔓延至政治攻击中，严重影响着美国大选的进程。可想而知，在不远的未来，数字攻击将引发新一轮的世界大战。

面对着连接日益增强的未来网络世界，越来越多的孩子加入了抵抗网络攻击的大军。Passcode寻访全世界各地，寻找到了一群15岁及以下的“00后”新兵团，他们是新一代的思想家和网络边界捍卫者。

他们中的很多人还是背着书包、带着牙套的年龄儿童，但却已经掌握了加固数字世界的数字代码。然而，他们不是要做网络世界的“破坏之王”，而是成为网络安全的“卫士”。

他们探寻软件漏洞，竭尽所能地保护学校网络安全，以及帮助维护国家电网稳定。他们不像前几代黑客，被贴上“罪犯”和“破坏者”的标签，相反地，他们都是受到社会肯定和父母鼓励的新一代黑客。

在我们的普遍认知中对黑客都有着一种非常刻板的印象，所有的年轻黑客都是男性、惹事生非者、恶作剧者甚至非法乱纪者。但是下面介绍的这群人将颠覆你的认知。

下面一起走进他／她们的故事：

1. CyFi——15岁

CyFi是一位白净的15岁女孩，目前就读于硅谷一家侧重于科技教育的实验高中，她兴趣广泛，热衷滑雪、冲浪、饲养宠物，不过她的宠物可不一般——是一条名为“Calcifer”的两英尺长玫瑰蟒。

除此之外，她还有一个秘密身份：CyFi还是一位杰出的年轻黑客。

为了维持这个秘密身份，在采访时CyFi拒绝透露真实姓名；拍照时也带着墨镜，让人难以识别她的面部特征。CyFi说，你知道超级英雄们都有个超级英雄的名字，像是“Superman”“spiderman”等等，我也很高兴自己可以有一个黑客名字，这样坏人也无法寻找到你。

CyFi现在除了要应付难缠的老师，还要担心被公司起诉，因为她主要负责披露从移动应用到智能电视等数百种产品的安全漏洞。

其实CyFi之所以清楚网络世界的危险是因为她的一些经历。数字窃贼曾经入侵她出生医院的数据库，并使用她的社保号和其他个人信息购买了房子和车子，这让她觉得自己有责任来修复自己发现的任何安全漏洞，不让自己的经历在别人身上重演。

她说：“随着互联网和我们的生活、学校以及教育的连接加强，一定会有越来越多的漏洞出现。我们这一代有责任让互联网变得更加安全、美好。”

CyFi第一次登上媒体头条要追溯到2011年8月9日，当时在美国举办的DefCon黑客大会上，这名年仅10岁的少女向外公布自己的新发现，苹果现在的iOS系统和谷歌安卓系统的游戏(Smurfs’ Village，一个孩子可以构建自己虚拟农场的游戏)中存有零日漏洞(被发现后可立即被恶意利用的安全漏洞)，可以用于修改系统中的时间进程。

CyFi回忆说：“其实刚开始我有点难过，因为邮件通知他们程序中存在漏洞后他们就尽快修复了漏洞，我就不能再钻漏子玩游戏了。但是后来想想也没关系，毕竟我让互联网变得更安全了。”

她和其他人共同创办了“r00tz Asylum”，也就是一年一度的Defcon黑客大会儿童分会。在CyFi的指导下，第一年组织起来的100个孩子就在手机应用程序中发现了40多个安全漏洞，第二年发现180个。

CyFi还负责向存在潜在威胁的公司披露其存在的安全漏洞。鉴于其做出的努力，2013年，CyFi获得时任美国国家安全局指挥官Gen. Keith Alexander赠予的一枚勋章。

在r00tz上，安全研究人员会为孩子构建专门练习攻击的设备。在CyFi只有12岁时，就成功完成了一项入侵三星最新版智能电视的赏金计划。CyFi说：“对我来说那是非常重要的时刻”。

在此次入侵中，她通过一段字符串成功打开了设备的摄像头。这一漏洞也就意味着攻击者可以随时监控用户的行为。最终CyFi获得了三星赠予的1000美元赏金。她说：“我认为漏洞赏金计划非常重要，因为它可以消除我的担忧。”

