2015年12月,袁煒提交了婚戀交友網(wǎng)站世紀佳緣的系統(tǒng)漏洞。隨后,世紀佳緣確認并修復了漏洞,按照慣例向漏洞提交者致謝。誰料此后事態(tài)發(fā)展急轉(zhuǎn)直下,今年1月18日,世紀佳緣向北京市公安局朝陽分局報案稱數(shù)據(jù)被竊取,4月12日,袁煒因涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪被批捕。
白帽子,黑帽子。兩者身份的轉(zhuǎn)換只是在一念之間。世紀佳緣舉報白帽子的案件使得白帽子再一次暴露在了公共視野下。白帽子發(fā)現(xiàn)漏洞并提交到底該不該索取報酬?在中國可能是一個特殊的例子。作為新生事物,我們從一開始就已經(jīng)默認白帽子幫助企業(yè)發(fā)現(xiàn)漏洞就應該索取報酬。但是換一種說法,白帽子幫助企業(yè)發(fā)現(xiàn)漏洞并沒有經(jīng)過企業(yè)的允許,在西方國家,甚至沒有白帽子發(fā)現(xiàn)漏洞然后索取報酬的說法。
殺毒軟件公司McAfee創(chuàng)始人John David McAfee,在8月16日360組織舉辦的第四屆中國互聯(lián)網(wǎng)安全大會(ISC 2016)接受采訪時,就認為白帽子發(fā)現(xiàn)安全系統(tǒng)中的漏洞而索取報酬是一種不正確的態(tài)度。
我認為發(fā)現(xiàn)系統(tǒng)中的問題,不僅僅是黑客的責任,而是所有人的責任。黑客通過幫助公司發(fā)現(xiàn)他們網(wǎng)站中的問題得到獎勵。如果黑客發(fā)現(xiàn)了一些漏洞和問題,這對我們來說意味著這是他們的責任,幫助我們發(fā)現(xiàn)系統(tǒng)中所有的問題。這就和海洋學家發(fā)現(xiàn)微生物,通過這種發(fā)現(xiàn)得到賞金是一樣的。這是錯誤的,不道德的,不能長期這樣。
你甚至不敢相信這段話是從40歲前生活一團糟——父親飲彈自盡,吸毒、酗酒;40歲后逆襲成為億萬富翁,又涉嫌謀殺,現(xiàn)在競選總統(tǒng)的 John McAfee 口中說出來的。但或多或少反映了中美對于白帽子幫助企業(yè)發(fā)現(xiàn)安全隱患的看法和做法上的不同。
McAfee 在自己的演講中舉例,很多企業(yè)公司忽視了黑客的力量。他有一位黑客朋友和波音的飛機制造商、美聯(lián)航進行了交流,警惕對方的航空控制系統(tǒng)存在安全漏洞,但是對方?jīng)]有當回事。他的黑客朋友只好親自示范自己是如何輕而易舉地黑進飛機的娛樂系統(tǒng),通過它關聯(lián)到駕駛系統(tǒng),從而獲得整架飛機的控制權(quán)。后來像美國的 FBI 進行了解釋,表示自己沒有惡意。
而360公司董事長周鴻祎認為白帽子作為一個在中國的新生事物,或許需要一定的規(guī)范和引導。愿意以一種善意的目光去看待他們,某種程度上是同為安全企業(yè)對于當下中國網(wǎng)絡安全環(huán)境并不健全抱有的一種期待。
現(xiàn)在所有的網(wǎng)絡安全問題的解決方案靠買一套硬件、一套軟件就可以高枕無憂的時代已經(jīng)過去了,不能忽略了人在網(wǎng)絡安全中的作用。周鴻祎這樣告訴記者。未來企業(yè)應該自己有意識地去請安全顧問。白帽子以后可以和企業(yè)去簽安全服務協(xié)議,得到企業(yè)的授權(quán)和許可后再進行漏洞的挖掘。而這種發(fā)現(xiàn)漏洞并提供解決方案的是可以收費的。同時,網(wǎng)絡安全管理上需要相應的法規(guī)范,問責制,讓一些單位必須在多長時間內(nèi)回應進行修復。而且提供這種顧問服務是免費的,不然很容易會被人誤解成一種敲詐。
從 McAfee 和周鴻祎兩人對于白帽子和挖掘漏洞是否該收費的看法的迥然不同,或許從側(cè)面能夠看出中國的白帽子和網(wǎng)絡安全,仍然有很長的一段路要走。而這條路絕不僅僅是企業(yè)對于網(wǎng)絡安全的重視和法律法規(guī)的規(guī)范,也包括白帽子自身的責任感。