日前，在第四屆網(wǎng)絡(luò)安全大會(huì)上，一封白帽子家屬的公開(kāi)信引發(fā)各方關(guān)注。

按照公開(kāi)信系統(tǒng)的信息，12月4日，一名烏云網(wǎng)的注冊(cè)用戶袁煒向?yàn)踉凭W(wǎng)提供了世紀(jì)佳緣的漏洞信息，并得到了世紀(jì)佳緣的認(rèn)可。

但是，隨后的事情是世紀(jì)佳緣認(rèn)為自己4400多條數(shù)據(jù)被注入，932條信息被讀取，隨即向公安機(jī)關(guān)報(bào)案。并且通過(guò)釣魚(yú)獲得了袁煒的真實(shí)身份和地址。隨即公安進(jìn)行了抓捕。

袁的父親認(rèn)為袁本身并非黑客竊取數(shù)據(jù)，而是在幫助世紀(jì)佳緣測(cè)試漏洞，被抓捕并不公平，要求各方幫助。

長(zhǎng)期以來(lái)，關(guān)于黑客與白帽子的身份一直有爭(zhēng)論，這次事件更是引發(fā)了網(wǎng)絡(luò)安全界的廣泛關(guān)注。那么互聯(lián)網(wǎng)安全的邊界應(yīng)該如何界定呢?

一、明規(guī)則與潛規(guī)則

中國(guó)對(duì)計(jì)算機(jī)信息安全是有嚴(yán)格法律規(guī)定的。入侵計(jì)算機(jī)系統(tǒng)，獲取數(shù)據(jù)，控制權(quán)限都是違法的。也就是說(shuō)白帽子入侵任何計(jì)算機(jī)系統(tǒng)，無(wú)論做了破壞，還是沒(méi)做破壞，無(wú)論是跑了數(shù)據(jù)，還是沒(méi)跑，被入侵的公司或者機(jī)構(gòu)都是可以報(bào)案的。

這次世紀(jì)佳緣認(rèn)為自己的數(shù)據(jù)被注入，讀取而報(bào)案是符合法律規(guī)定的，這是明規(guī)則。

按照明規(guī)則，白帽子必須是被被攻擊公司聘請(qǐng)來(lái)對(duì)自己系統(tǒng)發(fā)起攻擊，以檢驗(yàn)系統(tǒng)的安全性，健壯性。我們經(jīng)?？吹?a class='sowmlink' id='pingguo' onmouseout='Fhidden()' onmouseover='Fpop(this)' target=_blank >蘋(píng)果，微軟，特斯拉等公司發(fā)起過(guò)活動(dòng)，邀請(qǐng)技術(shù)人員對(duì)自己的產(chǎn)品發(fā)起公益，給破解者若干獎(jiǎng)勵(lì)。

雙方也可以通過(guò)協(xié)議形式，約定一次攻擊的權(quán)利責(zé)任，對(duì)系統(tǒng)的安全與健壯性做測(cè)試，這是明規(guī)則，不涉及違法。

但是，在實(shí)際運(yùn)行中，逐漸出現(xiàn)了另外一種白帽子。這種白帽子并沒(méi)有經(jīng)過(guò)廠家授權(quán)，而是先攻擊后通知。

當(dāng)廠商的服務(wù)器接入互聯(lián)網(wǎng)，這些白帽子就發(fā)起攻擊，尋找系統(tǒng)漏洞，找到漏洞后給廠商確認(rèn)，而廠商一般不會(huì)去追究這些白帽子的責(zé)任，反而會(huì)給予金錢(qián)或者禮品的回報(bào)。

因?yàn)閺S商知道，這些白帽子發(fā)現(xiàn)的漏洞如果不通知自己，就會(huì)被黑客廣泛利用，造成數(shù)據(jù)泄漏，刪除，服務(wù)中止等嚴(yán)重后果。

而且由于網(wǎng)絡(luò)的匿名性，事后即使報(bào)案追查，在有意藏匿身份的黑客面前也是很無(wú)力的。因?yàn)榫W(wǎng)絡(luò)世界是全球的，權(quán)力僅僅在一國(guó)?？鐕?guó)的網(wǎng)絡(luò)犯罪追查成本極高。

所以廠商雖然不太愿意自己的漏洞被發(fā)現(xiàn)攻擊，但是對(duì)于提供漏洞信息的白帽子基本還是合作態(tài)度。而不會(huì)去報(bào)案，這是潛規(guī)則。

二、世紀(jì)佳緣的破例

理論上說(shuō)，廠商邀請(qǐng)發(fā)起攻擊，相當(dāng)于安全測(cè)試的外包，廠家出錢(qián)，白帽子出力，發(fā)現(xiàn)漏洞，提升系統(tǒng)的安全性。