R00tz现在已经日益强大起来，吸引了AT&T、AllClearID、Adobe以及Facebook等大牌赞助商还有许多巨头科技公司的志愿者们。CyFi也已经为明年夏天的比赛列好了入侵清单，包括一系列的联网家庭设备如扬声器、玩具、锁、安全摄像头甚至为他们的“小黑客军团”准备食物的烹饪设备等。

每当看到朋友和他们的父母在没有考虑数据安全的情况下，将众多联网设备放置家中，CyFi就会感到十分震惊。她立志长大成为一名建筑师，因为她认为：“我想要安全地将物联网集成到房屋中，无论是你的搅拌机还是烤箱，我们的家将成为一个安全的整体”。

2. Kristoffer——8岁

Kristoffer出生于2008年，当年苹果才刚刚推出App Store。2岁时，当大多数孩子还在裹着尿片时，Kristoffer就成功绕过了父母手机上的“儿童锁(toddler lock)”。

5岁那年，小Kristoffer意外发现了微软云端游戏平台Xbox Live的安全漏洞，无须输入正确密码便可进入父亲的Xbox Live账户。其初衷是阻止父亲玩暴力游戏，如《使命召唤》等。

这并不是一个微不足道的发现，相反这个蓄着一头金色卷发的小男孩发现了一个非常严重的漏洞。漏洞发现后，他的父亲Robert Davies，一名计算机系统工程师面临两种选择：他们可以在YouTube上曝光该漏洞，提醒所有人这一入侵方法，或是将漏洞告知开发Xbox的微软公司。

Davies回忆道，当时Kristoffer问他如果坏人利用漏洞会发生什么事情?Davies告诉他：“坏人可以利用你发现的漏洞入侵别人的Xbox账号，盗取信息。”当时Kristoffer说，不行，我们不能这么做，我们必须告诉微软公司。

Davies表示，他个人更倾向于这种“完全公开”的方式，让公众都知道漏洞的情况，但是有趣的是儿子与我意见相左，他更愿意与供应商合作。

最终父亲将这一漏洞报告给了微软，微软用了一周将漏洞修复。为表扬这位5岁的男孩，该漏洞被命名为“Kristoffer”，Kristoffer也由此被称为“世界上最年轻的黑客”。此外微软还给于Kristoffer 50美元的奖励，四款免费游戏，一年的免费Xbox Live订阅等。

最近，已经8岁的Kristoffer为自己制定了新的目标，包括修复Roblox，一个供孩子们使用的在线游戏平台。他说：“我会利用空闲时间在YouTube上观看漏洞视频”。

3. Reuben——10岁

在Reuben Paul还在上小学一年级时，他就已经确定自己长大后想做什么：“白天是商人，晚上是网络间谍”。

Reuben时间观念很强，瘦瘦的身材，棕色的眼睛，目前在得克萨斯州的普夫卢格维尔就读5年级。今年才10岁的Reuben早已成为一位CEO ，并经常出席各种安全会议。

作为美国最年轻的少林功夫二级黑带选手，Reuben每个周末都会练习他的拳法、脚法、长剑和短剑等。武术可以成为未来间谍的附加技能，但是勤习武术的同时，Reuben也在加强对数字攻击和防御技能的训练。他从6岁起就跟着父亲学习黑客技术，父亲是前shark researcher-turned-computer安全专家。

由于高超的技能获得国际社会关注的Reuben，开始出席在印度新德里举办的GroundZero信息安全峰会以及美国旧金山举办的RSA大会，他在会上分享自己的感悟，“我想，我正在学习网络安全技能，但是那些没有学习的孩子会怎样，他们是否正遭受网络世界的伤害，是安全还是不安全?”

