白帽黑客上演无间道

乌云、漏洞盒子的同时升级维护背后，被称为“白帽子”的正面黑客长期以来游走于灰色边界。有时，提交漏洞的“白帽子”和攻击者，是同一人。

暂时维护

日前，有消息称国内知名漏洞报告平台乌云网出现了无法访问的情况，其后乌云发公告称，原因是官方正在进行升级。而同时，国内另一漏洞报告平台漏洞盒子宣布，暂停接受互联网漏洞与威胁情报。

新金融观察记者了解到，乌云网、漏洞盒子是国内最知名的白帽子社区，而所谓“白帽子”即正面黑客，这个群体会及时发现各互联网平台漏洞，并提交报告，在此之前会提醒对方修复。

“当用户把安全性作为选择企业产品的考量之一时，企业就会加大投入，开发人员就会有更多的资源和动力去处理安全问题，从而营造出越来越好的安全生态，促使这个生态形成，就是乌云白帽子团队要做的事情。”乌云网上一名“白帽子”成员王音曾告诉新金融观察记者，其在乌云网上发布各互联网平台漏洞报告，正是基于此目的。

王音在2014年3月，发布了一个编号为“54302”的漏洞报告，该报告指出携程存有的用户个人信息被泄露可能的漏洞，并提醒携程予以修复。

近年来，国内外互联网泄密事件接连发生。这些安全事件，也极大地催生、提振了乌云网为代表的白帽子社区的声望。

这些白帽子社区声称，其致力于将“白帽子”和厂商联系起来，让厂商可以及时发现和修复问题，并对一些新兴和频发的安全问题进行预警。

但这同样带来了风险。

“漏洞披露这件事情既有利也有弊。好的地方在于，漏洞披露能够促进企业及行业安全水平的提升。坏的地方是，由于漏洞报告多是公开发布在平台上，企业在得知这一漏洞时，心怀不轨的黑客也能看到。”一位从事互联网安全人士告诉新金融观察记者，对于技术高手来说，可能一个细微的提示，就能为其提供突破漏洞的思路。在厂商还没有修复漏洞前，黑客也很可能会利用披露的信息入侵成功。

当然，更难防范的一点在于，“白帽子”团队中亦有可能有人利用一些网站的漏洞，干一些“坏事”。

小米云平台安全与隐私部首席安全官陈洋此前就在乌云白帽大会上表示，“白帽”黑客一些善意的测试，企业比较欢迎。但有时这些“白帽”的测试，会导致数据泄露或破坏。有的黑客甚至打着白帽子的旗号，去拖库、交易这些数据。

目前乌云、漏洞盒子先后以升级的理由，对外回应进入“暂停”状态，但真正原因尚不明确。

乌云运营团在公告中强调：一直以来，乌云致力于让安全性作为用户选择产品的重要考量之一，促进企业更重视安全，让更多人重视安全关注安全，从而营造出更好的安全生态。

黑与白“互联网安全领域，水很深。” 从事网络安全的杭州微触科技有限公司CEO宋超向新金融观察记者透露，事实上，国内很多互联网安全公司既当兵也当贼。

针对乌云网本身，业界也有其他声音指出，黑客们入侵相关网站盗取信息，然后只要在乌云网向厂商提交漏洞，就可以洗白。

在乌云等的暂时无法访问背后，业内人士认为，这或与袁炜事件有关。

袁炜是乌云上的一名“白帽子”。去年12月份，他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后，事情突然发生转折。

世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警，4月份，袁炜被司法机关逮捕。

世纪佳缘CEO吴琳光在知乎上解释称：“在漏洞修复过程中，我们发现有900多条有效数据被攻击者获取，出于对用户数据和信息安全的担忧，我们选择了报警。”他同时表示，“在警方披露调查结果之前，我们并不知道提交漏洞的"白帽子"和攻击者是同一个人。”

据了解，据业内人士透露，袁炜的做法，实际上是“白帽子”当中很正常和普遍的行为。

从法律上来说，“白帽子”的行为并不受法律保护，处于灰色地带。但长期以来，“白帽子”的行为实际上是在帮助企业维护安全，只要没有恶意行为，就不会被企业追究。

乌云大会上曾说过一句话：白色是最纯粹的颜色，没有一丝杂色，哪怕是掉在上面一粒灰点也能立马呈现，所以白色的世界里不允许有半点污点。

但黑与白的区别只在一念间。

腾讯研究院2015年对外披露的数据显示，在网络黑色产业链中，相关黑产从业人员或已达到38万余人，涉及6000多个大大小小的黑产团伙。

不可否认的是，“白帽子”们的出现确实帮助很多企业弥补了很多系统漏洞。但“白帽子”的衡量标准、行为准则以及边界界定等，业内普遍认为，袁炜事件后，围绕白帽子平台以及人群的规则和规范亟须建立。

====================================分割线================================

本文转自d1net（转载）