黑客、紅客、白帽子之間的技術較量,為什麼大公司都有黑客團隊?
【黑客聯盟2017年04月14日訊】QQ號、信用卡密碼、企業核心資料庫,在地下黑色產業鏈上,互聯網上的一切信息都可能成為黑帽子黑客牟利的工具。處於防禦姿態的白帽子黑客在與黑帽子黑客的較量中,贏一次不能算贏,輸一次就永遠輸了。
「世界上有三種人:一種是被黑過,一種是不知道自己被黑過,還有一種是不承認自己被黑過。」
一位穿著灰襯衣黑長褲的年輕人在發表演講。他中等個頭、精瘦,略顯緊張地單手插在口袋裡。台下黑壓壓地坐著三百多人,大多是來自各地的黑客。聽眾們只知道這位年輕人的網名叫「豬豬俠」,他的身份是烏雲社區的頭號白帽子黑客。
在黑客的世界中,黑帽子和白帽子的稱呼分別代表兩種對立的角色—以網路信息牟利的惡棍和保護網路安全的英雄。這種說法緣於美國早期西部片以白帽和黑帽區分正邪雙方。
這是在2014年9月12日烏雲首屆安全峰會上。峰會的主辦者是國內著名第三方安全漏洞平台烏雲網。烏雲網由原百度安全專家方小頓在2010年創建,逐漸成為白帽子黑客的聚集地。他們相當於互聯網的「啄木鳥」,隨時監測各家網站漏洞,發出警告。
「後來我又想到第四種,就是正在被黑。」「豬豬俠」繼續用他的南方口音說道。他並非危言聳聽,在講台的另一側,一個針對現場聽眾手機的攻擊正在進行—至少有3個人的銀行卡餘額、1個人的股票買賣等隱私信息出現在大會投影屏幕上。
在由信息流構成的網路世界中,這樣的攻擊幾乎每時每刻都在發生。人們越離不開互聯網,就越是身處險境。
在黑客誕生那會兒,其實世界不是這個樣子。「黑客(Hacker)」一詞原指用斧頭砍柴的工人,1960年代這個辭彙才被引入計算機圈。據《黑客:電腦時代的英雄》一書記載,這個群體起源於1950年代的麻省理工學院。一群學生認為,信息都是應該公開的,可以被平等地獲取。於是,他們闖入了當局限制使用的一個計算機系統。
中國的黑客直到1990年代才露面。他們最初多是破解軟體、用軟盤複製小軟體開始,第一次集體行動則頗具時代特色:在印尼排華事件後,向印尼政府網站的信箱中發送垃圾郵件。
最初的理想主義逐漸被金錢的誘惑所取代。在黑帽子隱身的地下世界中,一條買賣信息的產業鏈業已形成,並給黑帽子們帶來了巨大利益。烏雲創始人方小頓曾在接受採訪時稱,可能一個並不起眼的黑客,某一天你就會發現他住上了好房,開起了好車。「目前最強的黑帽子和白帽子的收入差距大概是日薪一萬和月薪一萬的差距。」
黑帽子的威脅使網路安全的市場需求激增。在《信息安全與通信保密》這份專業雜誌的一份報告中稱,2012年,中國網路安全產業規模達到216.40億元,同比增長20.9%。在A股上市公司中,涉及網路安全概念的至少達12家,這還不包括在美國上市、最高市值達100億美元的奇虎360公司(紐交所代碼:QIHU)—這家公司自稱擁有「東半球最強大的白帽子軍團」。
在隱秘的戰場上,白帽子和黑帽子的較量早就開始了。他們看不見對方,只能在一次次過招時才能感受到對方的存在。
「黑白」攻防戰
