我找大疆聊了聊 | 大疆罗生门（一）
2017/11/23 14:07:44 浅黑科技

     这两天，大疆和安全研究员一言不合就开撕。而且事情还越闹越大。

     本来这可能只是一次普通的纠纷。但随着对事情真相的接近，我突然发现，这件事情注定和你我都有关。它映射了我们每个人内心永恒的冲突，唯有解决才能继续前行。

     此为《大疆罗生门》第一篇。

     我找大疆聊了聊 | 大疆罗生门(一)

     文 | 史中

     今天，中哥给你们讲个故事：

     一家连锁酒店，为了保证旅客的安全，决定悬赏找一些锁匠检查一下房间的门锁有没有问题。他们会付钱给锁匠，前提是：我们签个保密合同。规定我的房间门锁让你随意测试，如果测试完了果真不安全，我们尽快修好，拜托你不要对外声张。

     有一天来了一个锁匠，告诉酒店经理，你们的锁确实不安全，你看我给你演示一下，这样就能打开。

     酒店说：卧槽，我们的锁是特制的，你还没签测试合同，什么时候测试的啊？

     锁匠说：嗨，虽然你的锁是特制的，但我见过很多锁，打眼一看就知道可能有问题。刚才我自己进去试了一下，果然能打开一些锁，所以马上来告诉你了。无论如何，我帮你们找到了问题，请把赏金给我吧。

     酒店说：好吧，太感谢了，付钱没问题。不过我们还是先把保密协议签了吧。因为我不希望你对外说帮我们测试过门锁，否则大家以后都不敢来我这里住店了。

     锁匠说：等等，你这保密协议有问题!我找你家门锁的毛病，一是为了警示别的酒店注意自己门锁的安全；二是为了在“锁匠圈”里扬名立万；三是给自己带来更多的生意。不让我对外说，就拿这点赏金，我不同意。

     于是双方越说越气，锁匠干脆走到门口，大声告诉来往的客人：他家的门锁不安全!我不用钥匙就能打开!

     酒店的经理也急了，对他喊：你没经过我们同意，就私自开我们家门锁，这可是犯法的啊!

     就是这么一个故事，乍一听上去挺狗血的。不过，这个事情在真实世界里同样发生了：那个连锁酒店就是大疆(对就是那个做无人机的)，那个锁匠就是一位白帽子黑客(白帽子黑客的意思是：做好事的黑客)。

     我从某朋友那问到了一些还未被广泛知晓的内情。为了让各位明白，接下来我再用通俗的语言介绍一下这次“大疆事件”：(由于故事比较复杂，我用两方视角各说一次。)

     一、大疆事件

     1、大疆视角：

     2017年8月，公司出于产品安全考虑，搞了一次“安全奖励计划”——谁能找到大疆产品存在的安全问题，就奖励 Ta 100-30000美元不等。不过前提是，先要签署一份保密协议。协议包括两项重要内容：1、终身不能对外宣布问题的详情。2、不能对外宣传自己曾经帮大疆找过安全问题。

     计划发布两个月后，有一个名为 KF(Kevin Finisterrre) 的美国黑客找到大疆公司说，之前我没参与你的“奖励计划”，但现在我找到了你们的一个大问题(用专业术语叫“安全漏洞”)，你看能不能按照你的“奖励计划”给我奖金。大疆一看他提交的漏洞详情，果然还挺严重，说，那行，咱们补签一个协议吧，按照“奖励计划”我给你顶格的30000美元。

     KF看到协议里的保密条款，不干了。他拒绝接受这个协议，认为“不能对外宣传”的条款不公平。于是谈判彻底破裂，KF开始对外公布他通过漏洞从大疆获取的一些信息，非常不道义。

     2、黑客KF视角：(由于没有采访 KF 本人，以下的信息主要整理自他的声明。)

     KF 是一个专门研究无人机安全的黑客，自己在一家无人机安全公司“Department13”任高管。他找到了大疆的一个安全漏洞，同时刚好发现大疆还有这个奖励计划，于是提交给大疆。大疆倒是很配合，拿出协议，让 KF 签字。

