烏雲停擺危機幕後：“正面黑客”究竟是什麼人？

qq、微信被盜，某個網站的帳戶密碼洩露，個人身份證、電話等資訊被洩露……這背後幾乎都離不開黑客。在it世界裡，黑客分為兩種，一種是“黑客”，把系統漏洞兜售到黑市上，謀取巨額利益。另一種則是“正面黑客”，把系統漏洞送出給廠商，讓廠商及時修複漏洞進而保護使用者資訊。兩者有一個共同點，他們都能夠發現計算機和網絡系統上的漏洞。但在相應法規尚未完善的情況下，這一共同點也讓兩者之間的界限顯得有點模糊。

近日，随着袁炜的被捕，兩者之間的界限争論再度成為風口浪尖上的話題。随後，兩大漏洞報告平台之一的烏雲網昨日開始也陷入停擺危機。盡管烏雲網官方口徑稱“進行更新”，但有不願意透露姓名的知情人士向南都記者透露，“烏雲網有十幾個高管被抓。”然而直至昨天截稿時，這一消息尚未得到官方證明。“正面黑客”究竟是什麼人?他們日常所從事都是什麼工作?帶着對這一行業的神秘猜想，南都記者昨天聯系采訪了多名it世界裡的“正面黑客”高手，試圖還原他們最真實的生存狀态。

“烏雲确實出事了”?

烏雲被認為是國内最早的漏洞報告平台，成立于2010年，衆多“正面黑客”聚集其中，并曝出了此前多個網際網路平台資訊洩漏事件，如此前的鐵道部官網12306使用者資料洩露一事，為烏雲網赢得了公衆不少好感。

南都記者昨日下午再次登陸發現，打開烏雲網頁後出現的是更新公告。公告中提到，“為了更好地向大家提供服務，烏雲及相關服務将進行更新。我們将在最短的時間内，以最好的姿态回歸。”烏雲網同時在公告最後指出，“與其聽信謠言，不如相信烏雲。”不過，有不願意透露姓名的知情人士向南都記者透露，“烏雲确實出事了，有十幾個高管被抓了。”但對于更多細節，該人士拒絕進一步透露。針對對上述種種消息，烏雲官方在接受南都記者采訪時則未予置評。

在業内看來，烏雲事件應該和此前袁炜被捕一事息息相關。不久前，袁炜向烏雲平台送出某婚戀網站的漏洞報告，烏雲平台将該漏洞告知并得到了修複。之後該婚戀網站針對使用者資訊被竊取一事報案，結果被抓的人卻是袁炜，今年4月12日，北京市朝陽區人民檢察院已正式準許逮捕袁炜。

此事件後，南都記者登入網際網路安全測試另一大平台漏洞盒子發現，該頁面可以正常打開，但旗下“漏洞黑闆報”網頁則打不開，其官方公告裡的“熱門漏洞”也變成404頁面。漏洞盒子方面昨日向南都記者表示，所有業務都沒有受到任何烏雲事件的影響，公司目前準備做一些制度上的改版，也是在正常的計劃安排中。

遊走于法律邊緣

兩種黑客之間，實際上僅有一線之隔，都遊走在法律的邊緣。安全專家李夏(化名)向南都記者表示，“黑客”是把漏洞賣到黑市上，謀取巨額利益。“正面黑客”是把漏洞送出給廠商，讓廠商及時修複漏洞保護使用者資訊。

不過，有it業資深人士對南都記者表示，烏雲的模式存在一定弊端。一般烏雲與漏洞盒子兩家平台釋出一則漏洞資訊後，一段時間内如果沒有廠商認領，他們就會選擇直接公布漏洞。“對于我們而言肯定是好事，可以學習他的思路，但對廠商就不一定了。”有一不願透露姓名的“正面黑客”向南都記者透露，他之前曾發現某金融公司的漏洞，但最後無人認領，一個半月後被釋出了。“從我個人角度來說，我是不希望這個漏洞被一些有心人利用的，是以我就跟烏雲的人協調了一下，把關鍵資訊打上了馬賽克。”

同樣是在未授權情況下對某網站或伺服器進行滲透測試，這樣做是否合法合規?李夏向南都記者坦言，其實都是“不合規的，但行業裡很多人都會這麼做。”

按照上述業内資深人士的說法，“正面黑客”查漏洞行為從法律角度是沒有合法規定的，隻是現在幾個漏洞平台由政府支援，是以處于一個“不算違法”的情況。一般漏洞檢測有兩種情況，一是廠商發起衆測，并根據漏洞大小予以打賞;一種是自發上報，引起廠商或者漏洞平台的注意，換取積分可以在漏洞商城換一些極客商品，或者有廠商會自發打賞，這個價格沒有标準。

二者各成圈子

和“黑客”販賣網絡漏洞獲得的高額收入相比，“正面黑客”更多被認為是“情懷主義”。獵豹移動安全專家李鐵軍(微網誌)向南都記者介紹說，在國外，微軟、谷歌(微網誌)等科技公司都會給“正面黑客”專門的獎勵，并且加上榮譽公告。“價格都在幾千美元到幾萬美元不等，”李鐵軍說，這當然不能與“黑客”相比，一個高危漏洞在黑市上賣出上百萬美元都很正常。

“(”正面黑客“)不能沾那些事情，一旦沾了的話，就回不了頭。”李夏特别強調。

李鐵軍也指出，“其實很多資料庫洩露都是撞庫等方式洩露的，這是資料庫本身已經暴露的基礎上造成的，根本不需要黑客這種技術功底。”

騰訊科恩實驗室成員陳良表示，近幾年來網絡資訊洩漏事件頻發，加上資訊安全從業人員水準的提升，使得“正面黑客”開始被當成正當職業對待，而圈子内“黑客”和“正面黑客”分得比較開。騰訊電腦管家團隊成員鄧欣表示，公開場合内二者會有技術、研究成果的交流，但也僅限于此，“比如說像q q盜号的人，他們有自己的圈子，他們交流不走國内的管道，他們找一些很偏的通訊軟體進行溝通。”鄧欣說。

名詞解釋

●正面黑客：

it行業内指有能力識别計算機或者網絡系統中存在的安全漏洞，但不做非法用途，而是告知企業修複漏洞，之後再公布細節的人，和黑客僅有一線之隔。被喻為網絡世界中的“超級英雄”。

●烏雲網：

漏洞報告平台，此前鐵道部官網12306使用者資料洩漏一事便是由該平台進行公布，提醒使用者更改密碼，因而赢得使用者不少好感。

====================================分割線================================

本文轉自d1net（轉載）