李小白一次趁着夜黑风高潜入街上生意颇佳的饭店,不为偷盗,只为检查其有没有安全隐患。经过检查,这家饭店确实存在失火的风险,于是他把这个消息发给了当地的消费者协会,让消协通知这家饭店改进这一点。在整改之后,这家饭店报了警,李小白于是被警方抓获。这个故事看似无厘头,却是实实在在发生的事。白帽子黑客袁炜的父亲发表了一份公开信,称自己的儿子因为发现了世纪佳缘的漏洞而遭到逮捕。这位白帽黑客发现世纪佳缘网站存在 SQL 注入漏洞,在测试中获取了 4000 多条信息。 他于去年 12 月将这个漏洞报告给乌云,通过乌云警告了世纪佳缘。世纪佳缘修复漏洞后,于今年 1 月通知了警方。今年 3 月,这位白帽黑客遭到了警方的逮捕。由于还在检察院审查阶段,所以,袁炜的罪名究竟是什么,现在还难有定论。这里先科普一下一般意义上的 “白帽黑客” 和乌云平台。“白帽黑客” 是指利用黑客技术测试网络和系统的性能来判定它们能够承受入侵的强弱程度的群体,他们又称白帽匿名者、白帽子等。与常见的 “黑客” 不同,白帽黑客不会利用发现的漏洞、获得的数据来作恶。一般认为,这里的作恶是指谋取私人利益。乌云漏洞平台(wooyun.org)是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。 近年来,包括百度全家桶、网易邮箱、 WormHole 漏洞等在内的一系列网络安全事件的爆出,乌云漏洞平台的作用不可忽视。前文提到的 “白帽黑客” 可以在乌云漏洞平台提交自己找到的漏洞,并报告给相应的厂家。所以,这里也云集不少白帽黑客。但,正如袁炜父亲那封公开信的副标题所言,“白帽子检测漏洞到底是不是犯罪?”,这个问题最近可能一直萦绕在这些白帽子心头。有业内人士说,袁炜的罪名基于《刑法》285 条第 2 款,违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据。袁炜获取了 4000 多条信息,这被认定为情节严重是跑不掉了。实际上,按照现行的法律,在未经允许的情况下,入侵这些计算机系统的人,其行为都构成了违法。于法,世纪佳缘报警将袁炜抓获,是有法可依的;但于理,这样的行为就难说合理合情了。且不说,有说法称,当时,世纪佳缘是以送礼物为借口,套取了袁炜的地址;也不提,国外的如 Google 的网络巨头们,欢迎白帽们攻击的态度和高额奖励。不少国内互联网企业虽然不希望自己的漏洞被爆出(毕竟面子不好过,而且容易成为攻击的靶子,演变成公关危机就更遭了),但一旦被爆出后,这些企业通常都会对这些爆出漏洞的白帽送出奖励,更不用说进一步追究责任。可以说,这已经成为了白帽与互联网企业之间的潜规则。 来自乌云世纪佳缘这次报案则打破了这种潜规则,可以确定的是,世纪佳缘在接下来会被几乎所有的白帽忽视,由此可能让世纪佳缘更多的漏洞被忽略,甚至让更多的白帽对于检测互联网企业漏洞的热情大减,进而影响整个行业。对于这些乌云漏洞平台这类而言,审核确认后,公布漏洞和通知厂家的顺序或许需要认真斟酌一下。以及作为厂家与白帽们之间的桥梁,这些平台更应该确认披露的规范、白帽检测漏洞的红线和禁区,以避免再次出现袁炜被世纪佳缘报警抓走的情况。白帽与互联网企业的之间的微妙平衡可能经不起再一次的白帽被抓走了。 接着的围脖这时候黑客们是不是应该对 “世” 发起一波又一波攻击呢?好像国外的故事情节都是这样的... xs世纪佳缘太夸张了,随随便便就被发现几十个漏洞。 上一篇:给独居女性的10点老后建议 | 上野千鹤子 下一篇:编译器工程师眼中的好代码(1):Loop Interchange |