“黑”與“白”在一念之間

　　既然“白帽子”是做好事的好人，為何引發(fā)關(guān)注和爭議？記者了解到，“白帽子”與“黑客”的區(qū)別往往就在一念之差；并且，即使“白帽子”是善意的漏洞挖掘，也可能給企業(yè)帶來困擾。

　　“本公司求賢，年薪百萬……”2016年7月，在一場“白帽子”交流大會上，一塊大屏幕顯示著參會者發(fā)布的彈幕。

　　“相比‘白帽子’的能力而言，年薪百萬真的不算多。”參會的“白帽子”張某告訴記者，他們?nèi)羰亲?ldquo;黑客”，那些技術(shù)帶來的利益可能會是上千萬元。

　　“與‘白帽子’相對應(yīng)的是‘黑帽子’‘黑客’。”趙占領(lǐng)說，“黑客”發(fā)現(xiàn)安全漏洞后，利用漏洞從事破壞活動或非法謀取利益(行業(yè)內(nèi)也稱為“做黑產(chǎn)”——記者注)。

　　在朱巍看來，“黑客”與“白帽子”的行為看起來有相似性，但目的卻截然相反。“黑客”的目的是為了賺錢，或是為了破壞網(wǎng)絡(luò)安全。

　　某互聯(lián)網(wǎng)企業(yè)安全部門負責(zé)人陳某，在多年前也是一個“白帽子”。他告訴記者，當時還沒有“白帽子”“黑帽子”的說法，他喜歡研究互聯(lián)網(wǎng)安全技術(shù)，發(fā)現(xiàn)了互聯(lián)網(wǎng)企業(yè)的一些安全問題，當時沒有什么途徑通知廠商，只好自己想辦法聯(lián)系。他看到通訊錄后，聯(lián)系了對方公司的CEO。從那之后，他進入了互聯(lián)網(wǎng)安全這個行業(yè)。

　　站在“白帽子”和廠商的角度，陳某有一些體會。陳某告訴記者，“白帽子”一開始大都是技術(shù)驅(qū)使，他們進行學(xué)習(xí)、發(fā)現(xiàn)問題、練習(xí)技術(shù)。很多時候，“白帽子”好奇是不是可以發(fā)現(xiàn)更多的問題，但很容易收不住手，一步步走下去就可能越走越遠。

　　童姓民警講述了一個案例，一個技術(shù)人員通過滲透入侵的方式進入一家網(wǎng)站并獲取到了數(shù)據(jù)。此后，這些數(shù)據(jù)被他人加以利用，盜竊數(shù)百萬元。

　　“成功進入某公司網(wǎng)絡(luò)或者成功測試漏洞后，‘白帽子’可能看到很多東西。人都是有好奇心的，我再進一步看看，我再多獲取一點兒數(shù)據(jù)。”童姓網(wǎng)警說，“白帽子”在進行漏洞挖掘時，首先要做到的就是自律。

　　趙占領(lǐng)認為，一些“白帽子”對法律不了解，不知道行為界限在哪里；另一些“白帽子”了解法律，但管不住自己的好奇心，他們獲得數(shù)據(jù)并不是出于違法目的，而是自律出了問題。

　　倚重與防備之間尷尬生存

　　“互聯(lián)網(wǎng)企業(yè)和‘白帽子’是相輔相成的，特別是互聯(lián)網(wǎng)企業(yè)的安全部門非常倚重‘白帽子’。”陳某這樣評價互聯(lián)網(wǎng)企業(yè)與“白帽子”之間的關(guān)系，互聯(lián)網(wǎng)企業(yè)有一項很重要的職責(zé)，就是保護好用戶的信息安全?；谶@一職責(zé)，互聯(lián)網(wǎng)企業(yè)自身用各種各樣的方法不斷發(fā)現(xiàn)問題、解決問題，同時也歡迎“白帽子”做一些善意的測試，發(fā)現(xiàn)盲點，幫助廠商完善安全體系。

　　“白帽子”提升了行業(yè)和廠商對安全的重視程度，但陳某也坦言，互聯(lián)網(wǎng)企業(yè)也有害怕“白帽子”的時候。有些“白帽子”經(jīng)意不經(jīng)意的測試行為，可能導(dǎo)致數(shù)據(jù)被破壞，甚至一些打著“白帽子”旗號的人會販賣數(shù)據(jù)。“白帽子”對用戶的數(shù)據(jù)產(chǎn)生侵犯，就可能觸碰互聯(lián)網(wǎng)企業(yè)的底線。

　　“白帽子”除了與互聯(lián)網(wǎng)企業(yè)打交道，還會與漏洞披露平臺產(chǎn)生聯(lián)系。

　　趙占領(lǐng)說，“白帽子”和漏洞披露平臺之間有兩種關(guān)系。第一種是平臺提供信息發(fā)布服務(wù)，平臺是信息存儲空間，“白帽子”把發(fā)現(xiàn)的漏洞信息提交給平臺，平臺按照自己的流程把信息提供給互聯(lián)網(wǎng)企業(yè)，該公開的時候公開。在這種情況下，兩者之間就是信息發(fā)布服務(wù)者和用戶的關(guān)系。

　　中科院軟件研究所研究員丁麗萍認為，目前漏洞披露平臺大多采取用戶自由提交漏洞信息的模式，在這種模式下，“白帽子”怎么定義、怎么審核這些提交漏洞的人？這些問題成為關(guān)鍵。漏洞披露平臺很難保證每個用戶沒有在利益驅(qū)動下做違法的事情。