PingWest / 翔神
2015年12月,袁炜提交了婚恋交友网站世纪佳缘的系统漏洞。随后,世纪佳缘确认并修复了漏洞,按照惯例向漏洞提交者致谢。谁料此后事态发展急转直下,今年1月18日,世纪佳缘向北京市公安局朝阳分局报案称数据被窃取,4月12日,袁炜因涉嫌非法获取计算机信息系统数据犯罪被批捕。
白帽子,黑帽子。两者身份的转换只是在一念之间。世纪佳缘举报白帽子的案件使得白帽子再一次暴露在了公共视野下。白帽子发现漏洞并提交到底该不该索取报酬?在中国可能是一个特殊的例子。作为新生事物,我们从一开始就已经默认白帽子帮助企业发现漏洞就应该索取报酬。但是换一种说法,白帽子帮助企业发现漏洞并没有经过企业的允许,在西方国家,甚至没有白帽子发现漏洞然后索取报酬的说法。
杀毒软件公司McAfee创始人John David McAfee,在8月16日360组织举办的第四届中国互联网安全大会(ISC 2016)接受采访时,就认为白帽子发现安全系统中的漏洞而索取报酬是一种不正确的态度。
我认为发现系统中的问题,不仅仅是黑客的责任,而是所有人的责任。黑客通过帮助公司发现他们网站中的问题得到奖励。如果黑客发现了一些漏洞和问题,这对我们来说意味着这是他们的责任,帮助我们发现系统中所有的问题。这就和海洋学家发现微生物,通过这种发现得到赏金是一样的。这是错误的,不道德的,不能长期这样。
你甚至不敢相信这段话是从40岁前生活一团糟——父亲饮弹自尽,吸毒、酗酒;40岁后逆袭成为亿万富翁,又涉嫌谋杀,现在竞选总统的 John McAfee 口中说出来的。但或多或少反映了中美对于白帽子帮助企业发现安全隐患的看法和做法上的不同。
McAfee 在自己的演讲中举例,很多企业公司忽视了黑客的力量。他有一位黑客朋友和波音的飞机制造商、美联航进行了交流,警惕对方的航空控制系统存在安全漏洞,但是对方没有当回事。他的黑客朋友只好亲自示范自己是如何轻而易举地黑进飞机的娱乐系统,通过它关联到驾驶系统,从而获得整架飞机的控制权。后来像美国的 FBI 进行了解释,表示自己没有恶意。
而360公司董事长周鸿祎认为白帽子作为一个在中国的新生事物,或许需要一定的规范和引导。愿意以一种善意的目光去看待他们,某种程度上是同为安全企业对于当下中国网络安全环境并不健全抱有的一种期待。
现在所有的网络安全问题的解决方案靠买一套硬件、一套软件就可以高枕无忧的时代已经过去了,不能忽略了人在网络安全中的作用。周鸿祎这样告诉记者。未来企业应该自己有意识地去请安全顾问。白帽子以后可以和企业去签安全服务协议,得到企业的授权和许可后再进行漏洞的挖掘。而这种发现漏洞并提供解决方案的是可以收费的。同时,网络安全管理上需要相应的法规范,问责制,让一些单位必须在多长时间内回应进行修复。而且提供这种顾问服务是免费的,不然很容易会被人误解成一种敲诈。
从 McAfee 和周鸿祎两人对于白帽子和挖掘漏洞是否该收费的看法的迥然不同,或许从侧面能够看出中国的白帽子和网络安全,仍然有很长的一段路要走。而这条路绝不仅仅是企业对于网络安全的重视和法律法规的规范,也包括白帽子自身的责任感。
