Half the truth is often a great lie.

守卫互联网世界安全的隐武者

科技 ywz 8941℃ 0评论

142280892972674300_a580xH

[华盛顿]

史蒂夫·马奎斯隐居在华盛顿郊外的一栋小木屋里,没有电视、没有手机信号。服务商每年都保证信号塔就要立到他家门前了,可从来没兑现过。除此之外,小木屋周围绿树环抱、鸟语花香,很适合做超级英雄不用拯救世界的周末去处。

“我老了。老到还记得穿孔卡片和真空管电脑的时代。那会儿没有软件专利权这回事,IBM之类的电脑商会把软件随主机附赠。从那时起,我就对开源着了迷。”

史蒂夫·马奎斯已经从野鸡大学毕业许多年,当过美国国防部咨询顾问也注册了军火商执照,终于把购房贷款还清,连女儿都已经到了大学毕业的年纪。

他话多却有点耳背,平时爱好喝酒打猎,余下的时间都用来守护那个有史以来应用最广泛的开源密码库项目——OpenSSL。如果OpenSSL代码存在漏洞,全球三分之二的网站服务器将会受到影响。黑客甚至可能直接对个人电脑发起攻击,上亿互联网用户从私密博文到银行卡密码都将不保。

自创立之初,OpenSSL就开放源代码接受所有改进和质疑。和维基百科类似,这个开源项目不属于任何商业公司,每一行代码都依靠世界各地程序员们在闲暇周末的自愿贡献。为了维护服务器、购置新设备、雇佣外包验证测试,OpenSSL接受公众捐款,也会接一些与项目完全无关的编程工作换取报酬。

十五年来,OpenSSL每年得到的捐款收入始终徘徊在可怜巴巴的两千美金。说出去大概没人会信,但这个保障了半个互联网安全的密码库项目实际上只雇得起两个全职员工,两人都叫史蒂夫,跟美国队长重名。

第一个史蒂夫姓汉森,是英国人、图论数学博士、电影里那种连讲电话都含羞的编程天才。他辞掉原先的工作,全职投入OpenSSL的建设,每年收入骤减到两万美元。要知道,在硅谷,一个刚毕业的年轻律师一个月就能轻松入账一万。第二个史蒂夫就是前国防部顾问马奎斯。他负责管理OpenSSL基金会,记账、填表、接受采访,担任高能程序员们跟现实世界的唯一纽带。

去年夏天,森林绿意葱茏,史蒂夫·马奎斯坐在他没有手机信号的小木屋中,突然收到一封邮件。发件人来自中国,叫“Han Xu”,搞不清哪个是名哪个是姓。他代表一家叫Smartisan的年轻公司询问OpenSSL项目是否需要一百万人民币的捐款。

“要要要!”是史蒂夫·马奎斯当时的第一反应。他和他的小木屋都太老了,老得没用过智能手机,更不知道锤子科技。不过,1后面接了六个0,史蒂夫搜索起汇率,相当于十六万多美元。这将是OpenSSL创立以来得到的最大单笔捐助,超过历年所有企业与个人捐助额的总和——如果这个中国人不是骗子。

[望京]

名叫“Han Xu”的发件人,为锤子科技工作。他们的总部位于北京市区东北部的望京,一共五百多名员工,官网上的宣言是“用完美主义的工匠精神,打造用户体验一流的数码产品,改善人们的生活质量”。

锤子科技出品的Smartisan OS手机操作系统今年一月刚获得了极客公园(Geek Park)颁出的年度创新大奖和最佳用户体验奖。可仅仅在两年半之前,大家还觉得锤子科技不过是罗永浩脑袋里搭错的一根筋。

这个高中辍学生、新东方段子手,从来都不是以程序技术而闻名的。要说起他的特长,英语一定算一项,而另外一项大概就是“说相声”。在和朋友们创办英语培训学校的同时,罗永浩从2009年起开始以《我的奋斗》为题在全国高校进行巡回演讲,并推出同名自传。后来,他在四年里举办了四轮《一个理想主义者的创业故事》演讲,场场爆满。“老罗语录”也被贴在新中关购物中心地下的广告灯箱,去往地铁的扶梯边一路都是,句句不同。等语录都看完了,也就到了不见天日的地底。

