“黑”与“白”在一念之间
既然“白帽子”是做好事的好人,为何引发关注和争议?记者了解到,“白帽子”与“黑客”的区别往往就在一念之差;并且,即使“白帽子”是善意的漏洞挖掘,也可能给企业带来困扰。
“本公司求贤,年薪百万……”2016年7月,在一场“白帽子”交流大会上,一块大屏幕显示着参会者发布的弹幕。
“相比‘白帽子’的能力而言,年薪百万真的不算多。”参会的“白帽子”张某告诉记者,他们若是做“黑客”,那些技术带来的利益可能会是上千万元。
“与‘白帽子’相对应的是‘黑帽子’‘黑客’。”赵占领说,“黑客”发现安全漏洞后,利用漏洞从事破坏活动或非法谋取利益(行业内也称为“做黑产”——记者注)。
在朱巍看来,“黑客”与“白帽子”的行为看起来有相似性,但目的却截然相反。“黑客”的目的是为了赚钱,或是为了破坏网络安全。
某互联网企业安全部门负责人陈某,在多年前也是一个“白帽子”。他告诉记者,当时还没有“白帽子”“黑帽子”的说法,他喜欢研究互联网安全技术,发现了互联网企业的一些安全问题,当时没有什么途径通知厂商,只好自己想办法联系。他看到通讯录后,联系了对方公司的CEO。从那之后,他进入了互联网安全这个行业。
站在“白帽子”和厂商的角度,陈某有一些体会。陈某告诉记者,“白帽子”一开始大都是技术驱使,他们进行学习、发现问题、练习技术。很多时候,“白帽子”好奇是不是可以发现更多的问题,但很容易收不住手,一步步走下去就可能越走越远。
童姓民警讲述了一个案例,一个技术人员通过渗透入侵的方式进入一家网站并获取到了数据。此后,这些数据被他人加以利用,盗窃数百万元。
“成功进入某公司网络或者成功测试漏洞后,‘白帽子’可能看到很多东西。人都是有好奇心的,我再进一步看看,我再多获取一点儿数据。”童姓网警说,“白帽子”在进行漏洞挖掘时,首先要做到的就是自律。
赵占领认为,一些“白帽子”对法律不了解,不知道行为界限在哪里;另一些“白帽子”了解法律,但管不住自己的好奇心,他们获得数据并不是出于违法目的,而是自律出了问题。
倚重与防备之间尴尬生存
“互联网企业和‘白帽子’是相辅相成的,特别是互联网企业的安全部门非常倚重‘白帽子’。”陈某这样评价互联网企业与“白帽子”之间的关系,互联网企业有一项很重要的职责,就是保护好用户的信息安全。基于这一职责,互联网企业自身用各种各样的方法不断发现问题、解决问题,同时也欢迎“白帽子”做一些善意的测试,发现盲点,帮助厂商完善安全体系。
“白帽子”提升了行业和厂商对安全的重视程度,但陈某也坦言,互联网企业也有害怕“白帽子”的时候。有些“白帽子”经意不经意的测试行为,可能导致数据被破坏,甚至一些打着“白帽子”旗号的人会贩卖数据。“白帽子”对用户的数据产生侵犯,就可能触碰互联网企业的底线。
“白帽子”除了与互联网企业打交道,还会与漏洞披露平台产生联系。
赵占领说,“白帽子”和漏洞披露平台之间有两种关系。第一种是平台提供信息发布服务,平台是信息存储空间,“白帽子”把发现的漏洞信息提交给平台,平台按照自己的流程把信息提供给互联网企业,该公开的时候公开。在这种情况下,两者之间就是信息发布服务者和用户的关系。
中科院软件研究所研究员丁丽萍认为,目前漏洞披露平台大多采取用户自由提交漏洞信息的模式,在这种模式下,“白帽子”怎么定义、怎么审核这些提交漏洞的人?这些问题成为关键。漏洞披露平台很难保证每个用户没有在利益驱动下做违法的事情。
