丰富的线上&线下活动,深入探索云世界
做任务,得社区积分和周边
最真实的开发者用云体验
让每位学生受益于普惠算力
让创作激发创新
资深技术专家手把手带教
遇见技术追梦人
技术交流,直击现场
海量开发者使用工具、手册,免费下载
极速、全面、稳定、安全的开源镜像
开发手册、白皮书、案例集等实战精华
为开发者定制的Chrome浏览器插件
在互联网上,有这么一群爱好安全技术的“宅男”,他们也被称作白帽子。
与“黑帽黑客”相反,白帽子是用黑客技术维护网络安全的力量,他们往往会被各大互联网公司雇佣,通过攻击自己的公司以测试网络和系统的性能。在他们眼中,似乎没有攻不破的系统。
不过,白帽子平常活跃的国内两大漏洞报告平台居然在同一天无法访问,让不少人将其与去年12月发生的一起事件联系到一起……
两大漏洞报告平台同一天无法访问
19日晚间,微博大V爆料,国内知名漏洞报告平台乌云出现无法访问,因管理团队接受整顿。
据北京一位白帽黑客透露,日常活跃在乌云上的白帽子至少有数千人。
但斗象信息科技在20日上午发布紧急公告,否认了这一说法。其公告称:
旗下漏洞盒子平台业务运营按照年度计划既定进行,目前全线产品业务运转正常,与其他事件无任何关联。
20日下午,斗象信息科技市场副总裁李勇对记者澄清表示:
针对乌云停运升级事件,多位白帽子黑客对记者表示,猜测此次停运升级可能与去年12月份在乌云社区发生的“袁炜事件”有关联。不过这一说法未得到乌云的回应。
据了解,袁炜是乌云社区上一名白帽子,去年12月份,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。
在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。
世纪佳缘CEO吴琳光当时回应称:
在漏洞修复过程中,我们发现有900多条有效数据被攻击者获取,出于对用户数据和信息安全的担忧,我们选择了报警。
在警方披露调查结果之前,我们并不知道提交漏洞的白帽子和攻击者是同一个人。
游走在“黑白”之间缺少监管
但是在白帽子群体中不乏动机不纯的“异类”。在维护安全的另一面,他们的存在在很多企业看来是威胁,从法律上来说,他们的行为并不受法律保护,处于灰色地带。
前述北京的白帽黑客告诉记者:
真正意义上的白帽子是不依靠提交漏洞赚钱的,我们有自己的工作,提交漏洞纯属是业务爱好。
但是这个群体里同时存在很多浑水摸鱼的人,以白帽子的名义做黑帽黑客的事,就像电影《无间道》里演的一样,一念之差就可能走向歧途了。
常规给企业网站做安全监测项目,一般只有几万块钱,和做黑产比起来真的太辛苦了。去年,有个白帽子挖到某家大型互联网公司的漏洞,然后邮件给厂商,大致意思是我挖到你们漏洞了,付给我点辛苦费吧,不然卖给黑产我也能赚不少钱,然后这个人被举报就被抓了。
“很多平台对这些白帽子是缺乏监管的。因为大部分论坛注册用户都不是实名,不知道账号背后是谁;平台也不知道白帽子黑客们提交的内容是不是全部内容,黑客检测网站也是随机的。而且,平台是否需要对这些白帽子做监管?目前也没有法律要求。”上述白帽子表示。
====================================分割线================================