文化定義眾說紛紜，百家爭鳴，各抒己見，黑客文化也掉入這陷阱，套用文化的一個定義，廣義講，黑客文化是一切以黑客為核心衍生出來的精神和物質(zhì)的總和。狹義來講，黑客文化核心是反規(guī)則，打破傳統(tǒng)。廣義狹義都抽象，我們不妨聽聽杰夫.莫斯具象談黑客文化。

E安全8月7日文 一年一度的 Black HatUS 黑帽子大會在拉斯維加斯如期舉辦，這項(xiàng)吸引全球頂級廠商、黑客的大會2018年已經(jīng)是第21個年頭。誰能想到，當(dāng)年只有22歲的 Jeff Moss（杰夫·莫斯）就創(chuàng)立了 Black Hat ！

Jeff Moss（杰夫·莫斯）

如今，Jeff Moss 已是行內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全評論員，填補(bǔ)了地下研究員社區(qū)和執(zhí)法部門之間的空白，在純研究和技術(shù)應(yīng)用之間架起了一座橋梁。

Jeff Moss 畢業(yè)于貢薩加大學(xué)，獲得過刑事司法學(xué)學(xué)位,對于網(wǎng)絡(luò)安全的過去和未來有著獨(dú)到見解。知道 Black Hat大會的肯定也知道世界頂級黑客大會 DEF CON，這兩個大會都由Jeff Moss 創(chuàng)立：

1993年，18歲的 Moss 創(chuàng)立了世界頂級黑客大會 DEF CON，這場名聲不太好的黑客盛會的參與者是一些獨(dú)立的黑客技術(shù)愛好者，但當(dāng)時該會議原本是為Moss的一位黑客朋友在拉斯維加斯舉辦的一場歡送會。

1997年，Moss 又創(chuàng)立了與DEF CON非常類似的另一個大會——Black Hat Briefings（Black Hat的前身）大會，但與DEF CON不同的是，Black Hat 大會的參與者更多是來自公司或政府的計(jì)算機(jī)安全研究員或安全專家。

現(xiàn)在，Jeff Moss 除了繼續(xù)領(lǐng)導(dǎo) DEF CON 和 Black Hat 活動，他還是美國國土安全部（DHS）顧問委員會和外交關(guān)系委員會等組織的成員。

Black Hat 也已不再局限于拉斯維加斯，已經(jīng)擴(kuò)散到全球若干城市。 Jeff Moss 見證了 Black Hat 的發(fā)展，也見證了網(wǎng)絡(luò)安全領(lǐng)域的歷史變遷。

“單打獨(dú)斗”的黑客與安全企業(yè)時代的盛會

在黑客大會 DEF CON 正式成立之前，它只是 Jeff Moss 在1992年創(chuàng)立的一個小型黑客交流活動。那個年代，網(wǎng)絡(luò)不像如今這么發(fā)達(dá)，黑客之間極少能夠建立聯(lián)系，互相切磋。因此，當(dāng)時這個小小的一個黑客交流活動，吸引了不少技術(shù)還好者參與，甚至很多人想向公司請假來參加這個活動。

DEF CON 會議上主要是獨(dú)立黑客和黑客技術(shù)愛好者，在這里，參與者可能前一天要入侵 PlayStation，第二天要黑掉一架無人機(jī)——但這些都不是公司老板會花錢讓你去學(xué)的東西。

由于當(dāng)時 DEF CON 算不上什么“正規(guī)活動”，Jeff Moss還“裝模作樣”了一陣給這些黑客發(fā)了假的通知（類似于邀請函的東西）。

Black Hat 的創(chuàng)立

Jeff Moss 在采訪中表示，當(dāng)時組織這些活動是想把大家聚在一起，然后聽聽他們都在做些什么，他們對什么感興趣，他們有哪些困惑。

直到 Jeff Moss 受到朋友的鼓動和啟發(fā)，辦起了一個專業(yè)的會議——Black HatBriefings（后來的Black Hat），參與者報(bào)名、提交報(bào)名費(fèi)參加，會上可以獲得一些技術(shù)干貨。

