2016年7.20号,国内最大的白帽子交流平台被迫关闭 。在互联网世界,乌云网一直扮演着“守护者”角色,但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议 。乌云网此次危机,正是这一灰色地带的风险爆发所致 。
文章插图
白帽子袁炜因在乌云网提交世纪佳缘漏洞被抓后,乌云网再一次陷入风波 。不仅乌云网站无法打开,有传闻称,乌云高管也被抓 。
在黑客江湖,一部分群体通过攻击系统漏洞获取数据,再把信息兜售至黑市牟利,被称为“黑帽子”黑客;另一部分是“正面角色”,号称只是将检测出的bug提交至报告平台进行公布,提醒、倒逼企业注重用户的数据安全,被称为“白帽子”黑客 。一般而言,白帽子先将自己发现的漏洞提交至漏洞报告平台,审核通过后会粗略发布漏洞情况,并等待涉事单位认领 。如若几十天后仍没有机构联络平台,将进一步公布漏洞细节内容 。一直以来,乌云网以这种方式公布信息,敦促企业加强安全意识 。但是“往往不是黑帽子或者白帽子,而是斑马,白天黑,晚上又洗白 。”黑帽子与白帽子的身份界定模糊,提交后公布环节的流程不规范,造成乌云网模式自诞生起,就在法律与道义上备受争议 。
【漏洞平台被迫关闭,白帽子被抓,这些黑客到底动了谁的蛋糕】直到2015年12月,在乌云网上提交漏洞的“白帽子”才第一次“出事” 。2015年12月,杭州的IT人士袁炜,在乌云提交了他发现的世纪佳缘网站系统漏洞 。
在世纪佳缘确认、修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久后以“网站数据被非法窃取”为由报警 。2016年4月份,袁炜被司法机关逮捕 。但是袁炜是严格按照乌云网的发布流程提交的漏洞,世纪佳缘在追究责任时,“绕过了乌云,以及袁炜白帽子身份” 。也就是说,攻击网站者,就没有什么所谓的白帽子一说,但凡攻击网站,就属于违法行为,这也就是为什么红客联盟解散、乌云被关了 。白帽子一直得不到承认,黑客技术或者说漏洞挖掘,就一直不能上台面 。
“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜 。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法 。理论上看,即便银行大门敞开,外人也没有权利贸然闯入 。退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可,但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行 。
但是事实上,绝大部分企业安全意识淡薄,并不怎么把用户的信息安全放在心上 。白帽子检测系统漏洞的行为,相当于排除地雷,倒逼企业不断修复、加固系统,起到了维护公众利益的作用 。
世纪佳缘选择报警之后,在业界引起较大反响 。很多人认为,堵住乌云网平台这一正常途径后,只会逼迫白帽子转黑,最后损害的还是用户利益 。
但是,排除白帽子提交漏洞之前的动机不论,乌云模式当中,审核、发布漏洞的流程也值得商榷 。白帽子提交了漏洞之后,平台要对这一漏洞的真实性进行审核,而审核的环节,其实是对系统的该处漏洞,又“攻击”了一次 。审核通过后,平台会将一部分漏洞通知企业,提醒其加强防范 。但是也有大部分漏洞提醒直接发在平台上,等待企业认领 。“所谓的认领,不是主动找企业,而是等着企业主动找上门 。”在这一环节,一些安全意识较强的互联网巨头,会有专门的安全职位负责在不同平台巡视,所以能够及时发现公布出来的安全隐患,早做沟通,予以解决 。
但是绝大部分企业并不知道白帽子在平台上作出了提醒,“甚至不知道乌云网的存在 。”所以即便是后来倾向于认为白帽子是在做好事,也没有赶过去认领,因为这一环节只留给企业5天时间 。过了5天的认领期限,平台会分批次向不同等级白帽子公布漏洞的大概情况 。“这个时候,还不会公布细节,只是一些大概情况 。”到了这一步骤,情况变得糟糕起来,因为白帽子数量很多,即便不公布细节内容,也会有数量庞大的黑客开始在公布的系统提醒上挖掘,“像苍蝇一样,总会找出漏洞在哪” 。
推荐阅读
- 收益差,不是你文笔不好,而是你不知道这6个投稿平台
- 新手适合做的自媒体平台?做自媒体的工具
- 快充|小米平板6曝光:双处理器平台、升级120W快充
- 日本乐天怎么买?日本乐天怎么买东西
- 眼睛|随手拍了一下 男子被迫摘除眼球!
- PS4|《仙剑奇侠传7》8月登陆PS4/5平台!角色介绍:魁予超魅惑
- 教育saas平台有哪些?教育培训saas管理系统
- 电商平台的功能和作用介绍 什么是电子商务平台
- 芯片|哈啰电动车发布自研智能平台图灵T30:充电15分钟 能骑70公里
- 拼多多如何申请平台介入退款?拼多多买家退款不退货,申请平台介入