精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

在互聯網世界，烏云網一直扮演著“守護者”角色，但烏云網模式自誕生起，就一直行走在灰色地帶，因而備受爭議。烏云網此次危機，正是這一灰色地帶的風險爆發所致。方小頓顯然沒有意識到事態的嚴重性，前不久，他在朋友圈發“跑路”信息時，還配上了一組做鬼臉的微信表情。以IT男為主的好友群體紛紛點贊，并配合字里行間的輕松姿態，附上留言：“方小遁”。

　　“我出去躲兩天”

與此同時，南方周末記者從多處信源獲悉，包括方小頓在內的“多名高管被抓”，烏云網被迫停擺。

方小頓網絡ID叫“劍心”，是烏云網的創始人之一，也是赫赫有名的“白帽子”黑客。

在黑客江湖，一部分群體通過攻擊系統漏洞獲取數據，再把信息兜售至黑市牟利，被稱為“黑帽子”黑客；另一部分是“正面角色”，號稱只是將檢測出的bug提交至報告平臺進行公布，提醒、倒逼企業注重用戶的數據安全，被稱為“白帽子”黑客。

一般而言，白帽子先將自己發現的漏洞提交至漏洞報告平臺，審核通過后會粗略發布漏洞情況，并等待涉事單位認領。如若幾十天后仍沒有機構聯絡平臺，將進一步公布漏洞細節內容。一直以來，烏云網以這種方式公布信息，敦促企業加強安全意識。

“往往不是黑帽子或者白帽子，而是斑馬，白天黑，晚上又洗白。”付德明對南方周末記者說，漏洞提交前，黑帽子與白帽子的身份界定模糊，提交后公布環節的流程不規范，造成烏云網模式自誕生起，就在法律與道義上備受爭議。付德明在一家世界500強公司做企業網絡安全防衛工作。

此番烏云網被查事件在業界造成震蕩，再次引發了一場網絡倫理的討論。

“這次是攤上更大的事兒了”

“這次是踩上雷了，幫不了他們（烏云網）了。”一位與烏云網有業務往來的IT人士劉萍告訴南方周末記者。

劉萍介紹，實際上烏云網已經被查處，多名高管也“被抓”。

7月19日，另一家互聯網測試平臺漏洞盒子宣布，暫停接受互聯網漏洞與威脅情報。而且，“白帽子”黑客報告漏洞的頁面已經無法查看。漏洞盒子也發布了公告，稱“要對流程制度、規范等進行梳理”。

烏云網成立于2010年5月份。在一期視頻演講節目中，方小頓回憶，自己在百度做網絡安全方面的工作時發現，國內除了BAT等幾個巨頭之外，很少有公司有強烈的網絡安全意識，并且愿意耗費時間、精力保護用戶的數據信息。所以，有了成立一家平臺，敦促企業注重安全的念頭。

以網絡ID“劍心”為身份，在互聯網黑客江湖小有名氣的方小頓，聯合幾位同道者，成立了烏云網。其宗旨是成為“自由平等”的漏洞報告平臺，為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。

據《電腦報》報道，烏云網的成名戰發生在2011年年底。當年11月，烏云網根據白帽子提供的各種材料，連續披露京東商城、支付寶、網易等互聯網巨頭存在高危漏洞，12月29日更是指出支付寶1500萬至2500萬用戶資料泄露，以及一家政務網444萬用戶信息泄露。

此后，烏云網又相繼披露出酒店開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊7000萬QQ群用戶數據泄露等一系列重大的漏洞事件。

中科院軟件研究院博導丁麗萍曾參加過烏云網組織的圓桌會議。她對南方周末記者說，一直以來，烏云網爭議的焦點是，有沒有權利檢測別人的漏洞，以及有沒有權利公開漏洞——即便有著高尚的出發點。

