信息化觀察網(wǎng)

因為比特幣的興起，我們漸漸熟知在網(wǎng)絡(luò)的世界中有一群“挖礦”的人和這個詞的涵義。不過還有一個與之相近的詞同樣脫胎于網(wǎng)絡(luò)世界——“挖洞”，它的背后同樣圍繞了一個群體——“白帽子”。

如果說黑客是人們眼中經(jīng)常進(jìn)行網(wǎng)絡(luò)攻擊的那群人，那么白帽子則是對之對立的一個群體，他們在網(wǎng)絡(luò)的世界中做的事情就是“挖洞”。

你也許好奇“挖洞”究竟代表什么，其實它是挖掘漏洞的簡稱。用360企業(yè)安全集團董事長齊向東的話說，計算機網(wǎng)絡(luò)由程序員用一種語言開發(fā)，就像人類用語言進(jìn)行演說、表述一樣，語言表述的過程當(dāng)中經(jīng)常出現(xiàn)語法性的錯誤，這些錯誤容易引起語義上的差別或者差異。計算機領(lǐng)域把這些說話時考慮不周全或邏輯性的錯誤等稱作漏洞，這些漏洞容易被人拿來進(jìn)行網(wǎng)絡(luò)攻擊，就像我們說話不注意出現(xiàn)瑕疵之后被人抓住把柄攻擊我們一樣。

白帽子在網(wǎng)絡(luò)中挖掘漏洞的目的并非進(jìn)行攻擊，而是將漏洞信息提交給產(chǎn)生漏洞的網(wǎng)絡(luò)開發(fā)和運營主體，進(jìn)而對漏洞進(jìn)行修補、打補丁等，從而讓網(wǎng)絡(luò)世界變得更安全。近日，由360主辦的補天白帽大會在深圳召開，數(shù)百名白帽齊聚一堂，會議向外界傳達(dá)的信息很簡單，即調(diào)動全社會白帽精英力量，建立企業(yè)與白帽子的協(xié)同機制，從而全方位解決網(wǎng)絡(luò)安全隱患。

白帽子是誰？

白帽子是熱愛于鉆研網(wǎng)絡(luò)安全技術(shù)的一群人，他們大多是90后，不但年輕，甚至學(xué)歷并不高，自由職業(yè)，部分也有本職工作。在整個社會的大集體中，他們是一個新興群體，法律對于他們挖洞的行為基本上也處于空白狀態(tài)。因為挖洞和黑客攻擊行為僅一線之隔，但目的卻截然相反，所以在法律面前并無明確的細(xì)則界定和監(jiān)管。

正因為如此，在去年曾出現(xiàn)影響較大的白帽被抓事件，國家網(wǎng)絡(luò)與信息安全信息通報中心副處長張秀東在補天白帽大會上就指出，漏洞分析工作是一把“雙刃劍”，既可以用來發(fā)現(xiàn)安全問題、消除安全隱患，如果管理不到位、被別有用心的人利用，也可以作為網(wǎng)絡(luò)敲詐、竊取數(shù)據(jù)甚至實施攻擊破壞活動的“敲門磚”。

所以，很多白帽子更喜歡挖掘一些非常重視安全的企業(yè)漏洞，他們對白帽子的成果非常贊同，并與白帽建立了良好的互動。白帽往往還會得到這些大企業(yè)的獎金報酬，但和黑客在黑產(chǎn)中所得到的收入相差甚遠(yuǎn)。補天漏洞響應(yīng)平臺上的白帽“U神”說，黑客在黑產(chǎn)中一天賺的錢要比白帽挖一個月漏洞得到的收入還多。

但黑產(chǎn)明顯是觸犯法律的，白帽在挖洞過程中往往也小心翼翼，比如要證明某個漏洞會影響企業(yè)的多少數(shù)據(jù)，正確的做法是讀取幾條數(shù)據(jù)或做一個統(tǒng)計，但一旦對整個數(shù)據(jù)進(jìn)行了下載，即面臨法律風(fēng)險，即使目的并不是為了攻擊或私利。

