2015年12月,袁煒提交了婚戀交友網(wǎng)站世紀(jì)佳緣的系統(tǒng)漏洞。隨后,世紀(jì)佳緣確認(rèn)并修復(fù)了漏洞,按照慣例向漏洞提交者致謝。誰料此后事態(tài)發(fā)展急轉(zhuǎn)直下,今年1月18日,世紀(jì)佳緣向北京市公安局朝陽分局報(bào)案稱數(shù)據(jù)被竊取,4月12日,袁煒因涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)犯罪被批捕。
白帽子,黑帽子。兩者身份的轉(zhuǎn)換只是在一念之間。世紀(jì)佳緣舉報(bào)白帽子的案件使得白帽子再一次暴露在了公共視野下。白帽子發(fā)現(xiàn)漏洞并提交到底該不該索取報(bào)酬?在中國可能是一個特殊的例子。作為新生事物,我們從一開始就已經(jīng)默認(rèn)白帽子幫助企業(yè)發(fā)現(xiàn)漏洞就應(yīng)該索取報(bào)酬。但是換一種說法,白帽子幫助企業(yè)發(fā)現(xiàn)漏洞并沒有經(jīng)過企業(yè)的允許,在西方國家,甚至沒有白帽子發(fā)現(xiàn)漏洞然后索取報(bào)酬的說法。
殺毒軟件公司McAfee創(chuàng)始人John David McAfee,在8月16日360組織舉辦的第四屆中國互聯(lián)網(wǎng)安全大會(ISC 2016)接受采訪時,就認(rèn)為白帽子發(fā)現(xiàn)安全系統(tǒng)中的漏洞而索取報(bào)酬是一種不正確的態(tài)度。
我認(rèn)為發(fā)現(xiàn)系統(tǒng)中的問題,不僅僅是黑客的責(zé)任,而是所有人的責(zé)任。黑客通過幫助公司發(fā)現(xiàn)他們網(wǎng)站中的問題得到獎勵。如果黑客發(fā)現(xiàn)了一些漏洞和問題,這對我們來說意味著這是他們的責(zé)任,幫助我們發(fā)現(xiàn)系統(tǒng)中所有的問題。這就和海洋學(xué)家發(fā)現(xiàn)微生物,通過這種發(fā)現(xiàn)得到賞金是一樣的。這是錯誤的,不道德的,不能長期這樣。
你甚至不敢相信這段話是從40歲前生活一團(tuán)糟——父親飲彈自盡,吸毒、酗酒;40歲后逆襲成為億萬富翁,又涉嫌謀殺,現(xiàn)在競選總統(tǒng)的 John McAfee 口中說出來的。但或多或少反映了中美對于白帽子幫助企業(yè)發(fā)現(xiàn)安全隱患的看法和做法上的不同。
McAfee 在自己的演講中舉例,很多企業(yè)公司忽視了黑客的力量。他有一位黑客朋友和波音的飛機(jī)制造商、美聯(lián)航進(jìn)行了交流,警惕對方的航空控制系統(tǒng)存在安全漏洞,但是對方?jīng)]有當(dāng)回事。他的黑客朋友只好親自示范自己是如何輕而易舉地黑進(jìn)飛機(jī)的娛樂系統(tǒng),通過它關(guān)聯(lián)到駕駛系統(tǒng),從而獲得整架飛機(jī)的控制權(quán)。后來像美國的 FBI 進(jìn)行了解釋,表示自己沒有惡意。
而360公司董事長周鴻祎認(rèn)為白帽子作為一個在中國的新生事物,或許需要一定的規(guī)范和引導(dǎo)。愿意以一種善意的目光去看待他們,某種程度上是同為安全企業(yè)對于當(dāng)下中國網(wǎng)絡(luò)安全環(huán)境并不健全抱有的一種期待。
現(xiàn)在所有的網(wǎng)絡(luò)安全問題的解決方案靠買一套硬件、一套軟件就可以高枕無憂的時代已經(jīng)過去了,不能忽略了人在網(wǎng)絡(luò)安全中的作用。周鴻祎這樣告訴記者。未來企業(yè)應(yīng)該自己有意識地去請安全顧問。白帽子以后可以和企業(yè)去簽安全服務(wù)協(xié)議,得到企業(yè)的授權(quán)和許可后再進(jìn)行漏洞的挖掘。而這種發(fā)現(xiàn)漏洞并提供解決方案的是可以收費(fèi)的。同時,網(wǎng)絡(luò)安全管理上需要相應(yīng)的法規(guī)范,問責(zé)制,讓一些單位必須在多長時間內(nèi)回應(yīng)進(jìn)行修復(fù)。而且提供這種顧問服務(wù)是免費(fèi)的,不然很容易會被人誤解成一種敲詐。
從 McAfee 和周鴻祎兩人對于白帽子和挖掘漏洞是否該收費(fèi)的看法的迥然不同,或許從側(cè)面能夠看出中國的白帽子和網(wǎng)絡(luò)安全,仍然有很長的一段路要走。而這條路絕不僅僅是企業(yè)對于網(wǎng)絡(luò)安全的重視和法律法規(guī)的規(guī)范,也包括白帽子自身的責(zé)任感。