每一個「信」就像一頭牛,剝皮,拆骨,切肉,到了早上7點,只剩一攤血污。
在黑客的世界中,黑帽子和白帽子的稱呼分別代表兩種對立的角色—以網路信息牟利的惡棍和保護網路安全的英雄。他們看不見對方,只能在一次次過招時才能感受到對方的存在。
與想像中的魔法世界不同的是,黑白帽子的對抗常常不發生在同一時間。奇虎360公司攻防實驗室副主任林偉對南方周末記者說,他們面對的往往是事前的漏洞挖掘,或是黑帽子在事後留下的犯罪現場。
根據痕迹順藤摸瓜修復漏洞,甚至找到攻擊者是他們最經常的任務。白帽子同樣可能使用攻擊手段—在入侵者的網頁中植入木馬,當其試圖操作時,定位入侵者。
「漏洞」是雙方攻防的焦點。所謂漏洞,即在網路系統中可以被利用的缺陷。黑帽子一旦發現漏洞,即可迅速展開攻擊。
以「信封號」(即被盜的QQ號)產業為例。31位曾在微軟、百度、麥肯錫工作過的分析師組成了研究團隊TOMsInsight,他們在一份報告中描述了銷贓的全過程:通過發現漏洞、植入木馬或其他攻擊手段獲得的一組QQ用戶名和密碼稱為一個「信」,一個信封就是一萬個(或者一千個)信的集合,拿到這些信息被稱為「取信」。
隨後是「洗信」,將號內的Q幣、遊戲裝備轉移出售,挑出本身就比較值錢的「靚號」。洗過之後,這些「二手信」變成了推送各種消息的絕佳平台:群發廣告、欺詐信息、QQ空間植入廣告。最後,被榨凈的QQ號還會賣給黑客用來編寫密碼字典。
到了第二天天亮,被盜號的用戶通常會發現QQ號被盜,從而修改密碼或者採取安全保護,讓信封中大量的號失效。所以整個銷贓的過程都集中在晚上12點至早上7點之間。每一個「信」就像一頭牛,剝皮,拆骨,切肉,到了早上7點,只剩一攤血污。
黑客的攻擊,常常是通過入侵網站,植入木馬,給廣告商做推廣引流量;盜取QQ號等有價值的賬號信息;在「黑鏈」中用SEO負面信息實行敲詐;更直接的,通過破解廠商核心資料庫,勒索或在網上售賣。企業的核心代碼、金融信息和積累的巨量用戶數據,這些商業價值巨大的信息也是黑帽子攻擊的重點。
所有人都清楚,沒有系統是完美不可破的。大多數安防系統的思路是,提高黑客突破的時間和技術成本,從而迫使攻擊者放棄。
處於防禦姿態的白帽子黑客在與黑帽子黑客的較量中,贏一次不能算贏,輸一次就永遠輸了。「豬豬俠」說,「只要被黑一次,只要被黑客帶走的信息足夠多,下次他依然能夠拿那些以往獲取到的信息,再次黑進來」。
在烏雲社區,白帽子們幾乎每時每刻都在搜索漏洞。「豬豬俠」自己製作了掃描器來搜索一切漏洞,比起辛辛苦苦一個個尋找漏洞,他已經實現了自動攻擊,在烏雲社區Rank值(提交的漏洞評分總和)高居第一。「只需要輸入一個域名,用掃描器掃,不費體力。範圍現在是全世界。」他對南方周末記者說。
由於斷了黑帽子的財路,像烏雲、奇虎360這樣的安防公司也成了黑帽子瘋狂攻擊的對象。
「每個月都有好幾次,這對於烏雲這種規模的網站而言是很不正常的。」烏雲聯合創始人孟卓說,他在烏雲上的ID是「瘋狗」,儘管這與他本人的白凈形象相去甚遠。
奇虎360公司董事長周鴻禕也曾險遭暗算。有一次,奇虎360內部信息安全部門發現一個內部IP異常—這是一個訪客接入無線網路後,試圖暴力破解周鴻禕的密碼,以進入360的內網。由於周鴻禕的賬號即郵箱地址是公開的,一旦密碼被攻破,黑客將獲得進入內網的許可權,長時間潛伏也難以發現,可能觸及的信息將難以想像。
「我們派出人去跟蹤信號,幾乎就快要抓到了,最後在一個電梯口跟丟了。」奇虎360的一位內部安全專家對南方周末記者說。這件事甚至促使360開始發展無線安全產品,以補齊無線這一塊短板。
白帽子崛起
在「知乎」上,「如何黑掉知乎」的問題被提出後,他就跟帖貼出了密碼庫的連接密碼和用戶數據的信息結構。
360公司一份內部PPT顯示,2008年前,安全公司普遍凈利潤低,而在BAT(百度、阿里巴巴、騰訊)等大公司里,安全部門又不是產生價值的部門,不受重視。
近年來,黑帽子地下產業鏈的興旺,卻在無形中抬高了白帽子的身價,這也成了很多黑客躋身白帽子群體的動力。一批擁有傳奇故事的ID轉換成實名,出走創業,或者被印在了各大網路公司的員工卡上。
奇虎360董事長周鴻禕甚至親赴外地尋找「網路神童」,此前,憑藉高薪吸引,他已經打造了一支在業內堪稱豪華的團隊。曾被稱為「驅動神童」的MJ0011(本名鄭文彬)目前任奇虎360首席工程師,他在接受南方周末記者採訪時兩次提到,「老周很講義氣」。周鴻禕曾在某次部門變動時點名將鄭文彬留下。
「演講之後,『豬豬俠』的身價可能就要超過百萬了」,烏雲的一名骨幹團隊成員說。
當「豬豬俠」演講完後,南方周末記者通過QQ向他提出採訪要求。很快,他就用QQ傳過來一份2013年的南方周末通訊錄截屏,「你應該是入職還不到一年吧?去年的通訊錄里沒有你」。
這樣的「炫技」對「豬豬俠」來說已經成了一種習慣。他曾在2013年先後四次嘗試漫遊騰訊內部網路最終成功,四次入侵的連載帖子被眾多白帽子奉為「神作」。他的前輩、騰訊安全的資深黑客lake2也將與他交手的經歷寫成文章,作為對自己防禦系統的檢討。
他在著名問答社區「知乎」上有另一個ID「王音」。在「如何黑掉知乎」的問題被提出後,他就在跟帖上貼出了密碼庫的連接密碼和用戶數據的信息結構。
「豬豬俠」的真實身份依然是個謎團。至少有包括騰訊安全部門的lake2在內的三名資深黑客認為,「豬豬俠」就是聲名遠揚但從不露面的傳奇黑客「V」。
曾任阿里巴巴高級安全專家的黑客吳翰清2013年在一篇博文中寫到一個名叫「V」的傳奇黑客,積累了一個去重後有13億條數據的資料庫。「每條記錄,都包含了用戶名、密碼、身份證號(社保ID)、手機號、郵箱、登錄IP等信息,覆蓋了半個互聯網。」
「V」在入侵後也從不刪除數據或進行破壞,也不會用入侵獲得的成果牟利,「他至今仍恪守著古老的黑客守則,就如同中世紀的騎士們執著於騎士精神一般」。
「豬豬俠」的黑客生涯緣起於一次遊戲道具的失竊。初一的時候,他在盛大傳奇44區的一個35級魔法師號被盜。「剛打到一本魔法盾就被盜了,相當失落。」時隔十多年,他仍把這段經歷看做自己的恥辱。
