最大白帽社區(qū)烏云停運“升級”背后:白帽黑客“無間道”游走在法律邊緣
每日經(jīng)濟新聞
2016-07-20 22:57:57
19日晚間��,國內(nèi)最大的“白帽黑客”社群烏云網(wǎng)突然關閉�,有微博大V爆料稱,烏云管理團隊接受整頓����。20日�����,烏云發(fā)布公告稱網(wǎng)站正在升級����,并稱相關輿論為謠傳��?�!睹咳战?jīng)濟新聞》記者向烏云總裁方小頓致電���,但未能取得聯(lián)系����。
每經(jīng)編輯 孟慶建
每經(jīng)記者 孟慶建
19日晚間����,國內(nèi)最大的“白帽黑客”社群烏云網(wǎng)突然關閉�����,有微博大V爆料稱�����,烏云管理團隊接受整頓�。20日,烏云發(fā)布公告稱網(wǎng)站正在升級��,并稱相關輿論為謠傳����。《每日經(jīng)濟新聞》記者向烏云總裁方小頓致電�����,但未能取得聯(lián)系����。
值得注意的是,另外一家大型的白帽黑客社群上海斗象科技旗下“漏洞盒子”也在19日宣布“按照既定計劃升級”�,有媒體報道稱漏洞盒子同時陷入整頓。20日����,斗象科技市場副總裁李勇對《每日經(jīng)濟新聞》記者澄清�,“我們是躺槍了���,我們網(wǎng)站沒有受到任何事件影響�����,公司及業(yè)務平臺目前按照既定的年度計劃進行�。”
“烏云事件”的發(fā)酵��,讓白帽子群體再次受到市場熱切關注����。多位白帽子黑客接受記者采訪時猜測,烏云事件可能與去年12月份發(fā)生的“袁煒事件”相關����,不過這一說法未得到烏云的回應。
停運“升級”被爆在整頓
19日晚間����,微博大V爆料,國內(nèi)知名漏洞報告平臺烏云出現(xiàn)無法訪問�����,其后烏云發(fā)公告稱���,原因是官方正在進行升級���。烏云運營團隊在官網(wǎng)聲明中稱,“烏云及相關服務將進行升級��,將在最短的時間內(nèi)回歸……不管是從前��,現(xiàn)在��,還是未來��,我們都將堅持這么做下去�。”
19日晚間,《每日經(jīng)濟新聞》記者第一時間致電聯(lián)系了烏云社區(qū)負責人方小頓�,但對方電話處于無人接聽狀態(tài),無法確認是否接受整頓的說法是否屬實�。據(jù)北京一位白帽黑客透露,日?���;钴S在烏云上的白帽子至少有數(shù)千人。
無獨有偶,同為白帽社區(qū)的上海斗象信息旗下白帽子社區(qū)“漏洞盒子”同樣在19日宣布系統(tǒng)維護�����。有媒體報道時稱�����,漏洞盒子同樣在按照相關部門的要求接受整頓���。但斗象信息科技在20日上午發(fā)布緊急公告��,否認了這一說法�����。其公告稱�����,旗下漏洞盒子平臺業(yè)務運營按照年度計劃既定進行���,目前全線產(chǎn)品業(yè)務運轉(zhuǎn)正常,與其他事件無任何關聯(lián)�。
20日下午���,斗象信息科技市場副總裁李勇對《每日經(jīng)濟新聞》記者澄清表示,“我們是躺著中槍了��,我們旗下網(wǎng)站及業(yè)務目前沒有受到任何事件影響��,正按照此前年度工作既定計劃進行正常運營與推進��,關于公司進行網(wǎng)站維護升級的事情�,是斗象信息科技將聯(lián)合國家相關政府管理部門進行相關安全生態(tài)體系建設的籌備之事而展開的��,屬于早就既定的工作事項�����。在網(wǎng)站維護升級的過程中��,暫停該項目相關漏洞與威脅情報接受��。整個升級時間大概需要兩三天�����,之后恢復運營����。
