2016年7.20號(hào),國(guó)內(nèi)最大的白帽子交流平臺(tái)被迫關(guān)閉。在互聯(lián)網(wǎng)世界,烏云網(wǎng)一直扮演著“守護(hù)者”角色,但烏云網(wǎng)模式自誕生起,就一直行走在灰色地帶,因而備受爭(zhēng)議。烏云網(wǎng)此次危機(jī),正是這一灰色地帶的風(fēng)險(xiǎn)爆發(fā)所致。
白帽子袁煒因在烏云網(wǎng)提交世紀(jì)佳緣漏洞被抓后,烏云網(wǎng)再一次陷入風(fēng)波。不僅烏云網(wǎng)站無(wú)法打開,有傳聞稱,烏云高管也被抓。
在黑客江湖,一部分群體通過攻擊系統(tǒng)漏洞獲取數(shù)據(jù),再把信息兜售至黑市牟利,被稱為“黑帽子”黑客;另一部分是“正面角色”,號(hào)稱只是將檢測(cè)出的bug提交至報(bào)告平臺(tái)進(jìn)行公布,提醒、倒逼企業(yè)注重用戶的數(shù)據(jù)安全,被稱為“白帽子”黑客。一般而言,白帽子先將自己發(fā)現(xiàn)的漏洞提交至漏洞報(bào)告平臺(tái),審核通過后會(huì)粗略發(fā)布漏洞情況,并等待涉事單位認(rèn)領(lǐng)。如若幾十天后仍沒有機(jī)構(gòu)聯(lián)絡(luò)平臺(tái),將進(jìn)一步公布漏洞細(xì)節(jié)內(nèi)容。一直以來(lái),烏云網(wǎng)以這種方式公布信息,敦促企業(yè)加強(qiáng)安全意識(shí)。但是“往往不是黑帽子或者白帽子,而是斑馬,白天黑,晚上又洗白。”黑帽子與白帽子的身份界定模糊,提交后公布環(huán)節(jié)的流程不規(guī)范,造成烏云網(wǎng)模式自誕生起,就在法律與道義上備受爭(zhēng)議。
直到2015年12月,在烏云網(wǎng)上提交漏洞的“白帽子”才第一次“出事”。2015年12月,杭州的IT人士袁煒,在烏云提交了他發(fā)現(xiàn)的世紀(jì)佳緣網(wǎng)站系統(tǒng)漏洞。
在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞,并按烏云平臺(tái)慣例向漏洞提交者致謝后,事態(tài)竟急轉(zhuǎn)直下,世紀(jì)佳緣不久后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報(bào)警。2016年4月份,袁煒被司法機(jī)關(guān)逮捕。但是袁煒是嚴(yán)格按照烏云網(wǎng)的發(fā)布流程提交的漏洞,世紀(jì)佳緣在追究責(zé)任時(shí),“繞過了烏云,以及袁煒白帽子身份”。也就是說,攻擊網(wǎng)站者,就沒有什么所謂的白帽子一說,但凡攻擊網(wǎng)站,就屬于違法行為,這也就是為什么紅客聯(lián)盟解散、烏云被關(guān)了。白帽子一直得不到承認(rèn),黑客技術(shù)或者說漏洞挖掘,就一直不能上臺(tái)面。
“黑”進(jìn)一家企業(yè)的系統(tǒng)并發(fā)現(xiàn)漏洞,相當(dāng)于一個(gè)江洋大盜撬開了銀行的保險(xiǎn)柜。按照白帽子、黑帽子約定俗成的分野,黑帽子黑客會(huì)直接將保險(xiǎn)柜中的財(cái)寶席卷一空;但是白帽子黑客的做法,是并不偷拿保險(xiǎn)柜中的“一針一線”,而是好心好意告訴銀行,保險(xiǎn)柜的鎖不夠安全,應(yīng)該及時(shí)加固,更有甚者,會(huì)告訴銀行加固的方法。理論上看,即便銀行大門敞開,外人也沒有權(quán)利貿(mào)然闖入。退一步講,如果銀行的保險(xiǎn)柜失竊,丟沒丟東西,只要清點(diǎn)一下數(shù)目即可,但是數(shù)字化的系統(tǒng)對(duì)于“闖入者”性質(zhì)認(rèn)定就極為復(fù)雜,因?yàn)閿?shù)據(jù)有著極其容易復(fù)制的特性,偷看數(shù)據(jù)、復(fù)制數(shù)據(jù)都可以非常隱蔽地進(jìn)行。