魔法盾是遊戲中魔法師角色學習關鍵技能的必需道具。而當他去搜索引擎中查找相關資料時,「木馬」兩個字出現了。因為賬號被盜而失落、無聊,從網遊《傳奇》中走出,「豬豬俠」走進了一個更大的遊戲場。
叛逆、挑戰、對「突破規則」的渴望,也幾乎是所有黑客起步的機緣。如果不是為了繞過網吧的收費系統,為了破解父母設置在電腦上的密碼偷玩遊戲,或是為了獲得少量的Q幣,可能許許多多在互聯網上提交漏洞的白帽子們,還不知此刻會在何方。
方小頓說,「網路安全問題本身就存在於破壞規範中,處理網路安全問題的核心在於不守規矩。」這些知識不在傳統的課堂上,相關專業也直至近年才出現。
白帽子的世界裡,少有科班出身的「網路醫生」,更多的是草莽出身的「屠狗者」,在網路世界闖蕩江湖,獲得各自的「魔杖」後,他們選擇戴上了屬於自己的白帽子。吳翰清對南方周末記者說,「以前在阿里巴巴,(安全方面)最核心的人,有一半就是沒有本科學歷的」。
像「豬豬俠」這樣的白帽子,在烏雲平台上註冊的有6214名,活躍的超過1000名,足以組建好幾家專註安全的互聯網公司。其中20名核心白帽子的技術實力,可能令任何一家專業廠商都無法小覷。在不少互聯網企業的招聘要求中,在烏雲上提交過漏洞,甚至成為一個前置條件。
在擁有了諸多黑客高手之後,烏雲也逐漸有了豐厚回報。整個烏雲峰會期間,烏雲管理團隊成員楊蔚就不斷地在接電話、回信息,其中不乏「眾測」的業務電話。「眾測」是一種由廠商提供產品,由烏雲組織白帽子專門為其尋找安全漏洞的眾包生產模式。
楊蔚沒帶名片。「我要是拿100張名片來,肯定早就發光了。現在眾測排隊已經排到了10月份,一個月可能有十幾個項目,總金額也有五六十萬元了。」他的語速極快。
發現漏洞本身也有了價格。很多網路公司、安防公司會發起懸賞,漏洞提交者可能得到不菲的現金獎勵。有的漏洞帖子末尾,將會出現金燦燦的美元符號。在各大廠商每月的「土豪榜」里,依靠提交漏洞而獲得數萬收入者並不鮮見。
在危險邊界游弋的灰帽子
絕大多測試在沒有授權的情況下進行。
首屆烏雲峰會結束後的當天晚上,超過百名白帽子聚集在北京798藝術區的一家名叫「WOOYUN CLUB」的酒吧里。這是烏雲網2014年8月創辦的黑客酒吧,如今只是試營業狀態,酒水單都尚未印全。
酒吧玻璃牆上的代碼串和外牆上的塗鴉都來自黑客世界,幾乎每個名詞都對應著一種網路攻擊的形式。出入這間酒吧的人,多以網路ID示人,酒單上也印著只有黑客才能看懂的酒名,如「DDoS」這款雞尾酒。「DDoS」是一種常見的流量攻擊方式,以一段時間內佔用大量網路資源,使伺服器癱瘓為目的。
坐在酒吧里的白帽子在明處,黑帽子在暗處。事實上,還有一種不黑不白的灰色地帶。
「豬豬俠」在烏雲提交的許多漏洞描述中,都會有一句聲明「未做深入研究」,意即為發現漏洞點到為止,但並未非法竊取數據。這也是大多白帽子在尋找漏洞時面臨的邊界。廠商在回復時,也常加上一句,「請各位白帽子在安全測試中注意遵守國家相關法律」。
眾多白帽子都覬覦著「豬豬俠」多次祭出的大殺器—漏洞掃描器,希望能夠公開放出。但豬豬俠看起來沒有這樣的打算。顯而易見,保證自己都並非易事,他很難保證每一個得到「武器」的人,也「不做深入研究」。
