信息安全界流传着这样一个段子。如果你想成为某大公司的首席信息安全工程师,那么你有两条路可走:第一条就是从名校毕业,然后从最基础的级别干起, 每五年升一个职称,也许20年后你会成为这家公司的首席信息安全工程师;另外一条路就是直接黑了那家公司的系统,然后告诉他们的CEO这是你干的。而今天介绍的主人公显然走的就是黑客洗白的道路。谷歌的“信息安全公主”帕里萨·塔布瑞兹(Parisa Tabriz)目前带领着超过30名工程师的团队,专门发现和处理谷歌Chrome浏览器的安全威胁。她和她的团队基本上就是通过黑进Chrome来获得相应报酬,她总是强调你要像罪犯一样思考。
在黑暗的世界里,塔布瑞兹基本上相当于一名独行的黑客,拥有所有的力量和技能,没有邪恶的倾向和掠夺的本质。她领导着黑客工程师们,像黑客一样思考,搜寻谷歌Chrome的弱点,在世界上的其他黑客动手之前先发制人。今年她才31岁,是黑客界罕见的女性,这也是为什么塔布瑞兹在谷歌可以晋升的如此迅速的原因。
塔布瑞兹出生在芝加哥郊区,父亲是伊朗裔医生,母亲是波兰裔护士。塔布瑞兹小时候并没有接触到任何技术相关的东西,“上大学前,我从没有碰过电脑。”但她在数学和科学方面的才华,让她最终选择了伊利诺伊大学的尚佩恩分校的工程专业。在课外活动中,她发现了她真正的兴趣是黑客。
每周五晚上,她会参加一个黑客俱乐部来了解网站安全的来龙去脉。“我的网站被黑掉了,所以我想弄清楚为什么。(这些会议)没有什么正式的内容。大家更多的是分享,这是我做的一些很酷的东西,这里是一些有趣的想法。”她在这里迅速成长,从此奠定“安全公主”的未来。
塔布瑞兹很可能是谷歌“不作恶(Don't be evil)”座右铭的理想化身,而谷歌公司的这一形象,曾经被爱德华·斯诺登的棱镜门事件所动摇。国家安全局的计划给了联邦官员不受阻碍进入高科技公司内部服务器的权限,以此获得用户的个人信息。但塔布瑞兹和她的团队所做的反黑客工作让谷歌可以找到积极的力量来应对外界的质疑。
在道德炼狱中,对与错之间一线之隔,以一个恒定的状态存在。黑客往往是阴暗的,他们喜欢把自己用黑色和白色进行比喻。塔布瑞兹所在的一方-白帽(实际上这也是业界的叫法),就好像是诚实的孩子捡到了昂贵的钱包并物归原主。而黑帽往往就是邪恶的一方,他们不断在网络上寻找着新的受害者。但黑帽的收益是巨大,黑帽用自己的系统攻击能力获取重要的信息,并将其出售给出价最高的人。
这也使得塔布瑞兹的招聘十分复杂。塔布瑞兹需要找到能够抵御各式攻击的网络强人,但也要强大到足以抵御非法金钱的诱惑。不过谷歌自有其找人的方式,包括发放现金奖励给那些发现漏洞的人。按照塔布瑞兹的说明,谷歌支付的奖励在25000到60000美金。但即便如此黑客市场还是有相当的风险,像军火工业一样有相当大的灰色地带。黑客可以一手将漏洞卖给罪犯,也可以一手将反制软件卖给安全公司。而塔布瑞兹的部分工作就是分辨这些鱼龙混杂的黑客们。
她也常常与谷歌的非黑客工程师交流,告诉他们如何像黑客一样思考。她还会给那些入侵了自动售货机的工作人员免费的小吃奖励。但是,现实的生活却是塔布瑞兹和她的团队作了大量重要的工作,但你甚至不知道他们作了什么。他们会为发现的Chrome浏览器漏洞编写补丁并自动推送给所有用户,而这些默默无闻的黑客们正在安静的保护你我的生活。