針對烏云停運升級事件���,多位白帽子黑客對《每日經(jīng)濟新聞》記者表示,猜測此次停運升級可能與去年12月份在烏云社區(qū)發(fā)生的“袁煒事件”有關聯(lián)�����。
據(jù)了解����,袁煒是烏云社區(qū)上一名白帽子,去年12月份�,他在烏云提交了其發(fā)現(xiàn)的婚戀交友網(wǎng)站世紀佳緣的系統(tǒng)漏洞。在世紀佳緣確認�、修復了漏洞并按烏云平臺慣例向漏洞提交者致謝后,事情突然發(fā)生轉(zhuǎn)折���。世紀佳緣在一個多月后以“網(wǎng)站數(shù)據(jù)被非法竊取”為由報警��,4月份�����,袁煒被司法機關逮捕���。
世紀佳緣CEO吳琳光回應稱:“在漏洞修復過程中���,我們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取,出于對用戶數(shù)據(jù)和信息安全的擔憂�,我們選擇了報警。”他同時表示����,“在警方披露調(diào)查結果之前�,我們并不知道提交漏洞的白帽子和攻擊者是同一個人。”
游走在“黑白”之間缺少監(jiān)管
“袁煒事件”讓白帽子群體受到廣泛關注���,通常意義的理解�����,這群人與“黑帽黑客”相反��,是用黑客技術維護網(wǎng)絡安全的力量��,他們往往會被各大互聯(lián)網(wǎng)公司雇傭�����,通過攻擊自己的公司以測試網(wǎng)絡和系統(tǒng)的性能����。在他們眼中,似乎沒有攻不破的系統(tǒng)�����。今年5月份���,騰訊聯(lián)合白帽社群極棒在澳門組織的黑客大賽上����,數(shù)十款家用網(wǎng)絡盒子被瞬間攻破���,甚至微軟平板surface防火墻也在數(shù)分鐘內(nèi)被攻破����。
但是在白帽子群體中不乏動機不純的“異類”�。在維護安全的另一面,他們的存在在很多企業(yè)看來是威脅��,從法律上來說�,他們的行為并不受法律保護��,處于灰色地帶�。
“真正意義上的白帽子是不依靠提交漏洞賺錢的�,我們有自己的工作,提交漏洞純屬是業(yè)務愛好����。”前述北京的白帽黑客告訴《每日經(jīng)濟新聞》記者,“職業(yè)的白帽子也有獲取收入的規(guī)范途徑����,主要是IT企業(yè)委托授權的眾測,另外目前各種黑客比賽會提供豐厚的獎金�����,比如騰訊和極棒今年5月份在澳門舉辦的黑客大賽����,冠軍團隊共獲得了42萬獎金����。”
“但是這個群體里同時存在很多渾水摸魚的人,以白帽子的名義做黑帽黑客的事���,就像電影《無間道》里演的一樣��,一念之差就可能走向歧途了����。常規(guī)給企業(yè)網(wǎng)站做安全監(jiān)測項目,一般只有幾萬塊錢��,和做黑產(chǎn)比起來真的太辛苦了�。去年,有個白帽子挖到某家大型互聯(lián)網(wǎng)公司的漏洞�����,然后郵件給廠商��,大致意思是我挖到你們漏洞了�,付給我點辛苦費吧,不然賣給黑產(chǎn)我也能賺不少錢�,然后這個人被舉報就被抓了。”
“很多平臺對這些白帽子是缺乏監(jiān)管的�����。因為大部分論壇注冊用戶都不是實名,不知道賬號背后是誰;平臺也不知道白帽子黑客們提交的內(nèi)容是不是全部內(nèi)容�,黑客檢測網(wǎng)站也是隨機的。而且����,平臺是否需要對這些白帽子做監(jiān)管?目前也沒有法律要求��。”上述白帽子表示�����。
