“黑”與“白”在一念之間

　　既然“白帽子”是做好事的好人，為何引發(fā)關(guān)注和爭(zhēng)議？記者了解到，“白帽子”與“黑客”的區(qū)別往往就在一念之差；并且，即使“白帽子”是善意的漏洞挖掘，也可能給企業(yè)帶來困擾。

　　“本公司求賢，年薪百萬……”2016年7月，在一場(chǎng)“白帽子”交流大會(huì)上，一塊大屏幕顯示著參會(huì)者發(fā)布的彈幕。

　　“相比‘白帽子’的能力而言，年薪百萬真的不算多。”參會(huì)的“白帽子”張某告訴記者，他們?nèi)羰亲?ldquo;黑客”，那些技術(shù)帶來的利益可能會(huì)是上千萬元。

　　“與‘白帽子’相對(duì)應(yīng)的是‘黑帽子’‘黑客’。”趙占領(lǐng)說，“黑客”發(fā)現(xiàn)安全漏洞后，利用漏洞從事破壞活動(dòng)或非法謀取利益(行業(yè)內(nèi)也稱為“做黑產(chǎn)”——記者注)。

　　在朱巍看來，“黑客”與“白帽子”的行為看起來有相似性，但目的卻截然相反。“黑客”的目的是為了賺錢，或是為了破壞網(wǎng)絡(luò)安全。

　　某互聯(lián)網(wǎng)企業(yè)安全部門負(fù)責(zé)人陳某，在多年前也是一個(gè)“白帽子”。他告訴記者，當(dāng)時(shí)還沒有“白帽子”“黑帽子”的說法，他喜歡研究互聯(lián)網(wǎng)安全技術(shù)，發(fā)現(xiàn)了互聯(lián)網(wǎng)企業(yè)的一些安全問題，當(dāng)時(shí)沒有什么途徑通知廠商，只好自己想辦法聯(lián)系。他看到通訊錄后，聯(lián)系了對(duì)方公司的CEO。從那之后，他進(jìn)入了互聯(lián)網(wǎng)安全這個(gè)行業(yè)。

　　站在“白帽子”和廠商的角度，陳某有一些體會(huì)。陳某告訴記者，“白帽子”一開始大都是技術(shù)驅(qū)使，他們進(jìn)行學(xué)習(xí)、發(fā)現(xiàn)問題、練習(xí)技術(shù)。很多時(shí)候，“白帽子”好奇是不是可以發(fā)現(xiàn)更多的問題，但很容易收不住手，一步步走下去就可能越走越遠(yuǎn)。

　　童姓民警講述了一個(gè)案例，一個(gè)技術(shù)人員通過滲透入侵的方式進(jìn)入一家網(wǎng)站并獲取到了數(shù)據(jù)。此后，這些數(shù)據(jù)被他人加以利用，盜竊數(shù)百萬元。

　　“成功進(jìn)入某公司網(wǎng)絡(luò)或者成功測(cè)試漏洞后，‘白帽子’可能看到很多東西。人都是有好奇心的，我再進(jìn)一步看看，我再多獲取一點(diǎn)兒數(shù)據(jù)。”童姓網(wǎng)警說，“白帽子”在進(jìn)行漏洞挖掘時(shí)，首先要做到的就是自律。

　　趙占領(lǐng)認(rèn)為，一些“白帽子”對(duì)法律不了解，不知道行為界限在哪里；另一些“白帽子”了解法律，但管不住自己的好奇心，他們獲得數(shù)據(jù)并不是出于違法目的，而是自律出了問題。

　　倚重與防備之間尷尬生存

　　“互聯(lián)網(wǎng)企業(yè)和‘白帽子’是相輔相成的，特別是互聯(lián)網(wǎng)企業(yè)的安全部門非常倚重‘白帽子’。”陳某這樣評(píng)價(jià)互聯(lián)網(wǎng)企業(yè)與“白帽子”之間的關(guān)系，互聯(lián)網(wǎng)企業(yè)有一項(xiàng)很重要的職責(zé)，就是保護(hù)好用戶的信息安全?；谶@一職責(zé)，互聯(lián)網(wǎng)企業(yè)自身用各種各樣的方法不斷發(fā)現(xiàn)問題、解決問題，同時(shí)也歡迎“白帽子”做一些善意的測(cè)試，發(fā)現(xiàn)盲點(diǎn)，幫助廠商完善安全體系。

　　“白帽子”提升了行業(yè)和廠商對(duì)安全的重視程度，但陳某也坦言，互聯(lián)網(wǎng)企業(yè)也有害怕“白帽子”的時(shí)候。有些“白帽子”經(jīng)意不經(jīng)意的測(cè)試行為，可能導(dǎo)致數(shù)據(jù)被破壞，甚至一些打著“白帽子”旗號(hào)的人會(huì)販賣數(shù)據(jù)。“白帽子”對(duì)用戶的數(shù)據(jù)產(chǎn)生侵犯，就可能觸碰互聯(lián)網(wǎng)企業(yè)的底線。

　　“白帽子”除了與互聯(lián)網(wǎng)企業(yè)打交道，還會(huì)與漏洞披露平臺(tái)產(chǎn)生聯(lián)系。

　　趙占領(lǐng)說，“白帽子”和漏洞披露平臺(tái)之間有兩種關(guān)系。第一種是平臺(tái)提供信息發(fā)布服務(wù)，平臺(tái)是信息存儲(chǔ)空間，“白帽子”把發(fā)現(xiàn)的漏洞信息提交給平臺(tái)，平臺(tái)按照自己的流程把信息提供給互聯(lián)網(wǎng)企業(yè)，該公開的時(shí)候公開。在這種情況下，兩者之間就是信息發(fā)布服務(wù)者和用戶的關(guān)系。

　　中科院軟件研究所研究員丁麗萍認(rèn)為，目前漏洞披露平臺(tái)大多采取用戶自由提交漏洞信息的模式，在這種模式下，“白帽子”怎么定義、怎么審核這些提交漏洞的人？這些問題成為關(guān)鍵。漏洞披露平臺(tái)很難保證每個(gè)用戶沒有在利益驅(qū)動(dòng)下做違法的事情。