直到2015年12月，在烏云網上提交漏洞的“白帽子”第一次“出事”。2015年12月，杭州的IT人士袁煒，在烏云提交了他發現的世紀佳緣網站系統漏洞。

在世紀佳緣確認、修復了漏洞，并按烏云平臺慣例向漏洞提交者致謝后，事態竟急轉直下，世紀佳緣不久后以“網站數據被非法竊取”為由報警。2016年4月份，袁煒被司法機關逮捕。

袁煒妻子戴女士告訴南方周末記者，袁煒是嚴格按照烏云網的發布流程提交的漏洞，但是世紀佳緣在追究責任時，“繞過了烏云，以及袁煒白帽子身份”。她說，袁煒的案子目前仍未出結果。

有人將此次烏云網停擺與世紀佳緣漏洞相聯系，認為是上次事件的發酵。但是付德明予以否認。

“探地雷”與“撬保險箱”

根據此前發布的《烏云網漏洞審核機制改進公告》，白帽子黑客發現某處漏洞后，向烏云網提交漏洞，烏云網審核確認后，會把漏洞的概況在烏云平臺上公布。

其中，普通漏洞披露流程為5天廠商確認期，10天向核心白帽子公開其漏洞細節，20天向普通白帽子公開，30天向實習白帽子公開。直到45天之后，企業仍未主動認領漏洞，則會向公眾公開其細節。

付德明認為，這其中的每一個環節的正當性，都值得深入探討。

他舉例說，有相應技術的黑客們，“黑”進一家企業的系統并發現漏洞，相當于一個江洋大盜撬開了銀行的保險柜。按照白帽子、黑帽子約定俗成的分野，黑帽子黑客會直接將保險柜中的財寶席卷一空；但是白帽子黑客的做法，是并不偷拿保險柜中的“一針一線”，而是好心好意告訴銀行，保險柜的鎖不夠安全，應該及時加固，更有甚者，會告訴銀行加固的方法。

付德明說，理論上看，即便銀行大門敞開，外人也沒有權利貿然闖入。

退一步講，如果銀行的保險柜失竊，丟沒丟東西，只要清點一下數目即可，但是數字化的系統對于“闖入者”性質認定就極為復雜，因為數據有著極其容易復制的特性，偷看數據、復制數據都可以非常隱蔽地進行。

“數據沒有丟失，但不代表沒有被偷看、復制。”他說。

“白帽子黑客說，我只是發現了漏洞，沒有偷看，更沒有復制，這在技術上比較難以界定。”丁麗萍兼任中國電子學會計算機取證專家委員會主任，她說，電子取證在技術上極為困難，因為類似于截屏這樣的行為，很難去追查。

于是，黑客們將一家企業的漏洞提交給烏云網平臺之前，可操作的空間便已經很大。“說不定已經把數據賣了個遍，轉了幾手之后，再提交的。”付德明認為，在提交漏洞第一個環節發生之前，很難將白帽子與黑帽子的性質區分開來。

專注于網絡安全領域的盤古網絡技術有限公司創始人韓爭光告訴南方周末記者，他本人并不喜歡“撬保險柜”的比喻，因為這帶著一種偏見，認定黑客們一定會做壞事。但是實際上，確實有很多具有“俠客”精神的白帽子，只是單純為了發掘漏洞，再提醒廠商修補漏洞，并不泄露信息。

“一些白帽子提醒企業后，只能得到很微小的獎勵，這與他們的勞動很不成正比。”韓爭光說。

相較于“撬保險柜”，他更喜歡用“排地雷”的比喻。韓爭光認為，囿于開展業務的需求，系統內存儲著大量的用戶信息，這屬于公眾利益的一部分，企業有義務、有責任，對這些信息的安全負責。

但是事實上，絕大部分企業安全意識淡薄，并不怎么把用戶的信息安全放在心上。白帽子檢測系統漏洞的行為，相當于排除地雷，倒逼企業不斷修復、加固系統，起到了維護公眾利益的作用。