吳翰清對南方周末記者表示,根據刑法新的修正案,未經授權入侵他人計算機的行為,都是非法的。烏雲也在《信息安全相關保護與聲明》中寫道,「白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,烏雲對此不承擔任何法律責任」。
事實是,絕大多測試在沒有授權的情況下進行。眾多的白帽子,行走在無人把守的危險邊界。
一位烏雲白帽子談到黑白帽子的界限時說,前期分析、獲得漏洞的過程幾乎沒有區別,「白帽子會說自己是白帽子,黑帽子從不會說自己是黑帽子。大家只是最後的利用方式不一樣。」
曾負責管理某公司郵箱系統的一位管理員在被報告漏洞後進行了系統修復,並向白帽子表示感謝。但他不太願意和黑客們過多接觸,不論黑帽子還是白帽子。他害怕自己的隱私會無所遁形。
「畢竟是富有攻擊色彩的行業,(黑客)會讓人不信任。」奇虎360公司的一位安全專家說。
發展初期的烏雲,在企業眼中簡直就是個黑客集中營,這樣的不信任感如同堅冰。在企業眼裡,提著自己的漏洞找上門來的,往往不是惡意競爭的同行,就是勒索要錢的黑客。一家大型國企曾要求烏雲將自己的漏洞信息刪除,遭拒後,封掉了烏雲的流量,後經反覆協調才重新開通。
事實上,白帽子和黑帽子的邊界本來就是模糊的。據多名圈內人士印證,許多資料庫的漏洞被放出來前,價值就已幾乎被榨乾。一些黑帽子先把黑錢掙了,再改頭換面進入企業、白帽子團隊或是加入烏雲平台,都是「洗白」的路徑。
大多互聯網公司用人的一條原則是,決不錄用有黑帽子經歷的人。「曾經就有案例,一個知名社交網站錄用了一個前『黑帽子』,結果他在一個月內把系統摸清楚,最後把公司的資料庫全拖了。」上述奇虎360公司的安全專家對南方周末記者說。
做過黑帽子的人幾乎不可能再成為白帽子,除非你可以成功隱瞞你的過往—換個馬甲,在網路世界裡一切就可以重新來過。
「我們只能看他在烏雲平台上做了什麼,對於過往經歷,我們沒有能力,也沒有義務去全部弄清。」方小頓的想法並不複雜,「讓好人可以做好人,讓壞人也想來做好人。」
他蓄著長發與短鬍鬚,看上去更像一個藝術家。他的設想是,讓白帽子們過上乾淨且自由的WOOHO(Wooyun Home Office)生活—不論你在哪,只要打開電腦,依靠自己的技術力量尋找漏洞、提交漏洞,就可以此為生,自在逍遙。
看上去很誘人。但事情的複雜性在於,整個網路世界都是灰色的,如果有區別,也只是灰度的不同。方小頓和他的夥伴們承認,在「帽子」們的江湖裡,這一點也不例外。
攜程、360們都在僱傭黑客
提到黑客大部分人可能會戴上有色眼鏡去對他們評頭論足,竊取個人隱私、危害企業安全,甚至於進行國家網路設施破壞,這些都是大家在電影中所看到的黑客。
而在現實中,黑客並不都是大家所想像的那般。黑客其實是由外語Hack音譯而來,又稱駭客,本身並沒有任何貶義成分在其中。黑客大致可以分為三種「顏色」:白、黑、灰。那具體又是如何來進行劃分的呢?
