范英華

有時(shí)候，白帽子發(fā)現(xiàn)漏洞告訴企業(yè)之后，他們的態(tài)度不僅不積極，甚至抱有敵意

在

對(duì)阿里進(jìn)行常規(guī)滲透測(cè)試時(shí)，“90后”白帽子何詣?shì)钒l(fā)現(xiàn)阿里云盾的搜索引擎存在未授權(quán)訪(fǎng)問(wèn)漏洞。不過(guò)，這個(gè)漏洞危害不大，當(dāng)他嘗試進(jìn)一步測(cè)試有沒(méi)有其他漏洞時(shí)，發(fā)現(xiàn)阿里的安全人員已經(jīng)發(fā)現(xiàn)了漏洞并修補(bǔ)了。這樣的漏洞查找對(duì)白帽子而言是家常便飯，徒勞無(wú)功也是常見(jiàn)的結(jié)果。

然而，今年4月12日，“白帽子”袁煒因涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪被批捕的事件，讓白帽子們措手不及，挖掘漏洞的法律爭(zhēng)議使得“白帽子”這個(gè)群體也越來(lái)越引發(fā)各界關(guān)注。

成為白帽子很普通

在網(wǎng)絡(luò)世界中，白帽子是一個(gè)“來(lái)無(wú)影，去無(wú)蹤”的存在。何詣?shì)氛f(shuō)：“我挖掘企業(yè)的網(wǎng)站安全漏洞時(shí)，基本不會(huì)留下行跡。換言之，如果我不說(shuō)，他們根本不知道我來(lái)過(guò)?！?/p>

另一名白帽子張坤向記者證實(shí)了這一點(diǎn)，“確實(shí)是這樣，企業(yè)通常不會(huì)發(fā)現(xiàn)我們對(duì)他們的網(wǎng)站進(jìn)行了滲透測(cè)試?！睆埨な呛卧?shì)返呐笥?，在金融第三方從事安全工作的他也是一名兼職白帽子?/p>

除去白帽子這個(gè)身份，何詣?shì)返穆殬I(yè)是成都一家大型數(shù)據(jù)公司的專(zhuān)職網(wǎng)絡(luò)安全工程師，收入不菲，生活優(yōu)渥。談及為何對(duì)網(wǎng)絡(luò)安全感興趣，并成為一名白帽子，何詣?shì)犯嬖V《方圓》記者：“少年男孩，總有一顆想成為黑客的心，卻苦于不知如何入門(mén)，所以最初我并未關(guān)注網(wǎng)絡(luò)安全問(wèn)題，若不是一次意外，我現(xiàn)在最可能是一名‘碼農(nóng)。”

何詣?shì)房谥械囊馔馐悄程煸谫N吧里看到某位大牛記錄自己的黑客生涯，“他的經(jīng)歷看得我熱血沸騰，” 何詣?shì)烦绨莸卣f(shuō)，“當(dāng)你看到一個(gè)牛人展示他的才華的時(shí)候，你就會(huì)想變得跟他一樣。”然而，他并未經(jīng)過(guò)專(zhuān)業(yè)的網(wǎng)絡(luò)安全知識(shí)的學(xué)習(xí)，“我完全是野路子出身，我是從泡中國(guó)紅客聯(lián)盟開(kāi)始學(xué)習(xí)安全知識(shí)的?！?何詣?shì)氛f(shuō)。

然而，如今何詣?shì)吩诿耖g著名漏洞收集平臺(tái)漏洞盒子上卻是小有名氣，在排名榜上，他穩(wěn)定在在二三十名之間，而漏洞盒子有近兩萬(wàn)名的注冊(cè)白帽子。他曾經(jīng)挖出某航空公司內(nèi)網(wǎng)、江蘇十幾家銀行的安全漏洞，得到了這些廠(chǎng)商的致謝和不菲的獎(jiǎng)勵(lì)。