Jeff Moss 表示，那個時候，Infosec（信息安全）還沒有很多人，也沒有多少安全專家。當(dāng)時他邀請了朋友參加，第一年的發(fā)言嘉賓名單上有他認(rèn)識的微軟或 Novell 方面的朋友。大會內(nèi)容是為與會公司提供簡報(bào)，告知他們黑帽們都在做些什么，以幫助這些公司做好防護(hù)。Black Hat 相對 DEF CON來說得到了更多企業(yè)關(guān)注，因?yàn)樗芙o人技術(shù)提升，而且可用于實(shí)際工作。

一開始 Black Hat 與DEF CON 是一起在拉斯維加斯舉辦，Black Hat 結(jié)束后是DEF CON ，但 Jeff Moss 很快就意識到不能在同一個酒店舉辦兩場會議，因?yàn)閷EF CON 的與會者來說更像是一場 Party，參與者都是早早就到會場，吃光所有食物，喝光所有飲料！直到后來兩個會議被拆開了舉辦。

從排斥到接受

黑客本身是存在爭議的，過去，一些公司曾試圖禁止在 Black Hat 出席過的一些研究員披露某些產(chǎn)品的漏洞，直到后來 Black Hat 發(fā)展成為一種文化，廠商更愿意讓黑客們試著攻擊他們的產(chǎn)品。

看Black Hat發(fā)展與網(wǎng)絡(luò)安全發(fā)展之路

Jeff Moss 表示，創(chuàng)建 Black Hat 并未預(yù)料到它會變得如此有魔力，當(dāng)我問人們?yōu)楹螀⒓?Black Hat 時，他們說這個活動就像是水晶球可以預(yù)見未來，他們可以提前了解工作中將要遇到的問題。

Black Hat 似乎可以看見未來

如果黑客和安全研究員在Black Hat談?wù)撃硞€問題，那么最多在一年后，這個問題就真會成為現(xiàn)實(shí)中的問題。

在 Black Hat 創(chuàng)立后的最初幾年里，大量電信人參與會議，又過了幾年，與會的人開始對移動安全感興趣。一旦廠商的客戶開始出現(xiàn)，廠商也會隨之出現(xiàn)。這說明安全問題開始在他們的行業(yè)露頭。

從 Black Hat 參會者身份看網(wǎng)安人才需求

Jeff Moss 在采訪中表示，Black Hat的與會者從技術(shù)多面手轉(zhuǎn)變成了技術(shù)專家——與會者需要的是讓自己的觀點(diǎn)更專業(yè)一些。他們對于社會事務(wù)和 Black Hat 核心技術(shù)的關(guān)注也在不斷增加。

基于以上這一點(diǎn)，網(wǎng)絡(luò)安全文化也發(fā)生了一些轉(zhuǎn)變，曾經(jīng)安全圈需要的是某些精英，而后慢慢變成需要更具包容性和多樣性的人才。即這些年的變化，從“多面手”轉(zhuǎn)變?yōu)閷＜遥缓笥质嵌嗝媸?，但這是為什么呢？

UNIX 年代——互聯(lián)網(wǎng)發(fā)展的早期，每個人都稱得上是專家。但隨著時間的推移，互聯(lián)網(wǎng)從業(yè)人員就變得專業(yè)起來，他們可能專注于某一技術(shù)或領(lǐng)域。但這種想法又讓人很難有全局觀，例如當(dāng)你試圖向董事會解釋某個安全問題，他們通常關(guān)注宏觀層面的問題，而不會過問微觀技術(shù)問題。