所以，这个雄心勃勃的孩子决定混合他的两种热情——武术和网络安全，成立一个新型非营利机构——“网络少林(CyberShaolin)”通过在CyberShaolin.org网站上创建一个账户，孩子们就可以观看教育视频短片并接受测试，作为其“数字黑带”项目的一部分。

就像学习武术一样，初学者在Reuben的项目中都是从白带开始的。白带学习的内容非常简单：什么是互联网?网络安全?计算机?然后，学员们学的技能(如钓鱼攻击、无线入侵等)越多，带数也会随之升级。每次视频学习后，孩子们都要进行测试，以确保他们学到了真正的技能。达到黑带级别的话，你需要了解所有的安全技能，你应该是一个安全专家级别了。

Reuben的家人已经在与他们当地的学校讨论将CyberShaolin视频作为学校的教学课程，网络安全公司卡巴斯基实验室(Kaspersky Lab)是该组织的第一个赞助商。Reuben的家人曾考虑将它作为营利性企业运营，但是Reuben坚持做非营利机构，因为他认为教育对所有的孩子应该是免费的。

处于爱玩年龄的Reuben，在8岁时又开始创建了他的另一家公司——Prudent Games。以“玩中有所学”为宗旨，Reuben将应用程序3美元在线出售。其中包括“饼干的证据(Cracker Proof)”，他将其描述为“一种学习强密码的有趣方式”，还有“破解我如果你可以(Crack Me if You Can)”，玩家可以学习蛮力攻击的方法，输入任何你认为有可能的密码，直至破解。

Reuben说：“我们正在步入APP时代，人们必须意识到其中的危险”。

4. Mira——12岁

年仅12岁的Mira Modi现在是个商人，2015年，她开了一家网店，专门出售人工生成的加密密码，每个两美元!

Mira在她的网站上写道：“我是纽约市的一名六年级学生。这是我的第一份生意(除了柠檬水摊子之外的生意)。我很激动，会对每一单生意负责。”她还解释了Diceware这个拥有数十年历史的密码生成系统的工作原理：“你将一个骰子摇5次并写下每个数字。接着你在Diceware的词典上面查阅这个五位数。”

当然，结果是5-8个无条理的字符串随机结合，这样的密码极难被破解。5位数的字符串能通过配备着高端图形处理器个人电脑被破解，而一串8个字符的密码直到2050年都不会被人破解出来。

Mira表示：“你也可以自己想一个。我之所以会做这个生意是因为我的母亲太懒，不想掷骰子这么多次，所以她付钱给我让我为她做个密码。”Mira的母亲Julia Angwin是一位获奖的调查记者，也是Dragnet Nation一书的作者。作为她书本调查的一部分，她雇佣Mira生成Diceware密码，于是这位六年级学生意识到可能其他人也会对这项服务感兴趣。

因此她开始制造更多的六位数密码，决定以每个两美元的价格将其卖出去。刚开始销量很低，她只好在网上引起更多注意。她说：“我想让更多人知道这一服务，否则我就不能挣到多少钱了。我觉得拥有一个自己的网站是一件非常有趣的事情。”

来了一个订单之后，Mira会多次掷骰子并在打印版的Diceware单词表上寻找对应的单词。接着她会将密码写在纸上并寄给客户。她建议客户收到密码后做点改动，比如将几个词大写或者增加符号以确保她没办法窃取他们的密码。“人们担心我会拿走他们的密码，但事实上我根本没办法记住它们，我也不会再把它们卖给其它人。就我所知，我出售的每一个密码都独一无二。”

Mira说她现在已经出售了30个密码，如果她全天做这个每小时能挣12美元。她自己的几个重要帐户也是利用Diceware生成。她说：“我认为好密码很重要。现在我们有了高端的电脑，人们能飞快地侵入任何东西。我们的社交帐号中有很多重要的东西。当人们侵入别人的帐号时你事不关己，但等到你自己也享受这种待遇时感觉就不那么好了。现在人们都上网，因此拥有一个密保性强的密码很重要。”

除了创业之外，Mira和其他11岁的孩子没有什么区别——她喜欢体操和跳舞。但她独特的生意让她没办法跟朋友们一起玩。她表示：“我生意的整体概念就是为人们制造密保性超强的密码，我不认为我的朋友能理解这些，我倒觉得这还挺酷的。”

她希望等她长大一点的时候能了解更多数据安全和侵入问题，或许以后她会专门研究数据加密和运行安全。她说：“我想成为计算机技术领域的一名律师，我想考取一个计算机科学学位，然后做一名律师打击犯罪。目前世界上只有6名律师拥有计算机科学和法律学位，而且他们中没有女性。”

