著名的漏洞报告平台乌云网,一直是以“守护者”的角色的行径于互联网世界的,但其模式自诞生起就从不乏争议,有人视它为“云时代罩在信息小偷和互联网企业头上的一道警示咒”,也有人将它看作是随时可能会引爆的行业炸弹。而在今年7月底,先是有著名 “白帽子”袁炜被捕,而后乌云网包括创始人在内的“多名高管被抓”,平台被破停摆,接连的事件再次引发了人们对于“白帽子”黑客行为边界的大讨论。
此前,澎湃新闻的报道中,记录了一些业内人士的观点:
国内黑客界教父级人物、腾讯玄武实验室总监于旸:“可能很多人不知道:按《刑法》285条第2款及相关司法解释,入侵获取金融证券系统身份认证信息10条以上、一般系统500条以上,就可以判刑。”
软件从业人员“苏莉安”:“正邪的分界线也绝没有那么清晰:'白帽子'在未授权情况下对某网站或服务器的渗透测试,和真正准备盗取数据的黑客所做的准备工作是一模一样的。区别只在发现漏洞后的处置上,是报告给管理者,还是盗走数据卖掉。”
长期研究IT行业的律师赵占领: “如果最终判定构成犯罪,将对整个‘白帽子’群体造成极大的震慑,没有‘白帽子’还敢去给网站寻找、发现漏洞,这对于企业的商业利益以及用户的信息安全都是非常不利的。”
而在8月16日召开的互联网安全大会上,旗下拥有类似平台的360董事长周鸿祎也在接受南读记者采访时,发表了一些自己的看法。
他肯定了 “白帽子”的对于企业的重要性:
“whitehat的存在很重要,网络上大量的后门、漏洞是未知的,必须通过模拟攻防才能发现其弱点,就像军队的训练要分组对抗一个道理。”周鸿祎告诉南都记者,“但是他们并没有获得应有的尊重。”
“主要是许多网站安全意识淡薄,他们觉得自己只是个小网站,并没有敏感信息,没有被攻击的可能。”周鸿祎透露说,比如360补天之前发现了一个高校的漏洞,但技术方获悉后近半年时间也没修复。“一个同学在校园BBS的ID密码有可能是他支付宝的ID,这是个‘顺藤摸瓜’的过程。如果一个店家被发现有火灾隐患会被联防勒令整改,但网络安全的规则是缺失的。希望国家可以有一些政策规定,比如发现漏洞必须在多长时间响应及修复。”
同时也承认这其间的边界模糊,他打了个比方:“这好比要试试一个锁是不是好的,你要动手撬一撬试试,如果真撬开了,黑客会干坏事,而善意的黑客会把这个事情告诉厂商。这是区别,但‘撬’的这个动作确实存在‘灰色’。”
而为了规避掉“瓜田李下”的嫌疑,360补天的做法是自己来 “白帽子”,因为“在目前的游戏规则下,这种奖励与‘敲诈’确实界限比较模糊。”周鸿祎表示,“长远看,厂商需要为这样的劳动付出埋单。”现在厂商宁愿多买服务器硬件,也不愿雇一个安全人员进行长期监测。“但安全不是机器与机器斗,而人与人斗,永远没有一个方案可以一劳永逸,人的服务才是安全最好的解决方案,而这种咨询服务理应获得其收入。”
创新永远比规则快,现在的 “白帽子”存在灰色很正常,也需要国家尽快制定相关规则予以保护。“比如说统一管理模拟攻击,哪怕是发个资格证书也行。”
此外,周鸿祎还透露了私有化的目的:“在欧盟,如果你研制一种政府无法破译的加密软件被视为军火;我们在美国投资一家安全通信公司,而他们同样被美国政府要求备案秘钥;有一年波士顿爆炸案,当时犯罪嫌疑人只是网上搜索‘高压锅’,20分钟后就有反恐部队上门,如果没有谷歌之类搜索引擎配合怎么可能实现?而且现在军民融合是一个趋势,未来军工安全会是一个很大的市场,内资公司的身份更有利于我们切入这个市场。”
【“白帽子”的生存模式究竟是靠“奖励”还是“勒索”?周鸿祎是这么看的】相关文章: