這位世界級「黑客教父」說:索取「安全漏洞發現費」太不道德了

2015年12月，袁煒提交了婚戀交友網站世紀佳緣的系統漏洞。隨後，世紀佳緣確認並修復了漏洞，按照慣例向漏洞提交者致謝。誰料此後事態發展急轉直下，今年1月18日，世紀佳緣向北京市公安局朝陽分局報案稱數據被竊取，4月12日，袁煒因涉嫌非法獲取計算機信息系統數據犯罪被批捕。

白帽子，黑帽子。兩者身份的轉換隻是在一念之間。世紀佳緣舉報白帽子的案件使得白帽子再一次暴露在了公共視野下。白帽子發現漏洞並提交到底該不該索取報酬？在中國可能是一個特殊的例子。作為新生事物，我們從一開始就已經默認白帽子幫助企業發現漏洞就應該索取報酬。但是換一種說法，白帽子幫助企業發現漏洞並沒有經過企業的允許，在西方國家，甚至沒有白帽子發現漏洞然後索取報酬的說法。

殺毒軟體公司 McAfee 創始人 John David McAfee ，在8月16日 360 組織舉辦的第四屆中國網際網路安全大會（ISC 2016）接受採訪時，就認為白帽子發現安全系統中的漏洞而索取報酬是一種不正確的態度。

我認為發現系統中的問題，不僅僅是黑客的責任，而是所有人的責任。黑客通過幫助公司發現他們網站中的問題得到獎勵。如果黑客發現了一些漏洞和問題，這對我們來說意味著這是他們的責任，幫助我們發現系統中所有的問題。這就和海洋學家發現微生物，通過這種發現得到賞金是一樣的。這是錯誤的，不道德的，不能長期這樣。

你甚至不敢相信這段話是從40歲前生活一團糟——父親飲彈自盡，吸毒、酗酒；40歲後逆襲成為億萬富翁，又涉嫌謀殺，現在競選總統的 John McAfee 口中說出來的。但或多或少反映了中美對於白帽子幫助企業發現安全隱患的看法和做法上的不同。

McAfee 在自己的演講中舉例，很多企業公司忽視了黑客的力量。他有一位黑客朋友和波音的飛機製造商、美聯航進行了交流，警惕對方的航空控制系統存在安全漏洞，但是對方沒有當回事。他的黑客朋友只好親自示範自己是如何輕而易舉地黑進飛機的娛樂系統，通過它關聯到駕駛系統，從而獲得整架飛機的控制權。後來像美國的 FBI 進行了解釋，表示自己沒有惡意。

而360公司董事長周鴻禕認為白帽子作為一個在中國的新生事物，或許需要一定的規範和引導。願意以一種善意的目光去看待他們，某種程度上是同為安全企業對於當下中國網絡安全環境並不健全抱有的一種期待。

現在所有的網絡安全問題的解決方案靠買一套硬體、一套軟體就可以高枕無憂的時代已經過去了，不能忽略了人在網絡安全中的作用。周鴻禕這樣告訴記者。未來企業應該自己有意識地去請安全顧問。白帽子以後可以和企業去籤安全服務協議，得到企業的授權和許可後再進行漏洞的挖掘。而這種發現漏洞並提供解決方案的是可以收費的。同時，網絡安全管理上需要相應的法規範，問責制，讓一些單位必須在多長時間內回應進行修復。而且提供這種顧問服務是免費的，不然很容易會被人誤解成一種敲詐。

從 McAfee 和周鴻禕兩人對於白帽子和挖掘漏洞是否該收費的看法的迥然不同，或許從側面能夠看出中國的白帽子和網絡安全，仍然有很長的一段路要走。而這條路絕不僅僅是企業對於網絡安全的重視和法律法規的規範，也包括白帽子自身的責任感。