     但是，一看协议才发现，里面的内容太严格了，规定自己终身不能透露问题详情，还不让对外说我帮你们找过漏洞。KF觉得：我可是要在圈子里混的啊，谁知道哪天我喝大了不小心说漏了嘴，你们去告我怎么办？再者说，我作为安全研究员，找漏洞很大程度就是要获得行业认可，要出名。你的不让我对外宣传，就给三万美金，我觉得不划算。既然这样，我们就撕破脸皮吧，钱我也不要了。我把事情的来龙去脉写出来发在网上，让大家都来看看大疆的安全问题。

     一边，我认识很多白帽黑客朋友，知道他们的思维逻辑，另一边，我也能获得一些大疆的观点。所以，我正好能从自己的角度，给他们评评理。

     当然，评理这种事，一般是两边不落好的。不过思考再三，我还是觉得自己有义务出来说说。

     二、“大疆事件”我给评评理

     1、签合同的时点——大疆+1分

     “奖励计划”是大疆提出的。如果按照大疆的逻辑，黑客理应是先看合同，再来决定要不要帮助大疆找问题。

     所以按照大疆的规则：“签合同”这件事，应该发生在“找漏洞”之前。(至于这个规则好不好，我们等下再讨论。)

     简单说来，黑客和大疆两个人“打牌”之前，就没说好规矩。

     一般遇到这种情况，有一个风俗：如果在我家打牌，就按我的规矩。如果在你家打牌，就按照你的规矩。

     从这一点上说，黑客是去大疆家找漏洞，算是客人。不管是出于什么疏忽，总之没听清主人的规矩，这个角度看，主人占理。

     所以大疆+1分。

     2、黑客的情怀——黑客+1分

     但是找漏洞这件事情，还不完全等同于两个人打牌。

     明白这一点，需要对白帽子黑客的想法进行分析：

     以我对白帽子黑客的认识，帮企业寻找漏洞，他们至少叠加了两重想法：1、通过自己的努力让世界更安全。2、用手中的技术合理地挣一些钱。

     对于一个具体的白帽子来说，动机1和动机2的比例不同。有的更理想主义，有的更需要钱。但不可否认，这种“济世情怀”天然带有正义性。

     对于 KF 来说，他在声明里说，大疆的安全有问题，你不仅要承认，还要公开承认。在我看来，动机是为了让更多的人重视安全。

     从这一点上看，白帽黑客是值得钦佩的。

     所以黑客+1分。

     3、大疆的保守——黑客+1分

     大疆自始至终，在抱守着一个态度：家丑不可外扬。

     说到这，其实有情可原。

     大疆一直以来有保密的传统。随着不断发展，它经历了很多次“泄密”带来的伤害。很多商业对手都曾经试图从大疆内部搞到最新的设计图纸、核心的技术人员。一些技术和人流出以后，马上可以从投资人那里拿到上亿的资金，扬起大旗和大疆叫板。

     特别是在深圳这个地方，大疆深受“山寨”所害。

     所以，严格保密可能是大疆能突破国内外对手重重围堵发展至今的利器。

     然而，作为一个“世界级”(起码是有这个野心)的企业，大疆的心态，显然还没有来得及放开。这个保密协议，让很多人看起来的感觉就是要“息事宁人”。所以才有了这么严格的保密协议。

     心态保守，听不得嘲讽，这也是 KF 对大疆诟病最严重的地方。

     我记得有一个中国黑客，曾经找到特斯拉的漏洞：只付1块钱就可以达到预付30万定金的效果。特斯拉的回应就很大度：这1块钱我们就认定为30万，你只需要付了余款就能提车。

