白帽子與漏洞平台

「非常感謝提交漏洞和對XXXX的支持，我們已第一時間將漏洞修復完畢，並抓捕了你」。看過這麼一句話，你會不會莞爾一笑？對了，還有一條表情包的內容是這樣的「我有烏雲保護，日你網站怎麼了，不僅日你網站還拖你褲子……怎麼了」。大家又樂呵了一把。

昨天一條信息引爆了國內的信息安全行業，某廠商報案把某平台上一個提交漏洞的技術人員給抓了，行業兩派的爭議不斷，互相鄙視，程度遠遠超過了當年Windows陣營對Mac陣營。「白帽子」派（我們姑且這麼叫）是說廠商太無恥，我們好心給你們提漏洞，你們居然敢這麼對我們，你們要像其他廠商學習，人家不只快速修復，還有獎勵；「親廠商」派說你們明確觸犯了刑法，未得到授權，泄露了信息，把一個單純的技術漏洞硬是利用到了公關層面，公開數據公開細節，對企業造成了極大的負面影響。

我並不想就本身的事件進行任何的重複，我碼這段文字是因為我發現大家沒有意識到，要爭論的根本問題是什麼。白帽子和漏洞平台到底想要達到什麼樣的訴求，廠商到底想要達到什麼樣的訴求，以及最終能通過什麼樣的渠道去解決。

大家喜歡用一句話來說明問題「不忘初心，方得始終」，這似乎是一把尚方寶劍，放到哪都能用，都是權威，說了這句話我們就無敵了，任何傷害反彈。好吧，我們按照這個思路來說明一下問題。漏洞平台的初衷和白帽子的初衷是什麼？我暫且先用這麼一句話來代表白帽子描述「我們有著足夠強大的技術力量能夠幫助企業發現問題，並協助企業解決問題。也希望企業能夠信任我們，支持我們的行為。我們並不求任何回報，不過有一定的回報我相信我們能配合的更深入更好。」

我覺得這個初心沒有任何問題，這個社會一定有很多人心存善意，願意打造一個和諧互助的環境。但是一個巨大的攔路虎在哪裡：刑法兩次的修正案都明確定性了，未授權入侵檢測，獲取了數據，尤其是在傳播的情況下明確屬於違法行為。這些條文大家能看出來，防君子不防小人。一個國家需要這麼一批有能力的人，但是又不希望是完全不可控的，所以立了法，沒有傷害沒人追究就持觀望態度，一旦事情鬧大有了負面影響，不打擊是不可能的了。

任何一個個體抗風險能力為0，你的善心在尚未得到驗證之前是不被認可的，說抓也就抓了。於是出現了一些漏洞平台，他們有一些官方層面的認同和合作，有些事情就有了溝通渠道。這時候，白帽子群體的共同訴求開始進行了轉變，他們希望「這種漏洞的發現和披露形式是合法合規且合理的」。也許掩蓋了一些魚目混雜的假白帽，但是大部分人還是希望能夠往好的方向發展。

這個過程中，形式確實發生了一些變化，執法部門加入了嘗試性的接觸和觀望態度，他們也不希望涉入太深；各企業也開始了與各漏洞平台試探性的合作。記住了，這些都是實驗性質的，誰也沒有對此定型善或者惡，都想先通過行業的自我發展來進行妥協和調整。

但是這種嘗試性的合作前期引起了誤解，最直接的體現是有少數一批白帽子們並沒有認清形勢的發展，突然感覺良好，認為漏洞平台的實驗性質的合作就是合法，導致無限膨脹了。比如有白帽子認為不給獎勵就是有問題，比如有白帽子認為廠商在技術上不認為是漏洞也是有問題，甚至是這種問題激怒了白帽子引發了「恐嚇」，「脫褲」，「刪數據」等過激行為（這是真實發生過的）。

前期衝突幾乎是一定的，可以預見的，因為沒有規則，沒有權威的機構，只有民間自建的體系。記住了，所謂的和諧體系是一個初期妥協的產物，廠商對漏洞平台的所謂合作，以及對白帽子們的認同，這種微妙的合作關係非常脆弱，就如同一張窗戶紙，一捅即破。如果廠商覺得白帽子的行為不可控，所謂的提交漏洞對企業弊大於利，那麼企業就會反彈，撕破那張紙，向有關部門施加壓力。相關部門壓力積累到一定量的時候，很多事情就扛不住了，心想給你們機會不好好珍惜，鬧得社會不安寧，看著心煩於是乾脆一巴掌拍死得了。

我們回到最初的訴求，白帽子是希望自己的身份得到認可，希望跟企業更好的合作。企業希望看到的是你真誠的笑臉，而不希望看到你背到後面的手上拿著一把刀。尤其在這個已經明確定義為不合法的法律社會，白帽子很多事情不能做，很多玩笑不能開。你可以試想一個國家的領導人到勞苦大眾中視察，滿臉的笑親切的很，但是如果一個小攤販不識好歹，嘗試跟領導人勾肩搭背做兄弟狀，他離死也就不遠了。領導人跟你勾肩搭背開玩笑可以，你爬到他身上就不行。

上面說的大家如果能理解，那麼我們再往後走一步：目前不合法，未來能不能合法？如果未來都看不到希望，我覺得這個社會未免太黑暗了。同性戀在多少年前全球就不合法，但是到今天我們再看看，許多國家已經明確立法支持合法，很多國家雖然沒有明確支持，但是也沒有明確反對了，這就是進步這就是改變，這就是方向。所以，其實各大漏洞平台都在做這樣的嘗試：漏洞平台越來越多，接入的廠商越來越多，跟相關部門的合作月來越多，白帽子越來越多切越來越能管控自己在一個合理可控的區域，那麼整個生態體系的抗風險能力就強了，它就從一個黑暗面逐步進化到台前。這難道不就是希望么？

有個觀點我還想說一說，白帽子之所以發生膨脹，漏洞平台不能完全脫離干係，如果平台沒有處理好跟廠商的關係，那麼平台必須對真正善意白帽子做好保護工作，比如漏洞如何披露，數據如何展示。白帽子沒有法律意識，漏洞平台必須有法律意識，找相關的律師事務所合作，不只是保護平台，也要保護好白帽子在做貢獻的同時自身是安全的。除此之外，給白帽子進行一些規範，有所為有所不為，哪些紅線不能踩一定要先溝通好。否則，收漏洞時很開心，披露時也很開心，事情鬧的還挺大，出事了平台說跟我無關是不利於行業發展的。

最後，有利益的地方就有犯罪，有進步的地方就有衝突。我們不要因為一些特例來一棒子打死一個新方向的嘗試，我們為任何過激行為（不論是白帽子還是廠商）表示遺憾，我們還是希望呼籲所有人正確看待白帽子們的貢獻。電能電死人不代表我們就不用電，車能撞死人不代表我們就不開車，電和汽車都是科技的產物，都是人類社會進步的產物。我們應當給予適當的包容，適當的理解，適當的欣賞。

白帽匯趙武

推薦閱讀：