2016年7.20号,国内最大的白帽子交流平台被迫关闭。在互联网世界,乌云网一直扮演着“守护者”角色,但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是这一灰色地带的风险爆发所致。
白帽子袁炜因在乌云网提交世纪佳缘漏洞被抓后,乌云网再一次陷入风波。不仅乌云网站无法打开,有传闻称,乌云高管也被抓。
在黑客江湖,一部分群体通过攻击系统漏洞获取数据,再把信息兜售至黑市牟利,被称为“黑帽子”黑客;另一部分是“正面角色”,号称只是将检测出的bug提交至报告平台进行公布,提醒、倒逼企业注重用户的数据安全,被称为“白帽子”黑客。一般而言,白帽子先将自己发现的漏洞提交至漏洞报告平台,审核通过后会粗略发布漏洞情况,并等待涉事单位认领。如若几十天后仍没有机构联络平台,将进一步公布漏洞细节内容。一直以来,乌云网以这种方式公布信息,敦促企业加强安全意识。但是“往往不是黑帽子或者白帽子,而是斑马,白天黑,晚上又洗白。”黑帽子与白帽子的身份界定模糊,提交后公布环节的流程不规范,造成乌云网模式自诞生起,就在法律与道义上备受争议。
直到2015年12月,在乌云网上提交漏洞的“白帽子”才第一次“出事”。2015年12月,杭州的IT人士袁炜,在乌云提交了他发现的世纪佳缘网站系统漏洞。
在世纪佳缘确认、修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久后以“网站数据被非法窃取”为由报警。2016年4月份,袁炜被司法机关逮捕。但是袁炜是严格按照乌云网的发布流程提交的漏洞,世纪佳缘在追究责任时,“绕过了乌云,以及袁炜白帽子身份”。也就是说,攻击网站者,就没有什么所谓的白帽子一说,但凡攻击网站,就属于违法行为,这也就是为什么红客联盟解散、乌云被关了。白帽子一直得不到承认,黑客技术或者说漏洞挖掘,就一直不能上台面。
“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法。理论上看,即便银行大门敞开,外人也没有权利贸然闯入。退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可,但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行。
但是事实上,绝大部分企业安全意识淡薄,并不怎么把用户的信息安全放在心上。白帽子检测系统漏洞的行为,相当于排除地雷,倒逼企业不断修复、加固系统,起到了维护公众利益的作用。
世纪佳缘选择报警之后,在业界引起较大反响。很多人认为,堵住乌云网平台这一正常途径后,只会逼迫白帽子转黑,最后损害的还是用户利益。
但是,排除白帽子提交漏洞之前的动机不论,乌云模式当中,审核、发布漏洞的流程也值得商榷。白帽子提交了漏洞之后,平台要对这一漏洞的真实性进行审核,而审核的环节,其实是对系统的该处漏洞,又“攻击”了一次。审核通过后,平台会将一部分漏洞通知企业,提醒其加强防范。但是也有大部分漏洞提醒直接发在平台上,等待企业认领。“所谓的认领,不是主动找企业,而是等着企业主动找上门。”在这一环节,一些安全意识较强的互联网巨头,会有专门的安全职位负责在不同平台巡视,所以能够及时发现公布出来的安全隐患,早做沟通,予以解决。
但是绝大部分企业并不知道白帽子在平台上作出了提醒,“甚至不知道乌云网的存在。”所以即便是后来倾向于认为白帽子是在做好事,也没有赶过去认领,因为这一环节只留给企业5天时间。过了5天的认领期限,平台会分批次向不同等级白帽子公布漏洞的大概情况。“这个时候,还不会公布细节,只是一些大概情况。”到了这一步骤,情况变得糟糕起来,因为白帽子数量很多,即便不公布细节内容,也会有数量庞大的黑客开始在公布的系统提醒上挖掘,“像苍蝇一样,总会找出漏洞在哪”。
所以,从企业利益的角度出发,发现漏洞越及时,挽回损失的余地越大。如若在这一环节当中,仍未见企业现身,45天后,乌云网会在平台上公布漏洞的细节内容。“告诉你哪里门没锁,这实际上等于公布数据信息了。”平台没有权利公布数据内包含的用户信息。其实,乌云网的存在促使了国内相关企业对网络安全的重视。
但是大部分的企业都不愿意花心思和精力在安全上面,安全问题,费时费力也费钱,企业的目的是赚取利益,如果没有人挖掘我网站的漏洞,那我的网站就是安全的,即使你发现了我的漏洞也不应该公布在网络上,因为,我的目的是赚钱,这种需要花人力物力和财力的东西,本来不应该存在,都是因为这些白帽子才存在的,这,也许就是大部分企业的真实想法。