張坤成為一名白帽子，完全是靠興趣?！拔以诖髮W(xué)的專(zhuān)業(yè)是網(wǎng)絡(luò)工程，但是早在大一的時(shí)候，我就對(duì)網(wǎng)絡(luò)安全產(chǎn)生了興趣。盡管二者都帶有‘網(wǎng)絡(luò)，但是卻是兩個(gè)不同的領(lǐng)域?！薄霸谂d趣的指引下，我大量地閱讀相關(guān)書(shū)籍，不斷地與人切磋交流，不斷地嘗試挖掘網(wǎng)站安全漏洞，剛開(kāi)始的時(shí)候沒(méi)有任何收獲，直到有一天我挖掘出一個(gè)企業(yè)的安全漏洞，我才從心里認(rèn)為自己真正成為了一名白帽子。”

何詣?shì)返却蠖鄶?shù)白帽子認(rèn)為自己一點(diǎn)都不神秘。在他們看來(lái)，他們跟普通人并無(wú)差別，只是自身興趣愛(ài)好不同而已。

挖掘漏洞進(jìn)化史：從手動(dòng)到自動(dòng)

何為網(wǎng)絡(luò)安全漏洞？北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江認(rèn)為：計(jì)算機(jī)網(wǎng)絡(luò)、硬件、軟件、服務(wù)或者是管理存在弱點(diǎn)，這個(gè)弱點(diǎn)能夠被別人利用來(lái)進(jìn)行攻擊，即為用來(lái)實(shí)施威脅的落點(diǎn)，就是網(wǎng)絡(luò)安全漏洞。

那么白帽子是如何挖掘漏洞的呢？

何詣?shì)犯嬖V《方圓》記者他如何發(fā)現(xiàn)的第一個(gè)漏洞。那是一個(gè)越權(quán)漏洞，“我剛開(kāi)始嘗試找漏洞的時(shí)候，并沒(méi)有確定要找哪些廠(chǎng)商的漏洞，只是通過(guò)搜索引擎搜索關(guān)鍵字，也就是‘撒網(wǎng)撈魚(yú)這種模式，通過(guò)在使用搜索引擎時(shí)的關(guān)鍵字設(shè)置（如搜索inurl：user_add.php，就可以查找存在身份驗(yàn)證漏洞的網(wǎng)站），就可能會(huì)發(fā)現(xiàn)某些未做身份識(shí)別驗(yàn)證的頁(yè)面，可以修改網(wǎng)站首頁(yè)顯示的新聞、圖片、管理員信息，可管理數(shù)據(jù)庫(kù)，甚至可以拿下網(wǎng)站服務(wù)器權(quán)限……我在搜索到頁(yè)面的第二、三頁(yè)的時(shí)候，就發(fā)現(xiàn)了這樣一個(gè)漏洞，當(dāng)時(shí)心里非常激動(dòng)，仿佛打開(kāi)了通向新世界的大門(mén)，從此一發(fā)不可收拾?！?/p>

第一個(gè)漏洞讓何詣?shì)泛苄老?，但是他并不否認(rèn)這只是最初級(jí)的挖掘漏洞的模式?！艾F(xiàn)在挖掘漏洞，可以針對(duì)不同的功能進(jìn)行手工測(cè)試?！睆埨ぱa(bǔ)充道。

與何詣?shì)?、張坤靠自學(xué)成為白帽子不同，畢業(yè)于中北大學(xué)信息對(duì)抗專(zhuān)業(yè)的石濤成為一名白帽子是順理成章的事情，他是科班出身。他向記者介紹了一種自動(dòng)的漏洞挖掘模式：白帽子利用自己寫(xiě)的全自動(dòng)化掃描程序，關(guān)注每天最新的廠(chǎng)商未發(fā)現(xiàn)的最新漏洞，然后把相應(yīng)規(guī)則添加進(jìn)自己寫(xiě)的程序，填入域名，就可以自動(dòng)掃描網(wǎng)站。之后，再把掃描出來(lái)的漏洞進(jìn)行人工驗(yàn)證?！斑@樣的漏洞挖掘模式效率是相當(dāng)高的，也是很多業(yè)內(nèi)高手的常用手法。”石濤說(shuō)。