假如缺了白帽子

上面說到白帽子是與黑客相對立的一個群體，假如沒有白帽子，網(wǎng)絡(luò)中的漏洞不會因為他們不挖而不存在。相反，大量的漏洞會掌握在黑客手里，從而會對網(wǎng)絡(luò)安全產(chǎn)生更大威脅。

以國內(nèi)最大的OTA服務(wù)商攜程來說，開發(fā)人員3000多人，安全人員只有四十人，在不少互聯(lián)網(wǎng)公司中這個安全團隊的人數(shù)還算比較大的。“但四十個人要去保障三千多個人開發(fā)出來的程序是安全的，毫無疑問人不夠用的?！睌y程信息安全總監(jiān)凌云直言。

一個網(wǎng)站攻擊可能有幾百上千個點，防御者要求幾百上千個點做的一樣好，挑戰(zhàn)巨大，因為攻擊者是占上風(fēng)的。所以，對攜程來說，希望借助外力也就是白帽子的力量讓其系統(tǒng)更安全。過去一年，攜程支付給包括補天平臺的白帽子差不多一百萬元，這也體現(xiàn)了其對白帽的認(rèn)可。

從另一個層面來講，網(wǎng)絡(luò)威脅的態(tài)勢愈加嚴(yán)重，補天平臺大會期間發(fā)布了一份《2016年網(wǎng)站泄漏個人信息形勢分析報告》，《報告》指出，2016年補天平臺共收錄了可以導(dǎo)致個人信息泄露的網(wǎng)站漏洞359個，總計可能泄露個人信息60.5億條。如果沒有白帽子挖洞進(jìn)而促進(jìn)企業(yè)補洞，網(wǎng)絡(luò)安全形勢會更糟糕。

某白帽子攜帶的密碼破解鎖

白帽挖洞之路

毫無疑問，白帽和黑客的身份轉(zhuǎn)變僅在一念之間，所以為了對白帽進(jìn)行積極引導(dǎo)，整個社會和法律需要做更多工作。與會嘉賓呼吁建立白帽子身份認(rèn)證體系，讓白帽子在法律法規(guī)的指引下，更有效率地挖掘漏洞，為維護網(wǎng)絡(luò)安全貢獻(xiàn)才智。

類似于補天漏洞響應(yīng)平臺提供了一個很好的平臺，通過建立起廠商與白帽子之間的橋梁，積極推動互聯(lián)網(wǎng)安全行業(yè)的發(fā)展。就像齊向東所說，白帽子的研究方法實際上是用網(wǎng)絡(luò)攻擊的方法，和做壞事的黑客從研究方法上來說沒有本質(zhì)的區(qū)別，如果是沒有良好的溝通平臺，白帽子和廠家之間就沒有良好的溝通渠道，廠家也沒有辦法辨別一個網(wǎng)絡(luò)安全的研究者對產(chǎn)品的“攻擊性”的研究是出于黑的目的還是白的目的，進(jìn)而不利于推進(jìn)安全產(chǎn)業(yè)發(fā)展。

補天漏洞響應(yīng)平臺負(fù)責(zé)人白健介紹，補天作為一個第三方的漏洞發(fā)現(xiàn)和報告平臺，一方面鼓勵白帽子及時發(fā)現(xiàn)漏洞提交到補天平臺，另一方面平臺及時把這些漏洞推送到企業(yè)和機構(gòu)。

據(jù)了解，2016年補天平臺的注冊白帽子超過3萬名，注冊企業(yè)超過4千家，累計發(fā)放獎金近900萬元。從一定程度上來講，獎金激勵的方式也在促進(jìn)更多的白帽子正確的運用網(wǎng)絡(luò)安全技術(shù)和他們挖洞之路。

而且，不少大型互聯(lián)網(wǎng)公司或企業(yè)也在建立SRC（安全應(yīng)急響應(yīng)中心），這同樣是給白帽子的發(fā)揮舞臺和對他們的價值認(rèn)可。以此看來，隨著越來越多的企業(yè)不斷對安全重視和投入，中國的網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展進(jìn)程和環(huán)境正在加速發(fā)展和改善中。