世紀佳緣選擇報警之后，在業界引起較大反響。很多人認為，堵住烏云網平臺這一正常途徑后，只會逼迫白帽子轉黑，最后損害的還是用戶利益。

但是，排除白帽子提交漏洞之前的動機不論，付德明認為，烏云模式當中，審核、發布漏洞的流程也值得商榷。

他分析說，白帽子提交了漏洞之后，平臺要對這一漏洞的真實性進行審核，而審核的環節，其實是對系統的該處漏洞，又“攻擊”了一次。

審核通過后，平臺會將一部分漏洞通知企業，提醒其加強防范。但是也有大部分漏洞提醒直接發在平臺上，等待企業認領。

“所謂的認領，不是主動找企業，而是等著企業主動找上門。”付德明說，在這一環節，一些安全意識較強的互聯網巨頭，會有專門的安全職位負責在不同平臺巡視，所以能夠及時發現公布出來的安全隱患，早做溝通，予以解決。

但是絕大部分企業并不知道白帽子在平臺上作出了提醒，“甚至不知道烏云網的存在。”所以即便是后來傾向于認為白帽子是在做好事，也沒有趕過去認領，因為這一環節只留給企業5天時間。

過了5天的認領期限，平臺會分批次向不同等級白帽子公布漏洞的大概情況。“這個時候，還不會公布細節，只是一些大概情況。”付德明說，到了這一步驟，情況變得糟糕起來，因為白帽子數量很多，即便不公布細節內容，也會有數量龐大的黑客開始在公布的系統提醒上挖掘，“像蒼蠅一樣，總會找出漏洞在哪”。

所以，從企業利益的角度出發，發現漏洞越及時，挽回損失的余地越大。

如若在這一環節當中，仍未見企業現身，45天后，烏云網會在平臺上公布漏洞的細節內容。

“告訴你哪里門沒鎖，這實際上等于公布數據信息了。”付德明認為，平臺沒有權利公布數據內包含的用戶信息。

對此，韓爭光分析，烏云網的提交、審核、發布流程，借鑒了國外的經驗。之所以最后會有公開發布漏洞細節的環節，是為了敦促企業加強安全防范。“企業應該加強安全意識，保護好用戶的信息”。

誰來保障用戶信息？

《南方周末》曾經報道，2015年4月，一位ID名為“路人甲”的網友在蘇寧的實體店里購買了幾件電器后不久就多次接到400開頭的詐騙電話。他隨后對蘇寧系統進行測試，挖出了蘇寧信息泄露的漏洞。

蘇寧易購方面表示，已向南京玄武區公安局報案，并會全力配合警方調查，但是不會對受害者進行賠償。

韓爭光認為，白帽子之所以有存在的價值，是因為企業信息泄露后付出的代價很低，才需要白帽子們敦促企業，加強整個網絡世界的安全級別。

在這個問題上，付德明部分同意韓爭光的看法。他認為，正常的邏輯應該是，用戶把珠寶存在銀行保險柜里被偷了，用戶不會自己去抓小偷，只需要銀行賠償損失即可。

如果網絡世界也遵循這一條規則，企業將會對因為保管用戶信息不嚴密導致信息泄露付出慘痛代價，自然而然會加強安全防御，白帽子便也就沒有存在的必要。

“銀行不會找小偷測試防盜門牢固不牢固，這個不用你提醒。”付德明說。

知名IT與知識產權律師趙占領，曾代理過蘇寧易購信息泄露案子。他對南方周末記者介紹，理論上企業要為泄露用戶數據承擔責任，但是數據信息在技術上難以界定，“企業會說，這些數據不是在他們這里泄露的，或者說，即便是他們泄露的，但是詐騙案不是利用這些數據進行的。”

趙占領介紹，全國范圍內，用戶狀告企業泄露個人信息的案件并不多，勝訴的更少。原因在于，用戶自身缺乏權利意識，再加上訴訟成本很高，且企業賠償的案例并不多。“發生過很多起酒店開房信息泄露的事件，但是起訴的不多。”

丁麗萍介紹，新修訂的刑法286條，明確了企業保護用戶個人信息的責任主體。如果能夠認真執行，企業漠視網絡安全的情景應該會慢慢改變。

（應受訪者要求，付德明、劉萍為化名）