最近關於谷歌的一條新聞,大家或許都有耳聞。
一位烏拉圭17歲青年因發現谷歌一條安全漏洞,得到3.6萬美元的「漏洞賞金」。這是他第五次發現谷歌系統漏洞了,同時也是迄今為止獲獎最高的一次。
消息一經曝光,一時間就議論紛紛:
什麼谷歌的系統原來也不是傳說中的那麼強悍;這小夥子真不簡單,居然能夠找到谷歌系統的漏洞;……
相對於這些「常規」的看法,由此引發的關於「白帽子」的議論卻引起了網友的格外關注。
很多人問了:「『白帽子』是什麼鬼呢?」
「白帽子」的真實身份
這類人在業界就被稱為「白帽」黑客,俗稱「白帽子」。
他們的工作就是識別計算機系統或網絡系統中的安全漏洞,但並不會惡意去利用,而是公布其漏洞。這樣系統可以在被其他人(例如黑帽子)利用之前修補漏洞。
通俗點的講就是你的系統有漏洞了,我主動告訴你,你趕緊改,免得被居心不良的人藉此對你不利,完事還不要錢。
去年360公司Alpha團隊發現了新的漏洞利用鏈,能夠用來黑掉谷歌Pixel智慧型手機,告知對方。為此,谷歌提供了112500美元的獎金。
在美國,不僅谷歌會獎勵那些發現自身系統漏洞的人,不少矽谷的科技公司也同樣如此,例如Uber、Facebook等。
Uber公司就曾推出一個「捉蟲獎勵」(bug bounty)計劃,讓世界各地類似那位青年一樣查找自己系統漏洞,然後給其少則數千,多則上萬美元的獎勵。
當然白帽子最初的本心不是為了賺錢,純粹是出於一顆正義之心(或許他們就想挑戰一下技術高地也不一定)。至於被幫助對象主動意思意思,他們不強求。
可能有人會說,最後還不是能掙到錢。但殊不知,如果他們藉此漏洞所得到數據如果拿到黑市上去販賣,那就是幾十倍上百倍的利潤。
妥妥的黑客中的好黑客。
五大著名白帽子
在國外,「白帽子」被業界冠以「網絡技術防禦人,保護網絡安全的英雄」的美譽。
他們中有社會工程學專家、網絡專家、硬體和軟體工程師,毫無疑問這些人對於計算機技術有著很深的造詣。
其中最著名的莫過於「五大白客」:
蘋果創始人之一
▼沃茲涅克▼
全球資訊網的創始人
▼姆·伯納斯-李▼
linux之父
▼李納斯▼
軟體運動的精神領袖
▼斯託曼▼
電腦安全專家、計算物理學家
▼下村努▼
我們最熟悉的可能莫過於蘋果公司創始人之一——沃茲涅克了。
而在美國還有一些培訓機構專門來培訓「白帽子」,培訓的內容不僅包括技術層面,還包括如何保護信息安全的意識。
總之,如果能當上「白帽子」,還是有很強的榮譽感的。而相比國內,那些「白帽子」的處境就有點尷尬了。
國內尷尬處境
不知道大家是否還記得2016年的「袁煒事件」,那可真是「吹皺了一池清水」,迅速讓「白帽子」這個話題,成為輿論的焦點。
事情的經過也很簡單,作為一名「白帽子」,他發現世紀佳緣網站的系統漏洞後,在烏雲(一個位於廠商和安全研究者之間的安全問題反饋平臺)進行了提交。世紀佳緣發現確實是那麼一回事後,向其表示感謝。
然而一個多月後,又以「網站數據被非法竊取」為由報警,導致袁煒被捕入獄。
一時間業界譁然。
支持他的都說他冤,不支持的說他罪有應得,理由似乎也很合理:擅自侵入別人網站,這怎麼讓人放心?
舉個不恰當的慄子:一個女生上完廁所發現忘帶紙,這時隔壁老王好心的遞過去一些紙。問題是,老王雖然好心,但去女廁所這事解釋不清楚。。
所以,這事真不好說。就拿同情袁煒這邊說,一方面「白帽子」是好心,不賺錢還幫著找漏洞,這麼好的人辦這麼好的事,難道不值得呵護和鼓勵嗎?
同時,網際網路漏洞確實存在,這種主動挖掘的方法對尋找和發現漏洞也十分有效和必要。很多專家也很贊同並提倡。
「不能以禁止挖掘漏洞的方式來維護網絡安全,否則漏洞將無法彌補。漏洞市場客觀存在,應該得到培育,可以通過將安全漏洞提交給企業授權的漏洞平臺,或者是國家漏洞信息庫一類政府機構的辦法,把「白帽」和企業連接起來。」
從這角度講,一定程度上「白帽子」已然是網絡安全領域不可或缺的補充力量。
可反對的人也有他們的道理。
「白帽子」是好,那怎麼確定他能不「好心辦壞事」,或者自己就變成真正的黑客呢?
360公司董事長周鴻禕的話或許更能說明這個問題的關鍵。
「最極端的情況是,如果『白帽』黑客一直以不合法的身份做事情,那有可能他們會反而轉向黑色產業鏈。」
再有就是沒有法律支撐,在這一方面,無論「白帽子」,還是漏洞平臺,確實還沒有合法的身份和地位。
這也就成為造成了第三種態度:不用吧,確實需要;用吧,又不放心,一直處於糾結猶豫中。
總之「白帽子」的處境那叫一個尷尬。
不管怎麼說,「白帽子」根本上還是好的,只是在現實中還需要和各方的磨合吧。
或許正如360公司董事長周鴻禕所說:
「白帽」黑客在中國仍屬於新生事物,或許需要一定的規範和引導,應該以一種善意的目光去看待他們。」
- END -