陳樹(shù)華

孤狼的尷尬

并不是所有的黑客都進(jìn)了大公司。而那些單獨(dú)作戰(zhàn)的孤狼，有時(shí)也會(huì)面臨尷尬的境地。

在一次安全大會(huì)上，一位父親闖了進(jìn)來(lái)，拿著一沓打印的資料，希望在參會(huì)的這些人里，有人能夠幫到他的兒子——不久前，他的兒子破解了某婚戀網(wǎng)站的漏洞，并把這個(gè)漏洞發(fā)布到了烏云平臺(tái)上，但是，他的兒子還是被這家婚戀網(wǎng)站起訴，并被批捕了。

《財(cái)經(jīng)天下》周刊記者向該網(wǎng)站核實(shí)是否起訴了一名黑客，但沒(méi)有得到答復(fù)。

更有名的案例是京東案。2011年12月30日，賈偉在陜西咸陽(yáng)一家制藥廠被警方帶走，他的老父親顫顫巍巍地在拘留證上簽了字，然后整整一個(gè)月沒(méi)睡著過(guò)。

2011年底，中國(guó)互聯(lián)網(wǎng)爆發(fā)了一次大規(guī)模用戶信息泄漏事件。當(dāng)時(shí)天涯社區(qū)、技術(shù)開(kāi)發(fā)網(wǎng)站CSDN、游戲門(mén)戶多玩網(wǎng)、婚戀網(wǎng)站珍愛(ài)網(wǎng)等多家網(wǎng)站用戶資料被泄露，被業(yè)內(nèi)人士稱之為“脫褲門(mén)”。京東商城也沒(méi)有幸免。

京東漏洞的發(fā)現(xiàn)者正是賈偉。賈偉有一個(gè)常用ID：我心飛翔。在京東商城內(nèi)部技術(shù)人員遲遲無(wú)法修復(fù)漏洞的情況下，賈偉表示只要聘請(qǐng)自己為高級(jí)技術(shù)顧問(wèn)，并支付約240萬(wàn)元?jiǎng)趧?wù)費(fèi)，就將為京東商城修復(fù)該漏洞。結(jié)果，京東商城以網(wǎng)絡(luò)被入侵并被“敲詐勒索”為由，向北京朝陽(yáng)區(qū)公安局報(bào)警。一個(gè)多月后，賈偉被保釋。

“這就像我家有個(gè)后門(mén)，開(kāi)著，但我沒(méi)有允許你進(jìn)來(lái)看啊。你不但進(jìn)來(lái)了，還把我家房間的擺設(shè)都看了一遍。我當(dāng)然不高興了。”孫義在一家大型國(guó)產(chǎn)手機(jī)廠商做安全運(yùn)維——負(fù)責(zé)與黑客接觸，發(fā)現(xiàn)漏洞并作出響應(yīng)。

孫義在那次安全大會(huì)上也看到了為黑客兒子求助的父親，但卻沒(méi)有表現(xiàn)出同情。“就是烏云，也只是一個(gè)平臺(tái)。你把信息發(fā)在上面，但是出了事，他們一樣不管。”

每個(gè)月，孫義都能收幾十起安全漏洞的報(bào)告。“我們會(huì)給他(發(fā)現(xiàn)漏洞的黑客)一些精神獎(jiǎng)勵(lì)，給他證書(shū)，甚至幫他申請(qǐng)國(guó)際漏洞編號(hào)。這些他都可以寫(xiě)在他的簡(jiǎn)歷里，找工作好使啊。”至于金錢(qián)上的報(bào)酬，沒(méi)有。

“我們鼓勵(lì)‘白帽子’一起建設(shè)安全生態(tài)，會(huì)給漏洞發(fā)現(xiàn)者提供精神和物質(zhì)上的雙重獎(jiǎng)勵(lì)。”阿里巴巴安全總監(jiān)陳樹(shù)華說(shuō)。

而京東也在賈偉事件之后，設(shè)立了應(yīng)急響應(yīng)中心。京東商城信息安全部經(jīng)理李學(xué)慶說(shuō)，作為一個(gè)安全應(yīng)急響應(yīng)中心，和騰訊的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一樣，京東的 JSRC 有一個(gè)主要任務(wù)——堵住一切有可能產(chǎn)生破壞的漏洞。更多精彩內(nèi)容，請(qǐng)點(diǎn)擊http://t.kanshangjie.com/r4

不過(guò)，與國(guó)外的廠商相比，國(guó)內(nèi)廠商給予的獎(jiǎng)勵(lì)仍然缺少競(jìng)爭(zhēng)力。根據(jù)京東的數(shù)據(jù)，提交任何可以攻擊京東的漏洞，大概能夠獲得1000元的京東購(gòu)物卡獎(jiǎng)勵(lì)。在6.18 之前，京東搞了一個(gè)雙倍積分的活動(dòng)，“白帽子”提交高危漏洞，最高可以得到折合價(jià)值12000元的獎(jiǎng)勵(lì)。