信息來源:賽迪網(wǎng)
QQ、微信被盜,某個網(wǎng)站的帳戶密碼泄露,個人身份證、電話等信息被泄露……這背后幾乎都離不開黑客。在IT世界里,黑客分為兩種,一種是“黑客”,把系統(tǒng)漏洞 兜售到黑市上,謀取巨額利益。另一種則是“正面黑客”,把系統(tǒng)漏洞提交給廠商,讓廠商及時修復(fù)漏洞從而保護用戶信息。兩者有一個共同點,他們都能夠發(fā)現(xiàn)計 算機和網(wǎng)絡(luò)系統(tǒng)上的漏洞。但在相應(yīng)法規(guī)尚未完善的情況下,這一共同點也讓兩者之間的界限顯得有點模糊。
近日,隨著袁煒的被捕,兩者之間的界 限爭論再度成為風(fēng)口浪尖上的話題。隨后,兩大漏洞報告平臺之一的烏云網(wǎng)昨日開始也陷入停擺危機。盡管烏云網(wǎng)官方口徑稱“進行升級”,但有不愿意透露姓名的 知情人士向南都記者透露,“烏云網(wǎng)有十幾個高管被抓。”然而直至昨天截稿時,這一消息尚未得到官方證實?!罢婧诳汀本烤故鞘裁慈??他們?nèi)粘K鶑氖露际鞘?么工作?帶著對這一行業(yè)的神秘猜想,南都記者昨天聯(lián)系采訪了多名IT世界里的“正面黑客”高手,試圖還原他們最真實的生存狀態(tài)。
“烏云確實出事了”?
烏云被認(rèn)為是國內(nèi)最早的漏洞報告平臺,成立于2010年,眾多“正面黑客”聚集其中,并曝出了此前多個互聯(lián)網(wǎng)平臺信息泄漏事件,如此前的鐵道部官網(wǎng)12306用戶數(shù)據(jù)泄露一事,為烏云網(wǎng)贏得了公眾不少好感。
南都記者昨日下午再次登陸發(fā)現(xiàn),打開烏云網(wǎng)頁后出現(xiàn)的是升級公告。公告中提到,“為了更好地向大家提供服務(wù),烏云及相關(guān)服務(wù)將進行升級。我們將在最短的時間 內(nèi),以最好的姿態(tài)回歸?!睘踉凭W(wǎng)同時在公告最后指出,“與其聽信謠言,不如相信烏云?!辈贿^,有不愿意透露姓名的知情人士向南都記者透露,“烏云確實出事 了,有十幾個高管被抓了?!钡珜τ诟嗉?xì)節(jié),該人士拒絕進一步透露。針對對上述種種消息,烏云官方在接受南都記者采訪時則未予置評。
在業(yè)內(nèi)看來,烏云事件應(yīng)該和此前袁煒被捕一事息息相關(guān)。不久前,袁煒向烏云平臺提交某婚戀網(wǎng)站的漏洞報告,烏云平臺將該漏洞告知并得到了修復(fù)。之后該婚戀網(wǎng)站針對用戶信息被竊取一事報案,結(jié)果被抓的人卻是袁煒,今年4月12日,北京市朝陽區(qū)人民檢察院已正式批準(zhǔn)逮捕袁煒。
此事件后,南都記者登錄互聯(lián)網(wǎng)安全測試另一大平臺漏洞盒子發(fā)現(xiàn),該頁面可以正常打開,但旗下“漏洞黑板報”網(wǎng)頁則打不開,其官方公告里的“熱門漏洞”也變成 404頁面。漏洞盒子方面昨日向南都記者表示,所有業(yè)務(wù)都沒有受到任何烏云事件的影響,公司目前準(zhǔn)備做一些制度上的改版,也是在正常的計劃安排中。
游走于法律邊緣
兩種黑客之間,實際上僅有一線之隔,都游走在法律的邊緣。安全專家李夏(化名)向南都記者表示,“黑客”是把漏洞賣到黑市上,謀取巨額利益。“正面黑客”是把漏洞提交給廠商,讓廠商及時修復(fù)漏洞保護用戶信息。
不過,有IT業(yè)資深人士對南都記者表示,烏云的模式存在一定弊端。一般烏云與漏洞盒子兩家平臺發(fā)布一則漏洞信息后,一段時間內(nèi)如果沒有廠商認(rèn)領(lǐng),他們就會選 擇直接公布漏洞。“對于我們而言肯定是好事,可以學(xué)習(xí)他的思路,但對廠商就不一定了?!庇幸徊辉竿嘎缎彰摹罢婧诳汀毕蚰隙加浾咄嘎叮霸l(fā)現(xiàn)某金 融公司的漏洞,但最后無人認(rèn)領(lǐng),一個半月后被發(fā)布了?!皬奈覀€人角度來說,我是不希望這個漏洞被一些有心人利用的,所以我就跟烏云的人協(xié)調(diào)了一下,把關(guān)鍵 信息打上了馬賽克?!?
