在互聯網上,有這么一群愛好安全技術的“宅男”,他們也被稱作白帽子。
與“黑帽黑客”相反,白帽子是用黑客技術維護網絡安全的力量,他們往往會被各大互聯網公司雇傭,通過攻擊自己的公司以測試網絡和系統的性能。在他們眼中,似乎沒有攻不破的系統。
▲圖片來源網絡
一些曾經轟動社會的泄露事件,如13萬條鐵路售票網站網站12306用戶數據泄露、如家酒店等開房信息泄露、騰訊7000萬QQ群用戶數據泄露,均最早在烏云網上由白帽子報告并引起平臺方的重視。
不過,白帽子平常活躍的國內兩大漏洞報告平臺居然在同一天無法訪問,讓不少人將其與去年12月發生的一起事件聯系到一起……
兩大漏洞報告平臺同一天無法訪問
19日晚間,微博大V爆料,國內知名漏洞報告平臺烏云出現無法訪問,因管理團隊接受整頓。
19日晚間,記者曾第一時間致電聯系了烏云社區負責人方小頓,但對方電話處于無人接聽狀態,無法確認是否接受整頓的說法是否屬實。
不過,20日上午,烏云發布公告稱網站正在升級,并稱微博大V的爆料為謠傳。烏云運營團隊在官網聲明中稱:
烏云及相關服務將進行升級,將在最短的時間內回歸……不管是從前,現在,還是未來,我們都將堅持這么做下去。
據北京一位白帽黑客透露,日常活躍在烏云上的白帽子至少有數千人。
無獨有偶的,同為白帽社區的上海斗象信息旗下白帽子社區“漏洞盒子”同樣在19日宣布系統維護。有媒體報道時稱,漏洞盒子同樣在按照相關部門的要求接受整頓。
但斗象信息科技在20日上午發布緊急公告,否認了這一說法。其公告稱:
旗下漏洞盒子平臺業務運營按照年度計劃既定進行,目前全線產品業務運轉正常,與其他事件無任何關聯。
20日下午,斗象信息科技市場副總裁李勇對記者澄清表示:
我們是躺著中槍了,我們旗下網站及業務目前沒有受到任何事件影響,正按照此前年度工作既定計劃進行正常運營與推進,關于公司進行網站維護升級的事情,是斗象信息科技將聯合國家相關政府管理部門進行相關安全生態體系建設的籌備之事而展開的,屬于早就既定的工作事項。
在網站維護升級的過程中,暫停該項目相關漏洞與威脅情報接受。整個升級時間大概需要兩三天,之后恢復運營。
針對烏云停運升級事件,多位白帽子黑客對記者表示,猜測此次停運升級可能與去年12月份在烏云社區發生的“袁煒事件”有關聯。不過這一說法未得到烏云的回應。
據了解,袁煒是烏云社區上一名白帽子,去年12月份,他在烏云提交了其發現的婚戀交友網站世紀佳緣的系統漏洞。
在世紀佳緣確認、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后,事情突然發生轉折。世紀佳緣在一個多月后以“網站數據被非法竊取”為由報警,4月份,袁煒被司法機關逮捕。
▲圖片來源:央廣網
世紀佳緣CEO吳琳光當時回應稱:
在漏洞修復過程中,我們發現有900多條有效數據被攻擊者獲取,出于對用戶數據和信息安全的擔憂,我們選擇了報警。
在警方披露調查結果之前,我們并不知道提交漏洞的白帽子和攻擊者是同一個人。
游走在“黑白”之間缺少監管
“袁煒事件”讓白帽子群體受到廣泛關注。今年5月份,騰訊聯合白帽社群極棒在澳門組織的黑客大賽上,數十款家用網絡盒子被瞬間攻破,甚至微軟平板surface防火墻也在數分鐘內被攻破。
但是在白帽子群體中不乏動機不純的“異類”。在維護安全的另一面,他們的存在在很多企業看來是威脅,從法律上來說,他們的行為并不受法律保護,處于灰色地帶。
前述北京的白帽黑客告訴記者:
真正意義上的白帽子是不依靠提交漏洞賺錢的,我們有自己的工作,提交漏洞純屬是業務愛好。
職業的白帽子也有獲取收入的規范途徑,主要是IT企業委托授權的眾測,另外目前各種黑客比賽會提供豐厚的獎金,比如騰訊和極棒今年5月份在澳門舉辦的黑客大賽,冠軍團隊共獲得了42萬獎金。
但是這個群體里同時存在很多渾水摸魚的人,以白帽子的名義做黑帽黑客的事,就像電影《無間道》里演的一樣,一念之差就可能走向歧途了。
常規給企業網站做安全監測項目,一般只有幾萬塊錢,和做黑產比起來真的太辛苦了。去年,有個白帽子挖到某家大型互聯網公司的漏洞,然后郵件給廠商,大致意思是我挖到你們漏洞了,付給我點辛苦費吧,不然賣給黑產我也能賺不少錢,然后這個人被舉報就被抓了。
“很多平臺對這些白帽子是缺乏監管的。因為大部分論壇注冊用戶都不是實名,不知道賬號背后是誰;平臺也不知道白帽子黑客們提交的內容是不是全部內容,黑客檢測網站也是隨機的。而且,平臺是否需要對這些白帽子做監管?目前也沒有法律要求。”上述白帽子表示。
京公網安備 11010502049343號