信息來源:賽迪網
QQ����、微信被盜,某個網站的帳戶密碼泄露���,個人身份證���、電話等信息被泄露……這背后幾乎都離不開黑客����。在IT世界里�,黑客分為兩種,一種是“黑客”����,把系統(tǒng)漏洞 兜售到黑市上,謀取巨額利益����。另一種則是“正面黑客”��,把系統(tǒng)漏洞提交給廠商��,讓廠商及時修復漏洞從而保護用戶信息����。兩者有一個共同點,他們都能夠發(fā)現計 算機和網絡系統(tǒng)上的漏洞��。但在相應法規(guī)尚未完善的情況下���,這一共同點也讓兩者之間的界限顯得有點模糊����。
近日,隨著袁煒的被捕�����,兩者之間的界 限爭論再度成為風口浪尖上的話題�����。隨后�,兩大漏洞報告平臺之一的烏云網昨日開始也陷入停擺危機。盡管烏云網官方口徑稱“進行升級”�,但有不愿意透露姓名的 知情人士向南都記者透露,“烏云網有十幾個高管被抓�。”然而直至昨天截稿時�,這一消息尚未得到官方證實?���!罢婧诳汀本烤故鞘裁慈耍克麄內粘K鶑氖露际鞘?么工作����?帶著對這一行業(yè)的神秘猜想�,南都記者昨天聯系采訪了多名IT世界里的“正面黑客”高手���,試圖還原他們最真實的生存狀態(tài)���。
“烏云確實出事了”?
烏云被認為是國內最早的漏洞報告平臺�����,成立于2010年�,眾多“正面黑客”聚集其中,并曝出了此前多個互聯網平臺信息泄漏事件����,如此前的鐵道部官網12306用戶數據泄露一事���,為烏云網贏得了公眾不少好感�����。
南都記者昨日下午再次登陸發(fā)現�����,打開烏云網頁后出現的是升級公告���。公告中提到�,“為了更好地向大家提供服務�����,烏云及相關服務將進行升級��。我們將在最短的時間 內�,以最好的姿態(tài)回歸?��!睘踉凭W同時在公告最后指出�,“與其聽信謠言����,不如相信烏云?���!辈贿^,有不愿意透露姓名的知情人士向南都記者透露,“烏云確實出事 了���,有十幾個高管被抓了�?����!钡珜τ诟嗉毠?jié)�,該人士拒絕進一步透露。針對對上述種種消息�����,烏云官方在接受南都記者采訪時則未予置評���。
在業(yè)內看來�,烏云事件應該和此前袁煒被捕一事息息相關�。不久前����,袁煒向烏云平臺提交某婚戀網站的漏洞報告,烏云平臺將該漏洞告知并得到了修復�����。之后該婚戀網站針對用戶信息被竊取一事報案,結果被抓的人卻是袁煒��,今年4月12日��,北京市朝陽區(qū)人民檢察院已正式批準逮捕袁煒�����。
此事件后����,南都記者登錄互聯網安全測試另一大平臺漏洞盒子發(fā)現,該頁面可以正常打開����,但旗下“漏洞黑板報”網頁則打不開,其官方公告里的“熱門漏洞”也變成 404頁面����。漏洞盒子方面昨日向南都記者表示,所有業(yè)務都沒有受到任何烏云事件的影響�,公司目前準備做一些制度上的改版,也是在正常的計劃安排中����。
游走于法律邊緣
兩種黑客之間�,實際上僅有一線之隔�����,都游走在法律的邊緣��。安全專家李夏(化名)向南都記者表示���,“黑客”是把漏洞賣到黑市上����,謀取巨額利益�。“正面黑客”是把漏洞提交給廠商����,讓廠商及時修復漏洞保護用戶信息。
不過�,有IT業(yè)資深人士對南都記者表示,烏云的模式存在一定弊端���。一般烏云與漏洞盒子兩家平臺發(fā)布一則漏洞信息后����,一段時間內如果沒有廠商認領��,他們就會選 擇直接公布漏洞����。“對于我們而言肯定是好事�,可以學習他的思路,但對廠商就不一定了����。”有一不愿透露姓名的“正面黑客”向南都記者透露����,他之前曾發(fā)現某金 融公司的漏洞,但最后無人認領���,一個半月后被發(fā)布了��?!皬奈覀€人角度來說��,我是不希望這個漏洞被一些有心人利用的,所以我就跟烏云的人協調了一下�,把關鍵 信息打上了馬賽克?���!?
同樣是在未授權情況下對某網站或服務器進行滲透測試,這樣做是否合法合規(guī)����?李夏向南都記者坦言,其實都是“不合規(guī)的���,但行業(yè)里很多人都會這么做�����?!?
按照上述業(yè)內資深人士的說法���,“正面黑客”查漏洞行為從法律角度是沒有合法規(guī)定的����,只是現在幾個漏洞平臺由政府支持�,所以處于一個“不算違法”的情況�。一般 漏洞檢測有兩種情況����,一是廠商發(fā)起眾測���,并根據漏洞大小予以打賞�����;一種是自發(fā)上報���,引起廠商或者漏洞平臺的注意,換取積分可以在漏洞商城換一些極客商品��, 或者有廠商會自發(fā)打賞����,這個價格沒有標準。
二者各成圈子
和“黑客”販賣網絡漏洞獲得的高額收入相比���,“正面黑客”更多被認為是“情懷主義”���。獵豹移動安全專家李鐵軍(微博)向南都記者介紹說���,在國外,微軟�、谷歌(微博)等科技公司都會給“正面黑客”專門的獎勵,并且加上榮譽公告���?!皟r格都在幾千美元到幾萬美元不等�,”李鐵軍說,這當然不能與“黑客”相比��,一個高危漏洞在黑市上賣出上百萬美元都很正常��。
“(”正面黑客“)不能沾那些事情�����,一旦沾了的話�,就回不了頭?�!崩钕奶貏e強調���。
李鐵軍也指出�,“其實很多數據庫泄露都是撞庫等方式泄露的,這是數據庫本身已經暴露的基礎上造成的���,根本不需要黑客這種技術功底��?!?
騰 訊科恩實驗室成員陳良表示�,近幾年來網絡信息泄漏事件頻發(fā)���,加上信息安全從業(yè)人員水平的提升�����,使得“正面黑客”開始被當成正當職業(yè)對待��,而圈子內“黑客” 和“正面黑客”分得比較開�。騰訊電腦管家團隊成員鄧欣表示�����,公開場合內二者會有技術���、研究成果的交流���,但也僅限于此���,“比如說像Q Q盜號的人,他們有自己的圈子��,他們交流不走國內的渠道��,他們找一些很偏的通訊軟件進行溝通����。”鄧欣說����。
名詞解釋
●正面黑客:
IT行業(yè)內指有能力識別計算機或者網絡系統(tǒng)中存在的安全漏洞,但不做非法用途�����,而是告知企業(yè)修復漏洞����,之后再公布細節(jié)的人�,和黑客僅有一線之隔���。被喻為網絡世界中的“超級英雄”��。
●烏云網:
漏洞報告平臺�����,此前鐵道部官網12306用戶數據泄漏一事便是由該平臺進行公布����,提醒用戶更改密碼�,因而贏得用戶不少好感��。