5. Paul——14岁

14岁的Paul Vann将其楼上的卧室称为其Vann Tech公司的总部。在他的床旁边就是他的实验室，里面散落着入侵无线网络的设备、数据分析软件、配置先进黑客工具的电脑和一台3D打印机。

Paul因为跳级，目前已经是弗吉尼亚州弗雷德里克斯堡的一名大二学生。他想要开发一种产品能够帮助企业洞察数字威胁实景，并创建一个视觉显示器帮助公司发现入侵者踪迹。Paul说：“一旦我有了启动资金，我需要更多员工进行产品研发，开发项目不能只有我一个人。”

他一边参加玛丽华盛顿大学(University of Mary Washington)的理论物理课程，一边在线学习麻省理工学院免费的数学课程，但是因为他太小了并没有获得资格。

Paul正计划通过Kickstarter平台为自己的公司发起新一轮草根筹款，但是他也正面临涉足成人资本过程中反复出现的问题：让大人们把他当回事。他说：“尽管他们作为成年人，但是他们并不尊重你。”

Paul称他是在看完Kevin Mitnick著作的一本名为《Ghost in the Wires》的书后踏入黑客世界的，书中讲述了Mitnick从事黑客事业20多年来的各种入侵行为，包括窃取公司的专利代码以及在上世纪80-90年代窃听美国国家安全局的电话等。

但是，Paul抱怨称，作者并未谈及自己是如何做到的，所以他开始通过YouTube视频自学黑客技术。Paul说：“我第一件想做的事就是入侵wifi，因为当你没和别人在一起时最简单的攻击别人的方法。”

自学结果是成功的，Paul很快就学会了如何入侵距离他宿舍3英里范围内的所有wifi网络。但是作为Eagle Scout的志愿者，Paul所做的行为都在没有违反规则的范围内进行。

Paul了解非法入侵的后果，他说，如果我有恶意的话我可能会惹上麻烦，失去我现在拥有的权利。所以在你进入另一个系统时一定要确保不会对系统造成任何伤害。

在，Paul正在进行一个更艰巨的挑战。在跟爸爸一起参加一个网络安全会议后，Paul认识了将计算机系统设计成吸引黑客的目标的“蜜罐”技术，随后他设计了自己的数字陷阱。他的蜜罐看起来像是一个在线门户，国家安全局的员工可以用之进入政府网络。他说：“蜜罐技术就像魔术一样，当黑客们试图入侵它的时候，其实自身已经被反攻击了。”

来自世界各地(包括中国、俄罗斯甚至美国)的12000位入侵者可能还不知道，一位来自弗吉尼亚州的青少年可能已经窃取了他们的文件或数据。但是Paul并不愿这么做，他只是想看看哪些人会对脆弱的美国政府系统感兴趣。

他的蜜罐教会他的公司一个宝贵的经验：“你可以使用蜜罐中的数据来帮助阻止之后可能发生的攻击”。去年，他在200多人参加的DerbyCon大会(规模最大的南部信息安全会议)上展示了他的研究成果。

Paul已经推出了自己的研究项目：追踪去年12月发生的乌克兰电网事件背后的恶意软件开发者。虽然专家们都认为BlackEnergy恶意软件开发者来自俄罗斯，但是Paul想要“找出真正的攻击者”。

他使用复杂的数据分析工具来追踪乌克兰攻击事件中被BlackEnergy恶意软件感染的计算机IP地址，最终发现嵌入其中的代码和短语。随后他发现所有证据都与一位很多国家都在通缉的攻击者相关。

虽然怀疑攻击者使用的虚拟专用网络显示他的电脑位置在荷兰，但是Paul通过使用数据挖掘工具Maltego的地理定位功能查明，攻击者的真实位置应该在俄罗斯圣彼得堡。

Paul认为他的数字侦查技术“对网络安全社区是非常重要的，因为它可以让BlackEnergy恶意软件更好地被识别和理解，而且还可以帮助其他人阻止该团队再次入侵乌克兰能源机构。”如果调查能够识别嫌疑人的真实姓名，那么我们就可以在整个俄罗斯的黑帽子黑客社区中阻止该恶意软件流。