烏云、漏洞盒子的同時升級維護(hù)背后，被稱為“白帽子”的正面黑客長期以來游走于灰色邊界。有時，提交漏洞的“白帽子”和攻擊者，是同一人。

暫時維護(hù)

日前，有消息稱國內(nèi)知名漏洞報告平臺烏云網(wǎng)出現(xiàn)了無法訪問的情況，其后烏云發(fā)公告稱，原因是官方正在進(jìn)行升級。而同時，國內(nèi)另一漏洞報告平臺漏洞盒子宣布，暫停接受互聯(lián)網(wǎng)漏洞與威脅情報。

新金融觀察記者了解到，烏云網(wǎng)、漏洞盒子是國內(nèi)最知名的白帽子社區(qū)，而所謂“白帽子”即正面黑客，這個群體會及時發(fā)現(xiàn)各互聯(lián)網(wǎng)平臺漏洞，并提交報告，在此之前會提醒對方修復(fù)。

“當(dāng)用戶把安全性作為選擇企業(yè)產(chǎn)品的考量之一時，企業(yè)就會加大投入，開發(fā)人員就會有更多的資源和動力去處理安全問題，從而營造出越來越好的安全生態(tài)，促使這個生態(tài)形成，就是烏云白帽子團(tuán)隊要做的事情。”烏云網(wǎng)上一名“白帽子”成員王音曾告訴新金融觀察記者，其在烏云網(wǎng)上發(fā)布各互聯(lián)網(wǎng)平臺漏洞報告，正是基于此目的。

王音在2014年3月，發(fā)布了一個編號為“54302”的漏洞報告，該報告指出攜程存有的用戶個人信息被泄露可能的漏洞，并提醒攜程予以修復(fù)。

近年來，國內(nèi)外互聯(lián)網(wǎng)泄密事件接連發(fā)生。這些安全事件，也極大地催生、提振了烏云網(wǎng)為代表的白帽子社區(qū)的聲望。

這些白帽子社區(qū)聲稱，其致力于將“白帽子”和廠商聯(lián)系起來，讓廠商可以及時發(fā)現(xiàn)和修復(fù)問題，并對一些新興和頻發(fā)的安全問題進(jìn)行預(yù)警。

但這同樣帶來了風(fēng)險。

“漏洞披露這件事情既有利也有弊。好的地方在于，漏洞披露能夠促進(jìn)企業(yè)及行業(yè)安全水平的提升。壞的地方是，由于漏洞報告多是公開發(fā)布在平臺上，企業(yè)在得知這一漏洞時，心懷不軌的黑客也能看到。”一位從事互聯(lián)網(wǎng)安全人士告訴新金融觀察記者，對于技術(shù)高手來說，可能一個細(xì)微的提示，就能為其提供突破漏洞的思路。在廠商還沒有修復(fù)漏洞前，黑客也很可能會利用披露的信息入侵成功。

當(dāng)然，更難防范的一點在于，“白帽子”團(tuán)隊中亦有可能有人利用一些網(wǎng)站的漏洞，干一些“壞事”。

小米云平臺安全與隱私部首席安全官陳洋此前就在烏云白帽大會上表示，“白帽”黑客一些善意的測試，企業(yè)比較歡迎。但有時這些“白帽”的測試，會導(dǎo)致數(shù)據(jù)泄露或破壞。有的黑客甚至打著白帽子的旗號，去拖庫、交易這些數(shù)據(jù)。

目前烏云、漏洞盒子先后以升級的理由，對外回應(yīng)進(jìn)入“暫停”狀態(tài)，但真正原因尚不明確。

烏云運(yùn)營團(tuán)在公告中強(qiáng)調(diào)：一直以來，烏云致力于讓安全性作為用戶選擇產(chǎn)品的重要考量之一，促進(jìn)企業(yè)更重視安全，讓更多人重視安全關(guān)注安全，從而營造出更好的安全生態(tài)。

黑與白“互聯(lián)網(wǎng)安全領(lǐng)域，水很深。” 從事網(wǎng)絡(luò)安全的杭州微觸科技有限公司CEO宋超向新金融觀察記者透露，事實上，國內(nèi)很多互聯(lián)網(wǎng)安全公司既當(dāng)兵也當(dāng)賊。

針對烏云網(wǎng)本身，業(yè)界也有其他聲音指出，黑客們?nèi)肭窒嚓P(guān)網(wǎng)站盜取信息，然后只要在烏云網(wǎng)向廠商提交漏洞，就可以洗白。

在烏云等的暫時無法訪問背后，業(yè)內(nèi)人士認(rèn)為，這或與袁煒事件有關(guān)。

袁煒是烏云上的一名“白帽子”。去年12月份，他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞。在世紀(jì)佳緣確認(rèn)、修復(fù)了漏洞并按烏云平臺慣例向漏洞提交者致謝后，事情突然發(fā)生轉(zhuǎn)折。

世紀(jì)佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警，4月份，袁煒被司法機(jī)關(guān)逮捕。

世紀(jì)佳緣CEO吳琳光在知乎上解釋稱：“在漏洞修復(fù)過程中，我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取，出于對用戶數(shù)據(jù)和信息安全的擔(dān)憂，我們選擇了報警。”他同時表示，“在警方披露調(diào)查結(jié)果之前，我們并不知道提交漏洞的"白帽子"和攻擊者是同一個人。”

據(jù)了解，據(jù)業(yè)內(nèi)人士透露，袁煒的做法，實際上是“白帽子”當(dāng)中很正常和普遍的行為。

從法律上來說，“白帽子”的行為并不受法律保護(hù)，處于灰色地帶。但長期以來，“白帽子”的行為實際上是在幫助企業(yè)維護(hù)安全，只要沒有惡意行為，就不會被企業(yè)追究。

烏云大會上曾說過一句話：白色是最純粹的顏色，沒有一絲雜色，哪怕是掉在上面一粒灰點也能立馬呈現(xiàn)，所以白色的世界里不允許有半點污點。

但黑與白的區(qū)別只在一念間。

騰訊研究院2015年對外披露的數(shù)據(jù)顯示，在網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中，相關(guān)黑產(chǎn)從業(yè)人員或已達(dá)到38萬余人，涉及6000多個大大小小的黑產(chǎn)團(tuán)伙。

不可否認(rèn)的是，“白帽子”們的出現(xiàn)確實幫助很多企業(yè)彌補(bǔ)了很多系統(tǒng)漏洞。但“白帽子”的衡量標(biāo)準(zhǔn)、行為準(zhǔn)則以及邊界界定等，業(yè)內(nèi)普遍認(rèn)為，袁煒事件后，圍繞白帽子平臺以及人群的規(guī)則和規(guī)范亟須建立。