360安全獵網平台負責人裴智勇用一個形象的比喻進行了說明:「黑客這個詞在安全上沒有褒義和貶抑,分白帽子、黑帽子或灰帽子,看到你家門沒關進去偷東西的是黑帽子,看到你家門沒關進去偷完東西的再告訴你把門關了是灰帽子,看到你家門沒關告訴你關上的是白帽子。」而我們今天所要說的就是代表正義的「白帽子」。
3月30日,補天白帽大會在深圳舉行。大會由補天漏洞響應平台主辦,指導單位包括國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心、中國信息安全測評中心和國家信息技術安全研究中心。360互聯網安全中心、hacker one、 聯想SRC,百度SRC等30多家企業和機構均派出代表參加。
「萬物互聯」下的安全憂患
如同人類用語言進行表達時,會經常出現語法、邏輯上的錯誤一樣,計算機語言中的「語法錯誤或邏輯性錯誤」,都叫做「漏洞」。齊向東說,「漏洞很容易被人拿來進行網路攻擊,就像我們說話不注意出現了瑕疵之後讓人抓住了把柄,『有心之人』會拿住這些話反過來攻擊我們。在計算機領域也是一樣」。
漏洞被非法利用有何危害?齊向東認為危害在不同時期有著不同的嚴重性:在以內容和應用為核心的「消費互聯網」時代,被網路攻擊會丟隱私、丟錢,會「傷財」;而在已經來臨的以大數據為核心的「工業互聯網」時代,互聯網背後是生產線、控制系統,直至萬事萬物。一旦遭受網路攻擊,會控制失靈、車毀人亡,危及生命,是「損命」。
近兩年,全球範圍內先後發生了多起引起廣泛關注的,針對工業、能源等關鍵基礎設施的攻擊,除了竊取敏感數據以外,更多是以直接破壞工業設備系統為目標,使目標系統癱瘓、日常作業流程無法正常運轉,嚴重者可大面積威脅百姓生命財產安全。
2016年4月,德國核電站原料添加系統遭遇網路攻擊,檢查人員發現系統內被植入破壞性木馬,安全起見,核電站被臨時關閉;去年,卡巴斯基掃描了全球170個國家和地區的近20萬套工業控制系統,其中92%都存在安全漏洞,有遭遇黑客攻擊、接管甚至破壞設備正常運行的風險。
有統計顯示,網路攻擊每年給企業造成的損失高達5000億美元,這個數字每年還在大幅上升。在針對企業的攻擊中,重點關注的領域依次是:通信網路、電子電器、海洋與港口、能源化工、交通運輸、航空航天和網路安全。
2015年,菲亞特克萊斯勒汽車美國公司在美國召回旗下大切諾基、自由光等車型共140萬輛汽車,原因是這些車型存在重大安全漏洞,可能會讓黑客遠程劫持車輛。
安全是發展的前提,在工業互聯網時代,網路安全至關重要。今年2月,國家發展改革委已批准由360公司牽頭承建大數據協同安全技術國家工程實驗室,重點開展數據匯聚隱私保護、數據防泄漏、系統漏洞分析、安全協同分析、大數據系統風險評估與安全監測等技術的研發和工程化工作;美國國防高級研究計劃局日前啟動開發項目,核心目標是開發能夠檢測且自動響應針對美國關鍵基礎設施的網路攻擊的技術,參與者包括雷神公司、斯坦福研究院等主要供應商,還包括美國國土安全部和其下屬的工業控制系統網路應急響應小組等政府機構。網路安全防護,正在成為國家基礎設施領域建設的重要部分。
眾測之力鎖牢安全屏障
在世界範圍內,科技型公司和重視品牌建設的企業,已經在「挖漏洞」上先行一步。美國知名漏洞眾測平台HackerOne首席運營官王寧表示,越來越多的美國公司意識到,過去僅僅依靠幾名技術人員維護安全的做法已經過時。除了加強安全團隊建設,這些公司也開始與第三方平台合作,借白帽黑客眾測之力,鎖牢安全屏障;近年來,我國不少企業也紛紛組建安全應急響應中心,提高安全防禦能力。
在烏雲、補天、威客眾測等第三方漏洞響應平台上,企業授權白帽黑客進行漏洞挖掘,並根據漏洞的危害程度、影響範圍提供相應獎勵,激勵越來越多的黑客戴上象徵正義的「白帽子」。
