烏云、漏洞盒子的同時升級維護背后,被稱為“白帽子”的正面黑客長期以來游走于灰色邊界。有時,提交漏洞的“白帽子”和攻擊者,是同一人。
暫時維護
日前,有消息稱國內知名漏洞報告平臺烏云網出現了無法訪問的情況,其后烏云發(fā)公告稱,原因是官方正在進行升級。而同時,國內另一漏洞報告平臺漏洞盒子宣布,暫停接受互聯網漏洞與威脅情報。
新金融觀察記者了解到,烏云網、漏洞盒子是國內最知名的白帽子社區(qū),而所謂“白帽子”即正面黑客,這個群體會及時發(fā)現各互聯網平臺漏洞,并提交報告,在此之前會提醒對方修復。
“當用戶把安全性作為選擇企業(yè)產品的考量之一時,企業(yè)就會加大投入,開發(fā)人員就會有更多的資源和動力去處理安全問題,從而營造出越來越好的安全生態(tài),促使這個生態(tài)形成,就是烏云白帽子團隊要做的事情。”烏云網上一名“白帽子”成員王音曾告訴新金融觀察記者,其在烏云網上發(fā)布各互聯網平臺漏洞報告,正是基于此目的。
王音在2014年3月,發(fā)布了一個編號為“54302”的漏洞報告,該報告指出攜程存有的用戶個人信息被泄露可能的漏洞,并提醒攜程予以修復。
近年來,國內外互聯網泄密事件接連發(fā)生。這些安全事件,也極大地催生、提振了烏云網為代表的白帽子社區(qū)的聲望。
這些白帽子社區(qū)聲稱,其致力于將“白帽子”和廠商聯系起來,讓廠商可以及時發(fā)現和修復問題,并對一些新興和頻發(fā)的安全問題進行預警。
但這同樣帶來了風險。
“漏洞披露這件事情既有利也有弊。好的地方在于,漏洞披露能夠促進企業(yè)及行業(yè)安全水平的提升。壞的地方是,由于漏洞報告多是公開發(fā)布在平臺上,企業(yè)在得知這一漏洞時,心懷不軌的黑客也能看到。”一位從事互聯網安全人士告訴新金融觀察記者,對于技術高手來說,可能一個細微的提示,就能為其提供突破漏洞的思路。在廠商還沒有修復漏洞前,黑客也很可能會利用披露的信息入侵成功。
當然,更難防范的一點在于,“白帽子”團隊中亦有可能有人利用一些網站的漏洞,干一些“壞事”。
小米云平臺安全與隱私部首席安全官陳洋此前就在烏云白帽大會上表示,“白帽”黑客一些善意的測試,企業(yè)比較歡迎。但有時這些“白帽”的測試,會導致數據泄露或破壞。有的黑客甚至打著白帽子的旗號,去拖庫、交易這些數據。
目前烏云、漏洞盒子先后以升級的理由,對外回應進入“暫停”狀態(tài),但真正原因尚不明確。
烏云運營團在公告中強調:一直以來,烏云致力于讓安全性作為用戶選擇產品的重要考量之一,促進企業(yè)更重視安全,讓更多人重視安全關注安全,從而營造出更好的安全生態(tài)。
黑與白“互聯網安全領域,水很深。” 從事網絡安全的杭州微觸科技有限公司CEO宋超向新金融觀察記者透露,事實上,國內很多互聯網安全公司既當兵也當賊。
針對烏云網本身,業(yè)界也有其他聲音指出,黑客們入侵相關網站盜取信息,然后只要在烏云網向廠商提交漏洞,就可以洗白。
在烏云等的暫時無法訪問背后,業(yè)內人士認為,這或與袁煒事件有關。
袁煒是烏云上的一名“白帽子”。去年12月份,他在烏云提交了其發(fā)現的婚戀交友網站世紀佳緣的系統(tǒng)漏洞。在世紀佳緣確認、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后,事情突然發(fā)生轉折。
世紀佳緣在一個多月后以“網站數據被非法竊取”為由報警,4月份,袁煒被司法機關逮捕。
世紀佳緣CEO吳琳光在知乎上解釋稱:“在漏洞修復過程中,我們發(fā)現有900多條有效數據被攻擊者獲取,出于對用戶數據和信息安全的擔憂,我們選擇了報警。”他同時表示,“在警方披露調查結果之前,我們并不知道提交漏洞的"白帽子"和攻擊者是同一個人。”
據了解,據業(yè)內人士透露,袁煒的做法,實際上是“白帽子”當中很正常和普遍的行為。
從法律上來說,“白帽子”的行為并不受法律保護,處于灰色地帶。但長期以來,“白帽子”的行為實際上是在幫助企業(yè)維護安全,只要沒有惡意行為,就不會被企業(yè)追究。
烏云大會上曾說過一句話:白色是最純粹的顏色,沒有一絲雜色,哪怕是掉在上面一?;尹c也能立馬呈現,所以白色的世界里不允許有半點污點。
但黑與白的區(qū)別只在一念間。
騰訊研究院2015年對外披露的數據顯示,在網絡黑色產業(yè)鏈中,相關黑產從業(yè)人員或已達到38萬余人,涉及6000多個大大小小的黑產團伙。
不可否認的是,“白帽子”們的出現確實幫助很多企業(yè)彌補了很多系統(tǒng)漏洞。但“白帽子”的衡量標準、行為準則以及邊界界定等,業(yè)內普遍認為,袁煒事件后,圍繞白帽子平臺以及人群的規(guī)則和規(guī)范亟須建立。