首次袒露360私有化目的，保險公司將成為新股東

7月底，一位網絡“whitehat”（俗稱“善意黑客”）發現某網站上存在漏洞并向該網站提交，后者對這位whitehat表示感謝，隨后卻以“侵犯隱私”的名義對其提起訴訟。此后，國內三大官方認定的漏洞平臺之一烏云宣布停擺，據傳有十余名高管被帶走。上述兩起事件讓whitehat這個隱形行業浮出水面，其亦黑亦白的身份引發輿論討論。

在8月16日召開的互聯網安全大會上，whitehat再度成為熱門關鍵詞。“這好比要試試一個鎖是不是好的，你要動手撬一撬試試，如果真撬開了，黑客會干壞事，而善意的黑客會把這個事情告訴廠商。這是區別，但‘撬’的這個動作確實存在‘灰色’。”360董事長周鴻祎接受南都記者采訪時表示，創新永遠比規則快，現在的whitehat存在灰色很正常，也需要國家盡快制定相關規則予以保護。“比如說統一管理模擬攻擊，哪怕是發個資格證書也行。”

“被忽視”的whitehat

“whitehat的存在很重要，網絡上大量的后門、漏洞是未知的，必須通過模擬攻防才能發現其弱點，就像軍隊的訓練要分組對抗一個道理。”周鴻祎告訴南都記者，“但是他們并沒有獲得應有的尊重。”

“主要是許多網站安全意識淡薄，他們覺得自己只是個小網站，并沒有敏感信息，沒有被攻擊的可能。”周鴻祎透露說，比如360補天之前發現了一個高校的漏洞，但技術方獲悉后近半年時間也沒修復。“一個同學在校園BBS的ID密碼有可能是他支付寶的ID，這是個‘順藤摸瓜’的過程。如果一個店家被發現有火災隱患會被聯防勒令整改，但網絡安全的規則是缺失的。希望國家可以有一些政策規定，比如發現漏洞必須在多長時間響應及修復。”

這種被忽視的案例不僅在中國。殺毒軟件巨頭McAfee創始人約翰·邁克菲向南都記者表示：“之前他朋友發現了波音公司的一個漏洞，但后者一直不予理睬。他只能買了一張波音公司的機票，在飛機上成功把飛行系統劫持了，以此證明漏洞的存在，但下了飛機他就被FBI逮捕了。”邁克菲說，盡管美國white hat在企業中有很大需求，但現實中政府不會與其合作，也導致其受到很多限制。

如何給whitehat定價？

國內目前官方認可的漏洞平臺僅有烏云、漏洞盒子以及360補天三家，而360補天是唯一一個“不公布漏洞”、“不接受廠商獎勵”的平臺。“我們不想公布漏洞是覺得這會對廠商造成巨大影響。”周鴻祎表示。

但這并不意味著whitehat不應該為其發現漏洞的過程獲得收入？“其他漏洞平臺需要被發現漏洞的廠商獎勵，但360補天自己補貼‘whitehat’。”周鴻祎說，之所以不接受廠商獎勵，只是避免“瓜田李下”，“在目前的游戲規則下，這種獎勵與‘敲詐’確實界限比較模糊。”

“長遠看，廠商需要為這樣的勞動付出埋單。”周鴻祎告訴南都記者，現在廠商寧愿多買服務器硬件，也不愿雇一個安全人員進行長期監測。“但安全不是機器與機器斗，而人與人斗，永遠沒有一個方案可以一勞永逸，人的服務才是安全最好的解決方案，而這種咨詢服務理應獲得其收入。”

不過，盡管目前美國的廠商們都設立了whitehat獎勵機制，但南都記者問到關于w hitehat的定價時，邁克菲仍然認為，這種想法是“不道德”的。“這就好像海洋學家發現微生物是他們的責任，這個責任不應該獲得獎勵。”

360私有化幕后原因

去年圣貝納迪諾槍擊案有兇手在現場遺留一臺iPhone手機，FBI要求蘋果公司提供后門獲取其中信息遭到拒絕，引發關于“國家安全”與“個人安全”的爭論。今年3月，邁克菲表示其能獨立破解這個手機，否則當眾吃鞋。

雖然他最后沒有破解成功，也沒“吃鞋”，在南都記者問起此事時，他表示這只是一種表態。“FB I要求蘋果開通后門，這樣就能獲取除了這臺手機數據外，全部蘋果用戶的數據，這已經是‘越界’了。”

對于上述爭論，周鴻祎并沒有直接評價，但他透露，在大部分國家安全問題上，IT廠商們還是配合的。“在歐盟，如果你研制一種政府無法破譯的加密軟件被視為軍火；我們在美國投資一家安全通信公司，而他們同樣被美國政府要求備案秘鑰；有一年波士頓爆炸案，當時犯罪嫌疑人只是網上搜索‘高壓鍋’，20分鐘后就有反恐部隊上門，如果沒有谷歌之類搜索引擎配合怎么可能實現？”

也是出于這方面的考慮，360選擇了私有化，在美國退市。這也是周鴻祎首次袒露私有化的目的。“而且現在軍民融合是一個趨勢，未來軍工安全會是一個很大的市場，內資公司的身份更有利于我們切入這個市場。”與此同時，周鴻祎還透露會有一些國有公司將入股360，“比如一些保險公司會成為我們的新股東。”