同樣是在未授權(quán)情況下對某網(wǎng)站或服務(wù)器進行滲透測試,這樣做是否合法合規(guī)?李夏向南都記者坦言,其實都是“不合規(guī)的,但行業(yè)里很多人都會這么做。”
按照上述業(yè)內(nèi)資深人士的說法,“正面黑客”查漏洞行為從法律角度是沒有合法規(guī)定的,只是現(xiàn)在幾個漏洞平臺由政府支持,所以處于一個“不算違法”的情況。一般 漏洞檢測有兩種情況,一是廠商發(fā)起眾測,并根據(jù)漏洞大小予以打賞;一種是自發(fā)上報,引起廠商或者漏洞平臺的注意,換取積分可以在漏洞商城換一些極客商品, 或者有廠商會自發(fā)打賞,這個價格沒有標(biāo)準(zhǔn)。
二者各成圈子
和“黑客”販賣網(wǎng)絡(luò)漏洞獲得的高額收入相比,“正面黑客”更多被認(rèn)為是“情懷主義”。獵豹移動安全專家李鐵軍(微博)向南都記者介紹說,在國外,微軟、谷歌(微博)等科技公司都會給“正面黑客”專門的獎勵,并且加上榮譽公告?!皟r格都在幾千美元到幾萬美元不等,”李鐵軍說,這當(dāng)然不能與“黑客”相比,一個高危漏洞在黑市上賣出上百萬美元都很正常。
“(”正面黑客“)不能沾那些事情,一旦沾了的話,就回不了頭。”李夏特別強調(diào)。
李鐵軍也指出,“其實很多數(shù)據(jù)庫泄露都是撞庫等方式泄露的,這是數(shù)據(jù)庫本身已經(jīng)暴露的基礎(chǔ)上造成的,根本不需要黑客這種技術(shù)功底?!?
騰 訊科恩實驗室成員陳良表示,近幾年來網(wǎng)絡(luò)信息泄漏事件頻發(fā),加上信息安全從業(yè)人員水平的提升,使得“正面黑客”開始被當(dāng)成正當(dāng)職業(yè)對待,而圈子內(nèi)“黑客” 和“正面黑客”分得比較開。騰訊電腦管家團隊成員鄧欣表示,公開場合內(nèi)二者會有技術(shù)、研究成果的交流,但也僅限于此,“比如說像Q Q盜號的人,他們有自己的圈子,他們交流不走國內(nèi)的渠道,他們找一些很偏的通訊軟件進行溝通?!编囆勒f。
名詞解釋
●正面黑客:
IT行業(yè)內(nèi)指有能力識別計算機或者網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞,但不做非法用途,而是告知企業(yè)修復(fù)漏洞,之后再公布細(xì)節(jié)的人,和黑客僅有一線之隔。被喻為網(wǎng)絡(luò)世界中的“超級英雄”。
●烏云網(wǎng):
漏洞報告平臺,此前鐵道部官網(wǎng)12306用戶數(shù)據(jù)泄漏一事便是由該平臺進行公布,提醒用戶更改密碼,因而贏得用戶不少好感。