今年6月下旬,第四届中国网络安全大会期间,一封来自某“白帽黑客”父亲的公开信在网络信息安全业内流传。这位“黑客父亲”称,其子袁炜是一名白帽黑客,去年12月初,白帽黑客袁炜通过乌云平台提交了一份关于世纪佳缘的漏洞报告,随后世纪佳缘确认并修复了该漏洞,并致谢乌云网和袁炜。但随后,世纪佳缘发现900条数据泄露并报案,3月8日,袁炜被警方带走,外界纷纷质疑是世纪佳缘“钓鱼”,而世纪佳缘回应称,袁炜与数据泄露有关。事后,袁炜妻子委屈且不平地跟记者哭诉:“明明是做了好事,怎么还被抓了?”
19日晚23时,网友“互联网的那件事”连发两条微博称,国内知名白帽子社区“乌云”网站显示无法访问。并爆“乌云出事了,据说被连锅端了!高层都被铐走了!”20日,乌云官网挂出公告称“乌云及相关服务将进行升级。我们将在最短的时间内,以最好的姿态回归。”坊间传言,乌云网停摆跟“袁炜事件”有关。
不管传闻是否可信,这两起事件的连续发酵使得白帽黑客一时间受到规模性的关注。袁炜不是第一个被抓的白帽黑客,乌云网也不是第一次被关闭。如果传言是真,他们到底冤不冤?
黑客不只有黒帽和白帽
一提起黑客,不少人都要皱起眉头:黑客嘛,攻击网站盗取信息呗。而其实,黑客并非都是黑的,细分起来还包括:黒帽、白帽、灰帽、红帽。黒帽大家都不陌生,其他几个则较少被提起。
白帽
白帽是指那些专门研究或者从事网络、计算机技术防御的人,他们通常受雇于各大公司或网络安全平台,通过攻击自己或者客户的系统来进行安全检查,使得企业及时修复漏洞,维护系统安全。严格意义上的白帽攻击系统但不窃取系统数据。
灰帽
灰帽与白帽相似,但与白帽不同的是,尽管他们的技术实力要远胜过一般的白帽,但灰帽通常并不受雇于那些大型企业,他们往往将黑客行为作为一种业余爱好或者是义务来做,希望通过他们的黑客行为来警告一些网络或者系统漏洞,以达到警示别人的目的,因此,他们的行为没有丝毫恶意。
红帽
红帽其实属于白帽范畴,但通常,红帽通常是在一个国家受的网络或者计算机受到国外其他黑客的攻击时,第一时间做出反应和回应,目的是维护国家信息安全。
简单来说,白帽是给企业服务的,红帽是为国家服务的,灰帽是为兴趣服务的。
白帽黑客为什么那么爱“多管闲事”?
在袁炜被抓后,其妻深感委屈和不平:明明是做了好事,为什么还被抓了?大多数人看来,世纪佳缘对白帽子袁炜的善意并不领情,而其实,袁炜并非第一个收到如此待遇与的白帽黑客。此前,白帽黑客提交漏洞被互联网公司忽略或被倒打一耙的现象不在少数,毕竟,不是所有的互联网公司都不喜欢看到自己的系统被攻破,更何况对方还把漏洞公之于众,所以很多白帽子忙活一场收获的并不是感谢,但众多的白帽黑客们依然乐此不疲。
一种白帽黑客仅仅是因为爱好(别问为什么,就是这么任性),不求名不求利,我乐意。所以那些被披露的互联网公司的感受根本不在他们的考虑范围内。
还有一种白帽黑客是受雇于漏洞平台,是职业白帽黑客。他们考提交漏洞赚钱,一个电脑小白经过急训半年,刚入行的白帽黑客年薪可达20万,而且这只是起始工资,以后每年递增。另外,参加黑客比赛还可获得一笔客观的奖金,据报道,腾讯和极棒今年5月份在澳门举办的黑客大赛,给冠军团队开出42万的高额奖金。所以,不菲的收入也是相当一部分白帽黑客前赴后继的原因。
白帽黑客并不“白”
白帽和企业之间缺乏信任
受雇于漏洞平台的白帽黑客和企业之间很难建立牢靠的信任关系。目前,白帽检测漏洞所使用的工具sqlmap跟黒帽攻击企业系统时所使用的工具是一样的,sqlmap是安全圈内常用的工具之一,它会自动将测试信息存储到本地的一个隐藏文件夹,其中也包括一些敏感信息其结果是:一方面企业难以分辨白帽检测和黒帽攻击,另一方面,这也使得白帽的检测具有可疑性。
其次,很多白帽黑客发现漏洞后会通过漏洞进入系统越界操作,攻击系统数据,以验证漏洞,然后再向厂商提交漏洞报告,这种行为被戏称为“洗白”。即使是已经在2012年和乌云网建立合作关系的世纪佳缘都不能容忍白帽黑客攻击数据的行为,更何况那些跟漏洞平台没有半毛钱关系的企业呢?
另外,还有一些“白帽黑客”根本就是打着白帽的名号行黑帽之实,这无疑给漏洞平台和企业之间本来脆弱的信任雪上加霜。
法律依据缺失
一直以来,白帽黑客都游走在法律边缘,一方面,白帽黑客的检测行为不受法律保护。只要是在没有获得企业的授权的情况下,白帽子自发挖漏洞的行为都是违法的,即便是通过漏洞平台,企业注册了该平台的账号;另一方面,目前还没有明确的相关法律对白帽黑客检测行为的底线进行界定,而袁炜被抓有可能是根据《刑法》第二百八十六条非法获取计算机信息数据罪的相关规定,即:“这一犯罪是指违反国家规定,对计算机信息系统中的存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为。”而根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取网络金融服务的身份认证信息10组以上,或其它身份认证信息500组以上的,认定为非法获取计算机信息系统数据。
平台监管缺失
很多平台对白帽黑客缺乏监管。因为大部分论坛注册用户和白帽黑客都不是实名,,平台对白帽黑客提交的信息也难以验证,黑客检测网站也是随机的。甚至,平台对白帽黑客的监管也缺乏法律依据。
有些黑客浑水摸鱼,借机攻击企业系统,还有些白帽子借漏洞对企业进行变相敲诈等等,这些都反应出平台监管的无力。
如果以上这些问题不能解决,如果传言是真,那么,那些被抓的白帽黑客和那些被关掉的漏洞平台也应该明白:这不是第一次,也不会是最后一次。
====================================分割线================================
本文转自d1net(转载)