擁有挖掘漏洞能力的白帽子在確定挖掘哪些網(wǎng)站的漏洞時(shí)，帶有極強(qiáng)的個(gè)人色彩。

隨著技術(shù)的提高，何詣?shì)吩诓檎衣┒磿r(shí)已經(jīng)摒棄了“撒網(wǎng)撈魚(yú)”的原始模式，“現(xiàn)在確定挖掘目標(biāo)，已經(jīng)不是靠前期的關(guān)鍵字搜索了，有時(shí)是定點(diǎn)，比如說(shuō)買(mǎi)機(jī)票的時(shí)候就會(huì)對(duì)航空公司的內(nèi)網(wǎng)進(jìn)行一個(gè)測(cè)試；有時(shí)是圈內(nèi)朋友讓幫忙看看某個(gè)網(wǎng)站；有時(shí)是社會(huì)上的一些熱點(diǎn)現(xiàn)象涉及的網(wǎng)站；還有時(shí)是漏洞平臺(tái)的一些眾測(cè)項(xiàng)目?！倍袝r(shí)一天就發(fā)現(xiàn)幾個(gè)漏洞，有時(shí)發(fā)現(xiàn)一些大型目標(biāo)，他會(huì)認(rèn)真研究，那時(shí)可能就一兩個(gè)月都沒(méi)發(fā)現(xiàn)漏洞。

身為某互聯(lián)網(wǎng)公司開(kāi)發(fā)工程師的石濤在挖掘漏洞時(shí)，主要是偏重于互聯(lián)網(wǎng)企業(yè)，“身為一名IT開(kāi)發(fā)工程師，相對(duì)于其他企業(yè)，我對(duì)互聯(lián)網(wǎng)企業(yè)會(huì)有更多的關(guān)注?！?石濤告訴《方圓》記者。

不同于何詣?shì)泛褪瘽瑥埨ご_定自己的挖掘目標(biāo)就容易多了，“我主要去一些有SRC（安全應(yīng)急響應(yīng)中心）的企業(yè)那里找漏洞，或者是一些在漏洞收集平臺(tái)注冊(cè)過(guò)的企業(yè)?！?/p>

挖了漏洞給誰(shuí)

白帽子挖掘出安全漏洞后，怎樣處置這些漏洞？事實(shí)上，官方與民間有很多漏洞披露平臺(tái)可供白帽子選擇。而選擇哪一種，不同的白帽子選擇各異。

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任、正高級(jí)工程師嚴(yán)寒冰介紹：自從2009年以后，多家漏洞平臺(tái)陸陸續(xù)續(xù)地成立，這些漏洞報(bào)告平臺(tái)擔(dān)負(fù)著搜集漏洞、處置漏洞相關(guān)任務(wù)。國(guó)家層面成立的漏洞平臺(tái)有CNVD、CNNNVD；民間漏洞平臺(tái)有補(bǔ)天平臺(tái)、烏云網(wǎng)、漏洞盒子等；另外有一些企業(yè)成立了自己的安全應(yīng)急響應(yīng)中心（SRC），建立了企業(yè)與白帽子之間的直接溝通渠道，比如百度、阿里、騰訊、網(wǎng)易、京東等等。

何詣?shì)吠诰虻穆┒创蠖嘣诼┒春凶犹峤?，“跟漏洞盒子的人比較熟”是他選擇漏洞盒子的最重要的因素，“但是，我還是更喜歡烏云的模式，因?yàn)椤酌弊映缟泄蚕?，而烏云網(wǎng)是一個(gè)很好的共享平臺(tái)，它是很多‘白帽子學(xué)習(xí)進(jìn)步的好地方，在那里可以學(xué)習(xí)到很多挖掘漏洞的技術(shù)和思路，會(huì)讓人腦洞大開(kāi)?！?/p>

因?yàn)閺埨ぶ饕ヒ恍┯蠸RC的企業(yè)挖掘漏洞，所以他挖掘出來(lái)的漏洞可以直接提交給企業(yè)，相當(dāng)高效快捷。

石濤挖掘的漏洞主要提交給烏云網(wǎng)，烏云網(wǎng)會(huì)給烏云幣以及烏云排名成績(jī)作為獎(jiǎng)勵(lì)，利用烏云幣可以參看受限的內(nèi)容，買(mǎi)安全會(huì)議的門(mén)票，這有利于他的技術(shù)的提高。烏云排名更是實(shí)力的體現(xiàn)，排名對(duì)白帽子是一種榮譽(yù)的體現(xiàn)，“排名高在圈子里會(huì)受尊重，找工作也能當(dāng)成能力佐證?！笔瘽芸粗豶ank值的高低。