     当然这个故事里，黑客也很善良，最终没有占特斯拉的便宜。

     与特斯拉相比，大疆看起来确实小心眼。白帽子黑客 KF 说得在理。

     所以黑客+1分。

     4、KF 的身份——大疆+1分

     谈到动机这件事，往往又很微妙。特别是你的身份有点尴尬的时候。

     根据公开信息，KF 自己经营一家无人机安全公司，出售一款产品，可以定位无人机。

     而大疆恰好也刚刚推出了自己的定位无人机的产品，价格比 KF 的便宜。

     也就是说，二者存在商业竞争。

     大疆觉得：对方是出于商业竞争，才来“找茬打架”。

     对于这种“阴谋论”，我持保留意见。因为大疆没有明确的证据证明对方有商业动机。

     但是自己的公司和大疆存在竞争关系，这件事 KF 应该是知情的。这个身份确实削弱了他说话的底气。

     就拿最开始的锁匠为例。连锁酒店本来悬赏锁匠来测试自家门锁，没想到来了个人，不仅是锁匠，还是对门另一家酒店的管理员，这确实有点说不清楚。

     鉴于黑客的身份有疑点，大疆+1分。

     说到这里，大疆和黑客2:2打平。但是，我并不想就此停止。因为接下来我要说的一点，和你我都有关。它甚至映射了我们每个人内心永恒的冲突，唯有解决才能继续生活。

     5、英雄和规则

     这件事情，迅速在中国的白帽子黑客中发酵。因为在他们的集体记忆中，有两件事还没了结：

     1)乌云事件；

     2)世纪佳缘案。

     这两件事情都和“非授权测试”有关。由于尚未有法律结论，所以具体不便讨论。各位可以上网去看。

     我有机会询问了很多黑客对“乌云”和“世纪佳缘”这两件事的看法，之后更肯定了一个结论：黑客圈是一个江湖。

     为什么这么说呢？

     喜欢看武侠的同学都知道，决定“江湖”的底层逻辑，不是规则，而是善恶。这也是黑客 KF 挑战大疆的根本逻辑。在他的眼里，结果正义比程序正义更重要，他要做一个英雄。

     而大疆，作为在中国合法经营的公司，相信的是市场和法律，这两者都代表了制度和规则，所以在他们眼里，程序正义显然大于结果正义，他们相信规则。

     看到这些，“大疆事件”就一瞬间变得不再简单。

     我想起了一个人：

     1861年，罗伯特·李将军率领南军作战，守护自己的家乡。此时他选择成为英雄。

     1865年，他为了国家不再流血，率领南军放下了武器，此刻他选择臣服于规则。

     几十年后，他的雕像在欢呼和赞誉声中挺立；

     一百多年后，他的雕像又在吵闹和喧嚣中被拉倒。

    

     在最艰难的时刻，热血英雄引领我们渡过难关。

     而在更多平凡的时刻，坚硬的规则又保护了柔软的你我。

     就在此刻，黑客相信英雄，而大疆相信规则。他们同时望向你。

     最后这一票，我想交给你。你会投给英雄，还是投给规则？

     这有多重要，我猜你能明白。

     (不设投票了，有神马想说的直接留言吧)

     end

     ---

     对了，作为文章作者我再自我介绍一下。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以加我微信，fungungun。不要害怕，我不是什么好人。

     不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。

     ---

     浅黑科技，让技术被读懂

    

    

    http://weixin.100md.com

    娣団剝浼呮禒鍛返閸欏倽鈧喛绱濇稉宥嗙€幋鎰崲娴ｆ洑绠ｅ楦款唴閵嗕焦甯归懡鎰灗閹稿洤绱╅妴鍌涙瀮缁旂姷澧楅弶鍐ㄧ潣娴滃骸甯拋妞剧稊閺夊啩姹夐敍宀冨閹劏顓绘稉鐑橆劃閺傚洣绗夌€规粏顫﹂弨璺虹秿娓氭稑銇囩€硅泛鍘ょ拹褰掓鐠囦紮绱濈拠鐑藉仏娴犺埖鍨ㄩ悽浣冪樈闁氨鐓￠幋鎴滄粦閿涘本鍨滄禒顒佹暪閸掍即鈧氨鐓￠崥搴礉娴兼氨鐝涢崡鍐茬殺閹劎娈戞担婊冩惂娴犲孩婀扮純鎴犵彲閸掔娀娅庨妴锟�

返回 浅黑科技 返回首页 返回百拇医药