而白帽子自己攻擊系統(tǒng)，發(fā)現(xiàn)漏洞然后告知廠家，獲取金錢(qián)和禮物的回報(bào)，有點(diǎn)類似于強(qiáng)買(mǎi)強(qiáng)賣。廠家原本是不愿意為漏洞買(mǎi)單的，但是漏洞發(fā)現(xiàn)了，不買(mǎi)單可能會(huì)有極高的損失，廠家還是買(mǎi)了。

對(duì)白帽子來(lái)說(shuō)，這種游走法律邊緣的做法一方面可以滿足他們對(duì)技術(shù)與破解的成就感，另外一方面還可以獲取一些報(bào)酬同時(shí)又不是赤裸裸的黑客犯罪，有些人也樂(lè)于此。這些人應(yīng)該說(shuō)是有情懷的，而非完全利益驅(qū)動(dòng)。

如果利益驅(qū)動(dòng)，那么他們會(huì)破解系統(tǒng)后，拖走全部數(shù)據(jù)，然后在黑產(chǎn)產(chǎn)業(yè)鏈中高價(jià)出售來(lái)牟利，雖然這違法，但是蓄意犯罪的黑客會(huì)有辦法隱藏自己的身份，讓追查變得極其困難。

事實(shí)上，國(guó)內(nèi)外的泄漏事件很多，而真正報(bào)案抓住犯罪者的很少。

而白帽子認(rèn)為是幫助廠家測(cè)試，所以并不太注意隱匿自己的身份。

而世紀(jì)佳緣這次是破例了，打破了長(zhǎng)期以來(lái)形成的一種自然默契。嚴(yán)格按照法律辦事，攻擊就是犯罪，我就要報(bào)案。而另外一方的白帽子對(duì)此沒(méi)有準(zhǔn)備，沒(méi)有做任何藏匿身份的舉動(dòng)，甚至被釣魚(yú)主動(dòng)提供身份地址，于是順利被抓。

三、未來(lái)的互聯(lián)網(wǎng)

這個(gè)事件對(duì)網(wǎng)絡(luò)安全行業(yè)是一個(gè)警告，世紀(jì)佳緣的破例，無(wú)論是偶然的黑天鵝事件(不了解網(wǎng)絡(luò)安全潛規(guī)則的人做決策)，還是蓄意的事件，對(duì)整個(gè)行業(yè)都會(huì)帶來(lái)影響。

未邀請(qǐng)的白帽子攻擊被視為非法，有被抓的可能。那么這些漏洞以后就不會(huì)再公開(kāi)出來(lái)，也不會(huì)通知廠商。而是進(jìn)入黑產(chǎn)，成為商品販賣。而商品的購(gòu)買(mǎi)者則會(huì)利用漏洞盜取數(shù)據(jù)，甚至刪除數(shù)據(jù)造成服務(wù)中止。

而互聯(lián)網(wǎng)會(huì)變得比以前更加危險(xiǎn)。很多網(wǎng)站的個(gè)人隱私數(shù)據(jù)完全依靠互聯(lián)網(wǎng)廠商自身的技術(shù)力量進(jìn)行防護(hù)。

而我們要知道，僅僅是世紀(jì)佳緣就從烏云那里獲得了42個(gè)數(shù)據(jù)漏洞的信息，并且進(jìn)行了修復(fù)。

如果這42個(gè)漏洞沒(méi)有人通知世紀(jì)佳緣，而是拿到黑產(chǎn)產(chǎn)業(yè)鏈去販賣，那么世紀(jì)佳緣的用戶還有隱私可言嗎?

而這次事件一出，未來(lái)不會(huì)再有白帽子把漏洞信息給世紀(jì)佳緣了，以后世紀(jì)佳緣就要靠自己的利益來(lái)保護(hù)千萬(wàn)用戶的隱私信息了。用戶只能祈禱世紀(jì)佳緣能夠有足夠投入聘請(qǐng)第一流的網(wǎng)絡(luò)安全專家了。

對(duì)于其他互聯(lián)網(wǎng)公司來(lái)說(shuō)，是學(xué)習(xí)世紀(jì)佳緣還是繼續(xù)潛規(guī)則對(duì)未來(lái)用戶的互聯(lián)網(wǎng)安全有很大影響。

如果都學(xué)世紀(jì)佳緣，拒絕非邀請(qǐng)的白帽子攻擊和漏洞通知，那么互聯(lián)網(wǎng)會(huì)空前的危險(xiǎn)。對(duì)于用戶來(lái)說(shuō)，就要謹(jǐn)慎的登錄個(gè)人信息。APP也好，網(wǎng)頁(yè)也好，只相信最大的BAT這幾家公司，其他非要注冊(cè)，那么就一個(gè)網(wǎng)絡(luò)一套密碼、ID和信息，而不能通用。

否則，只要有一家安全不到位被破解，被撞庫(kù)成功，用戶就沒(méi)有安全和隱私可言了。

作者：maomaobear | 來(lái)源：iDoNews 專欄