有人说他卖情怀、拿演讲稿出书骗钱,罗永浩索性把版税和演讲收入全部捐出,并公布捐赠细节,于是又有人说他追求虚名。在英语培训学校时期,他捐助的对象是西部阳光农村发展基金会,还组织过英语老师去支教。创办锤子科技之后,罗永浩决定,仍然把手机发布会门票收入捐给公益机构,但最好是正在推动科技发展的公益机构。锤子的工程师和产品经理同时提到了 OpenSSL。

“说相声出身”的罗永浩本来从没听说过这个名字。他自己上网去查资料,发现这个开源项目与无数互联网用户的安全问题息息相关,不少科技巨头都在免费使用着他们的劳动成果。“我们花了一些时间来讨论 OpenSSL 是否是最合适的捐助对象。”罗永浩说,“结论是,无论从对人们日常生活和科技界的贡献,还是出于一个互联网使用者的道义,或者是从事件的传播性以及对科技公司品牌形象的提升效果上考虑,他们都是我们观察范围内最应该被捐助的。”

正是2014年5月,史蒂夫·马奎斯的小木屋本来岁月静好,OpenSSL却遭遇“心脏出血”(heartbleed)。队伍中的一名德国程序员在新年假期加班,不小心写下一串包含漏洞的代码,直到两年后才被谷歌工程师检查出来。“心脏出血”漏洞使全球超过半数使用https协议的网站安全受到威胁,黑客甚至可能直接对个人电脑发起攻击,获得隐私信息。

由于没有firefox和linux一样的显眼本质, 此前15年来一直运转过于良好OpenSSL的代码就像托住冰山的海面以下部分,从大企业到初创公司都用得心安理得。没人特意向这个开源项目捐款,也没人操心他们究竟有多少人手、能不能维持生计,反正半个互联网这么多年来都这么用着。

“心脏出血”爆发后,不少人争相跟OpenSSL划清界限。基层程序员批评他们的代码“令人作呕”,大公司则比赛着将牵连自身的安全漏洞尽快修复。而开源宣言《大教堂与集市》(The Cathedral and the Bazaar)的作者更是由此认定开源生态存在亟待解决的本质漏洞。

史蒂夫·马奎斯能理解这些批评:互联网上那么多人,总会有某人因为某事而感到不满。可他很想对他们说:“抱歉,我们搞砸了。要不,退你们钱好了。”他接着想了想,“啊哦,你们压根没付过钱呀。”

就连不少鼎鼎大名、多年使用OpenSSL代码的公司也从没投入一分钱来支持这个开源项目。在偶尔提出要捐款的公司中,有些会临时反悔、人间蒸发,有些要反复商谈“公司商标挂在OpenSSL官网上宽和高至少达到多少像素”,有些则要求史蒂夫和他的程序员朋友们“顺便帮个小忙”。

史蒂夫·马奎斯边擦猎枪边愤怒地回复:“如果你想要我们为你的公司‘顺便’做商业编程,那就不叫捐助了。那叫雇佣。”

最终,捐款总是来自全球各地、积少成多,连一美分的都有。史蒂夫·马奎斯很惊讶,一些他在广播中听说的最不尊重人权、最限制自由和最不发达的国家,反而有不少人认可开源项目,还设法向基金会的账号捐了款。可支付平台总是会抽掉一部分,一美分的捐款就都被抹掉了,史蒂夫忿忿不平。

太平洋这头,罗永浩也爱忿忿不平。多年以来人们往他身上贴的标签,除了“胖子”,就是“理想主义者”。可是这回,他终于发现比他还要理想主义的OpenSSL。“我听说该机构最初的几名工程师放弃了高薪的工作,而投身于这样一项公益事业,来维护互联网的安全。”罗永浩说,“这符合中国人所说的‘侠义精神’,这些人的内心一定有理想主义的支撑。这是我所欣赏的。”

于是,离锤子科技发出第一封邮件还不到十天,史蒂夫·马奎斯就收到了百万元捐款——OpenSSL基金会有史以来最大的单笔收入。

这些中国人对他一无所知。他们不知道他隐居在林中木屋、有军火商执照、耳背、话唠,也自始至终没有问过他这笔钱会怎么花、锤子的标志能不能挂上官网显眼处。但史蒂夫·马奎斯已经习惯信任陌生人。就连全世界他最好的战友,他也从来不知道他们长什么样子。

转载请注明:北纬40° » 守卫互联网世界安全的隐武者

喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情