但是事實(shí)上,絕大部分企業(yè)安全意識(shí)淡薄,并不怎么把用戶的信息安全放在心上。白帽子檢測(cè)系統(tǒng)漏洞的行為,相當(dāng)于排除地雷,倒逼企業(yè)不斷修復(fù)、加固系統(tǒng),起到了維護(hù)公眾利益的作用。
世紀(jì)佳緣選擇報(bào)警之后,在業(yè)界引起較大反響。很多人認(rèn)為,堵住烏云網(wǎng)平臺(tái)這一正常途徑后,只會(huì)逼迫白帽子轉(zhuǎn)黑,最后損害的還是用戶利益。
但是,排除白帽子提交漏洞之前的動(dòng)機(jī)不論,烏云模式當(dāng)中,審核、發(fā)布漏洞的流程也值得商榷。白帽子提交了漏洞之后,平臺(tái)要對(duì)這一漏洞的真實(shí)性進(jìn)行審核,而審核的環(huán)節(jié),其實(shí)是對(duì)系統(tǒng)的該處漏洞,又“攻擊”了一次。審核通過后,平臺(tái)會(huì)將一部分漏洞通知企業(yè),提醒其加強(qiáng)防范。但是也有大部分漏洞提醒直接發(fā)在平臺(tái)上,等待企業(yè)認(rèn)領(lǐng)。“所謂的認(rèn)領(lǐng),不是主動(dòng)找企業(yè),而是等著企業(yè)主動(dòng)找上門。”在這一環(huán)節(jié),一些安全意識(shí)較強(qiáng)的互聯(lián)網(wǎng)巨頭,會(huì)有專門的安全職位負(fù)責(zé)在不同平臺(tái)巡視,所以能夠及時(shí)發(fā)現(xiàn)公布出來(lái)的安全隱患,早做溝通,予以解決。
但是絕大部分企業(yè)并不知道白帽子在平臺(tái)上作出了提醒,“甚至不知道烏云網(wǎng)的存在。”所以即便是后來(lái)傾向于認(rèn)為白帽子是在做好事,也沒有趕過去認(rèn)領(lǐng),因?yàn)檫@一環(huán)節(jié)只留給企業(yè)5天時(shí)間。過了5天的認(rèn)領(lǐng)期限,平臺(tái)會(huì)分批次向不同等級(jí)白帽子公布漏洞的大概情況。“這個(gè)時(shí)候,還不會(huì)公布細(xì)節(jié),只是一些大概情況。”到了這一步驟,情況變得糟糕起來(lái),因?yàn)榘酌弊訑?shù)量很多,即便不公布細(xì)節(jié)內(nèi)容,也會(huì)有數(shù)量龐大的黑客開始在公布的系統(tǒng)提醒上挖掘,“像蒼蠅一樣,總會(huì)找出漏洞在哪”。
所以,從企業(yè)利益的角度出發(fā),發(fā)現(xiàn)漏洞越及時(shí),挽回?fù)p失的余地越大。如若在這一環(huán)節(jié)當(dāng)中,仍未見企業(yè)現(xiàn)身,45天后,烏云網(wǎng)會(huì)在平臺(tái)上公布漏洞的細(xì)節(jié)內(nèi)容。“告訴你哪里門沒鎖,這實(shí)際上等于公布數(shù)據(jù)信息了。”平臺(tái)沒有權(quán)利公布數(shù)據(jù)內(nèi)包含的用戶信息。其實(shí),烏云網(wǎng)的存在促使了國(guó)內(nèi)相關(guān)企業(yè)對(duì)網(wǎng)絡(luò)安全的重視。
但是大部分的企業(yè)都不愿意花心思和精力在安全上面,安全問題,費(fèi)時(shí)費(fèi)力也費(fèi)錢,企業(yè)的目的是賺取利益,如果沒有人挖掘我網(wǎng)站的漏洞,那我的網(wǎng)站就是安全的,即使你發(fā)現(xiàn)了我的漏洞也不應(yīng)該公布在網(wǎng)絡(luò)上,因?yàn)椋业哪康氖琴嶅X,這種需要花人力物力和財(cái)力的東西,本來(lái)不應(yīng)該存在,都是因?yàn)檫@些白帽子才存在的,這,也許就是大部分企業(yè)的真實(shí)想法。