于是，Black Hat大會試圖讓發(fā)言者（特別是主講者）從宏觀層面講述觀點(diǎn)，以讓更多的人了解某個點(diǎn)對整個行業(yè)的影響。

偏重技術(shù)的 Jeff Moss 表示，他一開始十分不理解社交的重要性。安全行業(yè)從業(yè)人員從一開始每個人都在抱怨沒人傾聽他們的意見，到現(xiàn)在每個人都在傾聽技術(shù)人員的聲音這個過程花費(fèi)了不下十年，且跟董事會探討安全問題這與跟同事的聯(lián)系不同，它需要的是完全不一樣的技巧。

安全技術(shù)人員不能缺少的技能——社交

Halvar Flake (Zynamics 創(chuàng)始人，該公司于2011年被谷歌收購) 在2017年 Black Hat 新加坡會議上表示，防御-網(wǎng)絡(luò)攻擊是一場技術(shù)游戲，這游戲很復(fù)雜，但游戲的規(guī)則卻簡單。防御——即組織網(wǎng)絡(luò)攻擊——則更難，處處跟社交有關(guān)。

防御規(guī)則？可用時間？節(jié)約的經(jīng)費(fèi)？運(yùn)營開支？在防御上要花多少錢？哪里來的預(yù)算？資產(chǎn)為何重要到需要進(jìn)行防御保護(hù)？目標(biāo)是否處于保護(hù)中，保護(hù)力度夠不夠？所有這些問題都是具有社交性質(zhì)，而且還要涉及政治性和官僚問題。

Jeff Moss 認(rèn)為，社交技能對于網(wǎng)絡(luò)安全人員的職業(yè)生涯越來越重要。

網(wǎng)絡(luò)安全的文化氛圍正在變化

承認(rèn)社交在網(wǎng)絡(luò)安全中重要性就是這種文化轉(zhuǎn)變的一個例子。網(wǎng)絡(luò)安全文化衍生自黑客文化，而前者需要少一點(diǎn)精英，多一些包容。

安全離不開黑客

黑客圈很自然有種技術(shù)崇拜，他們彼此尊敬，但他們對于那些看不上眼的人常常表示出不屑，不僅入侵商務(wù)人士，甚至包括那些搭建計(jì)算機(jī)系統(tǒng)的人。這種傲慢阻礙了安全行業(yè)人員與他們建立良好關(guān)系，而如果我們要加強(qiáng)安全，這種關(guān)系就非常有必要。

安全教育的重要性

聰明地阻止網(wǎng)絡(luò)攻擊已經(jīng)不夠，安全行業(yè)需要能創(chuàng)建更具彈性的系統(tǒng)，能減少攻擊面，減少代碼漏洞。因此需要走出去，教育那些安全經(jīng)驗(yàn)少的人。我們還需要鼓勵和指導(dǎo)下一代網(wǎng)絡(luò)安全人才。

安全行業(yè)的多樣性

包容意味著鼓勵不同的人進(jìn)入這個領(lǐng)域，黑客文化一直都是民主的。這也需要鼓勵安全圈的多樣性，以便反映出全球各類人的需求。

在2017年 Black Hat 活動期間，Black Hat 向?qū)W生發(fā)放了205份獎學(xué)金，按常規(guī)這些學(xué)生沒法出席活動。Jeff Moss 表示，為了維護(hù)目前行業(yè)內(nèi)的這種多樣性，在 Black Hat 2017活動期間制定了許多計(jì)劃，目的是為網(wǎng)絡(luò)安全領(lǐng)域的女性提供支持。

從此，網(wǎng)絡(luò)安全要何去何從？

跟 Black Hat 20年前首次舉辦相比，安全圈乃至全球都已經(jīng)發(fā)生很大改變。網(wǎng)絡(luò)安全圈已經(jīng)抓住了工作重點(diǎn)——保護(hù)人和企業(yè)的安全，維護(hù)世界的安全。

Jeff Moss 表示，世界過去依靠我們來保護(hù)基礎(chǔ)設(shè)施，未來也將依靠我們保護(hù)他們的系統(tǒng)——物聯(lián)網(wǎng)，無人駕駛汽車，太空旅行。要做到系統(tǒng)“默認(rèn)安全”而不是“默認(rèn)開放”還有很長的路要走。