白帽子根據(jù)自己的喜好選擇相應(yīng)的平臺(tái)，不同平臺(tái)的特色亦有不同。與烏云網(wǎng)逐步公開(kāi)漏洞細(xì)節(jié)不同，補(bǔ)天漏洞收集平臺(tái)在漏洞細(xì)節(jié)的公布策略上較為靈活。補(bǔ)天漏洞收集平臺(tái)是隸屬于360公司的漏洞收集平臺(tái)。補(bǔ)天負(fù)責(zé)人告訴《方圓》記者，平臺(tái)提供公有SRC和私有SRC兩種公益的服務(wù)模式。公有SRC是漏洞招領(lǐng)模式的互聯(lián)網(wǎng)安全協(xié)作平臺(tái)，當(dāng)白帽子上交漏洞后，補(bǔ)天會(huì)進(jìn)行審核，確認(rèn)后會(huì)嘗試聯(lián)系企業(yè)，當(dāng)聯(lián)系不上時(shí)，會(huì)在網(wǎng)站上進(jìn)行漏洞招領(lǐng)，招領(lǐng)時(shí)只公布漏洞標(biāo)題，不會(huì)公布細(xì)節(jié)。企業(yè)只要免費(fèi)注冊(cè)就能認(rèn)領(lǐng)漏洞，并得到漏洞的詳情和修復(fù)建議。而補(bǔ)天私有SRC是為企業(yè)提供自建SRC服務(wù)的互聯(lián)網(wǎng)安全協(xié)作平臺(tái)，企業(yè)在線(xiàn)充值后可以自助發(fā)布漏洞征集公告，白帽子提交的漏洞由360仲裁并被企業(yè)確認(rèn)后，由企業(yè)發(fā)放獎(jiǎng)金給白帽子。

也有企業(yè)不重視提交的漏洞

由于經(jīng)常挖掘安全漏洞，談及漏洞的危害，何詣?shì)飞钣畜w會(huì)：“一些使用開(kāi)放源代碼建立的網(wǎng)站或者網(wǎng)站安全防護(hù)設(shè)備的漏洞可以用來(lái)攻擊一批網(wǎng)站。因?yàn)檫@些網(wǎng)站的搭建用的是同樣的系統(tǒng)，只是由于界面有定制，所以表面看起來(lái)不一樣。但是一旦發(fā)現(xiàn)這種系統(tǒng)的漏洞，就能影響一批網(wǎng)站，可能導(dǎo)致的危害就是用戶(hù)信息被盜取，舉個(gè)例子，如果是金融系統(tǒng)的漏洞的話(huà)，就能修改銀行或者P2P金融系統(tǒng)中用戶(hù)金額這樣的敏感信息?！?/p>

“好在金融系統(tǒng)的安全意識(shí)比較強(qiáng)?！焙卧?shì)方榻B，他發(fā)現(xiàn)銀聯(lián)等企業(yè)的漏洞并且提交后，這些企業(yè)很快進(jìn)行了修復(fù)，“還對(duì)我表示了感謝?！?/p>

但是，并非所有的企業(yè)面對(duì)漏洞的態(tài)度都是這么積極，“有時(shí)候我們白帽子發(fā)現(xiàn)漏洞，告訴企業(yè)之后，他們的態(tài)度相當(dāng)不積極，有時(shí)甚至可以說(shuō)對(duì)我們有敵意，可能這些企業(yè)認(rèn)為，我們白帽子不發(fā)現(xiàn)漏洞、不提交漏洞，他們就可以自欺欺人地認(rèn)為漏洞不存在，事實(shí)上，毫不夸張地說(shuō)，一旦漏洞被某些居心叵測(cè)的人利用，就可能會(huì)造成大范圍的數(shù)據(jù)泄露，危害用戶(hù)的數(shù)據(jù)安全，嚴(yán)重的可能會(huì)造成重大金錢(qián)損失?！焙卧?shì)穼?duì)此很無(wú)奈，但是他坦承對(duì)此也是“束手無(wú)策”。