以國內最大的在線旅行服務商攜程旅行網為例,攜程有開發人員3000多人,卻只有40名安全人員。在攜程旅行網信息安全總監凌雲看來,「以40人之力保障由3000多人開發出來的程序的安全性,毫無疑問是不夠的」。攜程希望藉助白帽黑客的力量讓其系統更安全,過去一年,攜程為各大漏洞響應平台的白帽子支付了約百萬元獎勵。
「網路安全生態體系的建設必須群策群力、久久為功,單靠一家公司、一個組織是不可能完成的。技術共享、人才共享和更廣泛、更及時的漏洞響應是未來的趨勢。」齊向東說。國內的補天平台註冊白帽已達到31633名,他們自2013年起累計發現了20多萬個漏洞,企業為這些白帽發出獎金近900萬元;美國的HackerOne已擁有來自150多個國家的註冊白帽約11萬名,他們自2013年起累計發現了18萬多個漏洞,其中有4萬多個漏洞已經被修復。
精英白帽的「自我修養」
為了更加貼切的了解白帽黑客,我們也對補天平台的兩位白帽子「U神」和「華不再揚」進行了交談,在和他們交談過程中我們了解到,白帽子在日常的挖漏洞工作中會受到種種誘惑,據初步估計,黑帽子一天的收入就可以和白帽子辛苦一個月的挖漏洞所得相媲美。
如果仔細觀察大家不難發現,白帽子團隊成員普遍為85後、90後甚至95後的年輕人,這是這群略顯稚嫩的年輕人在巨大的利益面前經受住了金錢的誘惑,對他們來講實屬不易。當然這都得益於補天為這些年輕的白帽提供了發展平台,對白帽子進行法律培訓,技術培養,才使得他們能夠用技術去造福社會,而非對社會造成危害。
大多數白帽黑客,有著與「華不再揚」相似的特徵:年輕激進、性格單純、學歷不高但對技術十分狂熱。這些涉世未深的白帽黑客,在網路空間中俠肝義膽、叱吒風雲,但現實世界裡他們出自善意的「挖漏洞」行為,卻可能給自己招來大麻煩。
2015年,烏雲網某註冊白帽提交了某婚戀網站一個涉及大量會員信息的漏洞,當時該網站確認了這一漏洞,向白帽致謝並予以修復。不過,該網站隨即向公安局報案稱「有4000餘條實名註冊信息被不法竊取」。不久後,以涉嫌「非法獲取計算機系統數據犯罪」之名,該白帽被逮捕。
這一事件在黑客中掀起了軒然大波。一位普通白帽,不牟取任何私利,只是義務檢測漏洞,發現漏洞後告知廠家,也算是犯罪嗎?
在齊向東看來,這個案例反映出企業和白帽黑客之間的微妙關係:不敢溝通、不敢交流,互不信任。他用了一句俗語來形容這個關係:「麻桿打狼兩頭怕」。
「儘管多方力量嚴加把控,白帽的不少細微動作仍可能在無意中碰觸邊界。『挖洞』時必須盡量低調、點到為止。」經驗豐富的白帽「U神」說,「對於黑色產業尤其要多加小心。許多進入黑色產業的人,最初是因為生活壓力需要賺更多錢,他們認為可以做一次就『金盆洗手』,但感受過黑色產業的賺錢速度後,就會鋌而走險繼續干,直到陷入深淵」。
「華不再揚」比照佛教中的「力戒『貪嗔痴』三毒」,來形容白帽黑客自我修養的最高境界。「戒貪。要認清自己的原則,遵照漏洞挖掘測試規定的事項,發現安全風險,協助廠商解決問題;戒嗔。或許有些漏洞計劃,獎勵不能如自己所願,也不要計較;戒痴。雖然黑色產業的誘惑很大,但不可隨波逐流,要理智地看待問題。」
時代巨輪滾滾前行,工業互聯網如約而至。繁雜的互聯網生態與多變的人性,為黑客的色譜添上無窮的灰度。顏色深淺各異的黑帽、白帽與灰帽,在網路叢林間展開的對抗與博弈,或許才剛剛開始。
推薦閱讀:
※解答一下關於第一期線上培訓和實地培訓的一些問題。(附第二期培訓事宜)
※如何編寫webshell管理工具菜刀
※一年超90萬漏洞獎勵,Carry_your可複製嗎?|白帽
※給你個高性價比的信安學習方案