2016年7.20號,國內最大的白帽子交流平臺被迫關閉。在互聯網世界,烏云網一直扮演著“守護者”角色,但烏云網模式自誕生起,就一直行走在灰色地帶,因而備受爭議。烏云網此次危機,正是這一灰色地帶的風險爆發所致。
白帽子袁煒因在烏云網提交世紀佳緣漏洞被抓后,烏云網再一次陷入風波。不僅烏云網站無法打開,有傳聞稱,烏云高管也被抓。
在黑客江湖,一部分群體通過攻擊系統漏洞獲取數據,再把信息兜售至黑市牟利,被稱為“黑帽子”黑客;另一部分是“正面角色”,號稱只是將檢測出的bug提交至報告平臺進行公布,提醒、倒逼企業注重用戶的數據安全,被稱為“白帽子”黑客。一般而言,白帽子先將自己發現的漏洞提交至漏洞報告平臺,審核通過后會粗略發布漏洞情況,并等待涉事單位認領。如若幾十天后仍沒有機構聯絡平臺,將進一步公布漏洞細節內容。一直以來,烏云網以這種方式公布信息,敦促企業加強安全意識。但是“往往不是黑帽子或者白帽子,而是斑馬,白天黑,晚上又洗白。”黑帽子與白帽子的身份界定模糊,提交后公布環節的流程不規范,造成烏云網模式自誕生起,就在法律與道義上備受爭議。
直到2015年12月,在烏云網上提交漏洞的“白帽子”才第一次“出事”。2015年12月,杭州的IT人士袁煒,在烏云提交了他發現的世紀佳緣網站系統漏洞。
在世紀佳緣確認、修復了漏洞,并按烏云平臺慣例向漏洞提交者致謝后,事態竟急轉直下,世紀佳緣不久后以“網站數據被非法竊取”為由報警。2016年4月份,袁煒被司法機關逮捕。但是袁煒是嚴格按照烏云網的發布流程提交的漏洞,世紀佳緣在追究責任時,“繞過了烏云,以及袁煒白帽子身份”。也就是說,攻擊網站者,就沒有什么所謂的白帽子一說,但凡攻擊網站,就屬于違法行為,這也就是為什么紅客聯盟解散、烏云被關了。白帽子一直得不到承認,黑客技術或者說漏洞挖掘,就一直不能上臺面。
“黑”進一家企業的系統并發現漏洞,相當于一個江洋大盜撬開了銀行的保險柜。按照白帽子、黑帽子約定俗成的分野,黑帽子黑客會直接將保險柜中的財寶席卷一空;但是白帽子黑客的做法,是并不偷拿保險柜中的“一針一線”,而是好心好意告訴銀行,保險柜的鎖不夠安全,應該及時加固,更有甚者,會告訴銀行加固的方法。理論上看,即便銀行大門敞開,外人也沒有權利貿然闖入。退一步講,如果銀行的保險柜失竊,丟沒丟東西,只要清點一下數目即可,但是數字化的系統對于“闖入者”性質認定就極為復雜,因為數據有著極其容易復制的特性,偷看數據、復制數據都可以非常隱蔽地進行。
但是事實上,絕大部分企業安全意識淡薄,并不怎么把用戶的信息安全放在心上。白帽子檢測系統漏洞的行為,相當于排除地雷,倒逼企業不斷修復、加固系統,起到了維護公眾利益的作用。
世紀佳緣選擇報警之后,在業界引起較大反響。很多人認為,堵住烏云網平臺這一正常途徑后,只會逼迫白帽子轉黑,最后損害的還是用戶利益。
但是,排除白帽子提交漏洞之前的動機不論,烏云模式當中,審核、發布漏洞的流程也值得商榷。白帽子提交了漏洞之后,平臺要對這一漏洞的真實性進行審核,而審核的環節,其實是對系統的該處漏洞,又“攻擊”了一次。審核通過后,平臺會將一部分漏洞通知企業,提醒其加強防范。但是也有大部分漏洞提醒直接發在平臺上,等待企業認領。“所謂的認領,不是主動找企業,而是等著企業主動找上門。”在這一環節,一些安全意識較強的互聯網巨頭,會有專門的安全職位負責在不同平臺巡視,所以能夠及時發現公布出來的安全隱患,早做溝通,予以解決。
但是絕大部分企業并不知道白帽子在平臺上作出了提醒,“甚至不知道烏云網的存在。”所以即便是后來傾向于認為白帽子是在做好事,也沒有趕過去認領,因為這一環節只留給企業5天時間。過了5天的認領期限,平臺會分批次向不同等級白帽子公布漏洞的大概情況。“這個時候,還不會公布細節,只是一些大概情況。”到了這一步驟,情況變得糟糕起來,因為白帽子數量很多,即便不公布細節內容,也會有數量龐大的黑客開始在公布的系統提醒上挖掘,“像蒼蠅一樣,總會找出漏洞在哪”。
所以,從企業利益的角度出發,發現漏洞越及時,挽回損失的余地越大。如若在這一環節當中,仍未見企業現身,45天后,烏云網會在平臺上公布漏洞的細節內容。“告訴你哪里門沒鎖,這實際上等于公布數據信息了。”平臺沒有權利公布數據內包含的用戶信息。其實,烏云網的存在促使了國內相關企業對網絡安全的重視。
但是大部分的企業都不愿意花心思和精力在安全上面,安全問題,費時費力也費錢,企業的目的是賺取利益,如果沒有人挖掘我網站的漏洞,那我的網站就是安全的,即使你發現了我的漏洞也不應該公布在網絡上,因為,我的目的是賺錢,這種需要花人力物力和財力的東西,本來不應該存在,都是因為這些白帽子才存在的,這,也許就是大部分企業的真實想法。