由于法律上對(duì)白帽子的行為尚無(wú)明確的界限，為了規(guī)避法律風(fēng)險(xiǎn)，他的底線(xiàn)是“不竊取數(shù)據(jù)、不擅自修復(fù)漏洞、不影響網(wǎng)站業(yè)務(wù)”，他直言：“我從沒(méi)把自己當(dāng)成拯救網(wǎng)絡(luò)風(fēng)險(xiǎn)的英雄，發(fā)掘、查找漏洞是我的興趣所在，但是我絕不會(huì)為了某網(wǎng)站用戶(hù)數(shù)據(jù)不泄露，而擅自去修復(fù)漏洞，因?yàn)檫@樣會(huì)觸犯法律?！?/p>

石濤曾經(jīng)挖掘出花瓣、人人、美團(tuán)、歐美斯教育等企業(yè)的安全漏洞，據(jù)他介紹，歐美斯教育的那個(gè)安全漏洞危害極大，這個(gè)漏洞基本上暴露了公司內(nèi)部的全部信息，例如公司員工信息、公司高管郵箱，更夸張的是公司高管的內(nèi)部系統(tǒng)的密碼跟郵箱密碼是同一個(gè)密碼，這樣公司面臨的風(fēng)險(xiǎn)極大，一旦密碼被泄露，公司的商業(yè)機(jī)密很有可能被竊取。而花瓣網(wǎng)的漏洞更為嚴(yán)重，不法分子可以冒充任意用戶(hù)登錄，登錄之后，用戶(hù)在花瓣網(wǎng)上的隱私就全部被竊取。

安全漏洞危害如此之大，挖掘漏洞的白帽子也處于“是否盜竊數(shù)據(jù)”的質(zhì)疑中。趙占領(lǐng)認(rèn)為，白帽子對(duì)于網(wǎng)絡(luò)安全的維護(hù)是必不可少的力量。白帽子利用自己的專(zhuān)業(yè)技術(shù)特長(zhǎng)、結(jié)合興趣愛(ài)好，主動(dòng)尋找網(wǎng)站存在的安全漏洞，發(fā)現(xiàn)后不是利用漏洞從事破壞活動(dòng)，或者用于營(yíng)利等非法目的，而是幫助網(wǎng)站及時(shí)發(fā)現(xiàn)漏洞、修復(fù)漏洞、以防給企業(yè)或用戶(hù)造成嚴(yán)重?fù)p失，這對(duì)網(wǎng)站具有積極的建設(shè)性作用。另外，白帽子與“黑帽子”的界限原本就不是那么清晰，不少白帽子是從“黑帽子”轉(zhuǎn)變而來(lái)，國(guó)內(nèi)的漏洞披露平臺(tái)給白帽子更多獲得尊重甚至合法收入的機(jī)會(huì)，如果沒(méi)有這種平臺(tái)或者對(duì)白帽子的漏洞檢測(cè)行為持打擊態(tài)度，白帽子的價(jià)值不被認(rèn)可，他們就有可能再轉(zhuǎn)做“黑帽子”，這對(duì)國(guó)內(nèi)網(wǎng)站的信息安全將構(gòu)成嚴(yán)重的威脅。再者，不管是否存在白帽子，網(wǎng)站的漏洞都客觀(guān)存在，白帽子的存在可以幫助網(wǎng)站發(fā)現(xiàn)漏洞，及時(shí)修復(fù)漏洞，沒(méi)有白帽子，這些漏洞可能不被網(wǎng)站發(fā)現(xiàn)而被“黑帽子”發(fā)現(xiàn)并惡意利用。

“法律如果能夠明確規(guī)定‘白帽子的行為界限，這對(duì)我們是好事。這樣我們可以確保自己在法律范圍內(nèi)行事，而不必時(shí)時(shí)面臨不確定的風(fēng)險(xiǎn)。”何詣?shì)啡缡钦f(shuō)。這也是很多白帽子的心聲。