在網際網路上,有這麼一群愛好安全技術的“宅男”,他們也被稱作白帽子。
與“黑帽黑客”相反,白帽子是用黑客技術維護網絡安全的力量,他們往往會被各大網際網路公司雇傭,通過攻擊自己的公司以測試網絡和系統的性能。在他們眼中,似乎沒有攻不破的系統。
▲圖檔來源網絡
一些曾經轟動社會的洩露事件,如13萬條鐵路售票網站網站12306使用者資料洩露、如家酒店等開房資訊洩露、騰訊7000萬qq群使用者資料洩露,均最早在烏雲網上由白帽子報告并引起平台方的重視。
不過,白帽子平常活躍的國内兩大漏洞報告平台居然在同一天無法通路,讓不少人将其與去年12月發生的一起事件聯系到一起……
兩大漏洞報告平台同一天無法通路
19日晚間,微網誌大v爆料,國内知名漏洞報告平台烏雲出現無法通路,因管理團隊接受整頓。
19日晚間,記者曾第一時間緻電聯系了烏雲社群負責人方小頓,但對方電話處于無人接聽狀态,無法确認是否接受整頓的說法是否屬實。
不過,20日上午,烏雲釋出公告稱網站正在更新,并稱微網誌大v的爆料為謠傳。烏雲營運團隊在官網聲明中稱:
烏雲及相關服務将進行更新,将在最短的時間内回歸……不管是從前,現在,還是未來,我們都将堅持這麼做下去。
據北京一位白帽黑客透露,日常活躍在烏雲上的白帽子至少有數千人。
無獨有偶的,同為白帽社群的上海鬥象資訊旗下白帽子社群“漏洞盒子”同樣在19日宣布系統維護。有媒體報道時稱,漏洞盒子同樣在按照相關部門的要求接受整頓。
但鬥象資訊科技在20日上午釋出緊急公告,否認了這一說法。其公告稱:
旗下漏洞盒子平台業務營運按照年度計劃既定進行,目前全線産品業務運轉正常,與其他事件無任何關聯。
20日下午,鬥象資訊科技市場副總裁李勇對記者澄清表示:
我們是躺着中槍了,我們旗下網站及業務目前沒有受到任何事件影響,正按照此前年度工作既定計劃進行正常營運與推進,關于公司進行網站維護更新的事情,是鬥象資訊科技将聯合國家相關政府管理部門進行相關安全生态體系建設的籌備之事而展開的,屬于早就既定的工作事項。
在網站維護更新的過程中,暫停該項目相關漏洞與威脅情報接受。整個更新時間大概需要兩三天,之後恢複營運。
針對烏雲停運更新事件,多位白帽子黑客對記者表示,猜測此次停運更新可能與去年12月份在烏雲社群發生的“袁炜事件”有關聯。不過這一說法未得到烏雲的回應。
據了解,袁炜是烏雲社群上一名白帽子,去年12月份,他在烏雲送出了其發現的婚戀交友網站世紀佳緣的系統漏洞。
在世紀佳緣确認、修複了漏洞并按烏雲平台慣例向漏洞送出者緻謝後,事情突然發生轉折。世紀佳緣在一個多月後以“網站資料被非法竊取”為由報警,4月份,袁炜被司法機關逮捕。
▲圖檔來源:央廣網
世紀佳緣ceo吳琳光當時回應稱:
在漏洞修複過程中,我們發現有900多條有效資料被攻擊者擷取,出于對使用者資料和資訊安全的擔憂,我們選擇了報警。
在警方披露調查結果之前,我們并不知道送出漏洞的白帽子和攻擊者是同一個人。
遊走在“黑白”之間缺少監管
“袁炜事件”讓白帽子群體受到廣泛關注。今年5月份,騰訊聯合白帽社群極棒在澳門組織的黑客大賽上,數十款家用網絡盒子被瞬間攻破,甚至微軟平闆surface防火牆也在數分鐘内被攻破。
但是在白帽子群體中不乏動機不純的“異類”。在維護安全的另一面,他們的存在在很多企業看來是威脅,從法律上來說,他們的行為并不受法律保護,處于灰色地帶。
前述北京的白帽黑客告訴記者:
真正意義上的白帽子是不依靠送出漏洞賺錢的,我們有自己的工作,送出漏洞純屬是業務愛好。
職業的白帽子也有擷取收入的規範途徑,主要是it企業委托授權的衆測,另外目前各種黑客比賽會提供豐厚的獎金,比如騰訊和極棒今年5月份在澳門舉辦的黑客大賽,冠軍團隊共獲得了42萬獎金。
但是這個群體裡同時存在很多渾水摸魚的人,以白帽子的名義做黑帽黑客的事,就像電影《無間道》裡演的一樣,一念之差就可能走向歧途了。
正常給企業網站做安全監測項目,一般隻有幾萬塊錢,和做黑産比起來真的太辛苦了。去年,有個白帽子挖到某家大型網際網路公司的漏洞,然後郵件給廠商,大緻意思是我挖到你們漏洞了,付給我點辛苦費吧,不然賣給黑産我也能賺不少錢,然後這個人被舉報就被抓了。
“很多平台對這些白帽子是缺乏監管的。因為大部分論壇注冊使用者都不是實名,不知道賬号背後是誰;平台也不知道白帽子黑客們送出的内容是不是全部内容,黑客檢測網站也是随機的。而且,平台是否需要對這些白帽子做監管?目前也沒有法律要求。”上述白帽子表示。
====================================分割線================================
本文轉自d1net(轉載)