QQ、微信被盗,某个网站的帐户密码泄露,个人身份证、电话等信息被泄露……这背后几乎都离不开黑客。在IT世界里,黑客分为两种,一种是“黑客”,把系统漏洞兜售到黑市上,谋取巨额利益。另一种则是“正面黑客”,把系统漏洞提交给厂商,让厂商及时修复漏洞从而保护用户信息。两者有一个共同点,他们都能够发现计算机和网络系统上的漏洞。但在相应法规尚未完善的情况下,这一共同点也让两者之间的界限显得有点模糊。
近日,随着袁炜的被捕,两者之间的界限争论再度成为风口浪尖上的话题。随后,两大漏洞报告平台之一的乌云网昨日开始也陷入停摆危机。尽管乌云网官方口径称“进行升级”,但有不愿意透露姓名的知情人士向南都记者透露,“乌云网有十几个高管被抓。”然而直至昨天截稿时,这一消息尚未得到官方证实。“正面黑客”究竟是什么人?他们日常所从事都是什么工作?带着对这一行业的神秘猜想,南都记者昨天联系采访了多名IT世界里的“正面黑客”高手,试图还原他们最真实的生存状态。
“乌云确实出事了”?
乌云被认为是国内最早的漏洞报告平台,成立于2010年,众多“正面黑客”聚集其中,并曝出了此前多个互联网平台信息泄漏事件,如此前的铁道部官网12306用户数据泄露一事,为乌云网赢得了公众不少好感。
南都记者昨日下午再次登陆发现,打开乌云网页后出现的是升级公告。公告中提到,“为了更好地向大家提供服务,乌云及相关服务将进行升级。我们将在最短的时间内,以最好的姿态回归。”乌云网同时在公告最后指出,“与其听信谣言,不如相信乌云。”不过,有不愿意透露姓名的知情人士向南都记者透露,“乌云确实出事了,有十几个高管被抓了。”但对于更多细节,该人士拒绝进一步透露。针对对上述种种消息,乌云官方在接受南都记者采访时则未予置评。
在业内看来,乌云事件应该和此前袁炜被捕一事息息相关。不久前,袁炜向乌云平台提交某婚恋网站的漏洞报告,乌云平台将该漏洞告知并得到了修复。之后该婚恋网站针对用户信息被窃取一事报案,结果被抓的人却是袁炜,今年4月12日,北京市朝阳区人民检察院已正式批准逮捕袁炜。
此事件后,南都记者登录互联网安全测试另一大平台漏洞盒子发现,该页面可以正常打开,但旗下“漏洞黑板报”网页则打不开,其官方公告里的“热门漏洞”也变成404页面。漏洞盒子方面昨日向南都记者表示,所有业务都没有受到任何乌云事件的影响,公司目前准备做一些制度上的改版,也是在正常的计划安排中。
游走于法律边缘
两种黑客之间,实际上仅有一线之隔,都游走在法律的边缘。安全专家李夏(化名)向南都记者表示,“黑客”是把漏洞卖到黑市上,谋取巨额利益。“正面黑客”是把漏洞提交给厂商,让厂商及时修复漏洞保护用户信息。
不过,有IT业资深人士对南都记者表示,乌云的模式存在一定弊端。一般乌云与漏洞盒子两家平台发布一则漏洞信息后,一段时间内如果没有厂商认领,他们就会选择直接公布漏洞。“对于我们而言肯定是好事,可以学习他的思路,但对厂商就不一定了。”有一不愿透露姓名的“正面黑客”向南都记者透露,他之前曾发现某金融公司的漏洞,但最后无人认领,一个半月后被发布了。“从我个人角度来说,我是不希望这个漏洞被一些有心人利用的,所以我就跟乌云的人协调了一下,把关键信息打上了马赛克。”
同样是在未授权情况下对某网站或服务器进行渗透测试,这样做是否合法合规?李夏向南都记者坦言,其实都是“不合规的,但行业里很多人都会这么做。”
按照上述业内资深人士的说法,“正面黑客”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以处于一个“不算违法”的情况。一般漏洞检测有两种情况,一是厂商发起众测,并根据漏洞大小予以打赏;一种是自发上报,引起厂商或者漏洞平台的注意,换取积分可以在漏洞商城换一些极客商品,或者有厂商会自发打赏,这个价格没有标准。
二者各成圈子
和“黑客”贩卖网络漏洞获得的高额收入相比,“正面黑客”更多被认为是“情怀主义”。猎豹移动安全专家李铁军(微博)向南都记者介绍说,在国外,微软、谷歌(微博)等科技公司都会给“正面黑客”专门的奖励,并且加上荣誉公告。“价格都在几千美元到几万美元不等,”李铁军说,这当然不能与“黑客”相比,一个高危漏洞在黑市上卖出上百万美元都很正常。
“(”正面黑客“)不能沾那些事情,一旦沾了的话,就回不了头。”李夏特别强调。
李铁军也指出,“其实很多数据库泄露都是撞库等方式泄露的,这是数据库本身已经暴露的基础上造成的,根本不需要黑客这种技术功底。”
腾讯科恩实验室成员陈良表示,近几年来网络信息泄漏事件频发,加上信息安全从业人员水平的提升,使得“正面黑客”开始被当成正当职业对待,而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示,公开场合内二者会有技术、研究成果的交流,但也仅限于此,“比如说像Q Q盗号的人,他们有自己的圈子,他们交流不走国内的渠道,他们找一些很偏的通讯软件进行沟通。”邓欣说。
名词解释
●正面黑客:
IT行业内指有能力识别计算机或者网络系统中存在的安全漏洞,但不做非法用途,而是告知企业修复漏洞,之后再公布细节的人,和黑客仅有一线之隔。被喻为网络世界中的“超级英雄”。
●乌云网:
漏洞报告平台,此前铁道部官网12306用户数据泄漏一事便是由该平台进行公布,提醒用户更改密码,因而赢得用户不少好感。
====================================分割线================================
本文转自d1net(转载)