在互联网上,有这么一群爱好安全技术的“宅男”,他们也被称作白帽子。
与“黑帽黑客”相反,白帽子是用黑客技术维护网络安全的力量,他们往往会被各大互联网公司雇佣,通过攻击自己的公司以测试网络和系统的性能。在他们眼中,似乎没有攻不破的系统。
▲图片来源网络
一些曾经轰动社会的泄露事件,如13万条铁路售票网站网站12306用户数据泄露、如家酒店等开房信息泄露、腾讯7000万QQ群用户数据泄露,均最早在乌云网上由白帽子报告并引起平台方的重视。
不过,白帽子平常活跃的国内两大漏洞报告平台居然在同一天无法访问,让不少人将其与去年12月发生的一起事件联系到一起……
两大漏洞报告平台同一天无法访问
19日晚间,微博大V爆料,国内知名漏洞报告平台乌云出现无法访问,因管理团队接受整顿。
19日晚间,记者曾第一时间致电联系了乌云社区负责人方小顿,但对方电话处于无人接听状态,无法确认是否接受整顿的说法是否属实。
不过,20日上午,乌云发布公告称网站正在升级,并称微博大V的爆料为谣传。乌云运营团队在官网声明中称:
乌云及相关服务将进行升级,将在最短的时间内回归……不管是从前,现在,还是未来,我们都将坚持这么做下去。
据北京一位白帽黑客透露,日常活跃在乌云上的白帽子至少有数千人。
无独有偶的,同为白帽社区的上海斗象信息旗下白帽子社区“漏洞盒子”同样在19日宣布系统维护。有媒体报道时称,漏洞盒子同样在按照相关部门的要求接受整顿。
但斗象信息科技在20日上午发布紧急公告,否认了这一说法。其公告称:
旗下漏洞盒子平台业务运营按照年度计划既定进行,目前全线产品业务运转正常,与其他事件无任何关联。
20日下午,斗象信息科技市场副总裁李勇对记者澄清表示:
我们是躺着中枪了,我们旗下网站及业务目前没有受到任何事件影响,正按照此前年度工作既定计划进行正常运营与推进,关于公司进行网站维护升级的事情,是斗象信息科技将联合国家相关政府管理部门进行相关安全生态体系建设的筹备之事而展开的,属于早就既定的工作事项。
在网站维护升级的过程中,暂停该项目相关漏洞与威胁情报接受。整个升级时间大概需要两三天,之后恢复运营。
针对乌云停运升级事件,多位白帽子黑客对记者表示,猜测此次停运升级可能与去年12月份在乌云社区发生的“袁炜事件”有关联。不过这一说法未得到乌云的回应。
据了解,袁炜是乌云社区上一名白帽子,去年12月份,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。
在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。
▲图片来源:央广网
世纪佳缘CEO吴琳光当时回应称:
在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。
在警方披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人。
游走在“黑白”之间缺少监管
“袁炜事件”让白帽子群体受到广泛关注。今年5月份,腾讯联合白帽社群极棒在澳门组织的黑客大赛上,数十款家用网络盒子被瞬间攻破,甚至微软平板surface防火墙也在数分钟内被攻破。
但是在白帽子群体中不乏动机不纯的“异类”。在维护安全的另一面,他们的存在在很多企业看来是威胁,从法律上来说,他们的行为并不受法律保护,处于灰色地带。
前述北京的白帽黑客告诉记者:
真正意义上的白帽子是不依靠提交漏洞赚钱的,我们有自己的工作,提交漏洞纯属是业务爱好。
职业的白帽子也有获取收入的规范途径,主要是IT企业委托授权的众测,另外目前各种黑客比赛会提供丰厚的奖金,比如腾讯和极棒今年5月份在澳门举办的黑客大赛,冠军团队共获得了42万奖金。
但是这个群体里同时存在很多浑水摸鱼的人,以白帽子的名义做黑帽黑客的事,就像电影《无间道》里演的一样,一念之差就可能走向歧途了。
常规给企业网站做安全监测项目,一般只有几万块钱,和做黑产比起来真的太辛苦了。去年,有个白帽子挖到某家大型互联网公司的漏洞,然后邮件给厂商,大致意思是我挖到你们漏洞了,付给我点辛苦费吧,不然卖给黑产我也能赚不少钱,然后这个人被举报就被抓了。
“很多平台对这些白帽子是缺乏监管的。因为大部分论坛注册用户都不是实名,不知道账号背后是谁;平台也不知道白帽子黑客们提交的内容是不是全部内容,黑客检测网站也是随机的。而且,平台是否需要对这些白帽子做监管?目前也没有法律要求。”上述白帽子表示。
本文来源:不详 作者:佚名