從補(bǔ)天白帽大會看網(wǎng)絡(luò)世界那些“挖洞”的人

至頂網(wǎng)
陳廣成
因?yàn)楸忍貛诺呐d起,我們漸漸熟知在網(wǎng)絡(luò)的世界中有一群“挖礦”的人和這個詞的涵義。不過還有一個與之相近的詞同樣脫胎于網(wǎng)絡(luò)世界——“挖洞”,它的背后同樣圍繞了一個群體——“白帽子”。

因?yàn)楸忍貛诺呐d起,我們漸漸熟知在網(wǎng)絡(luò)的世界中有一群“挖礦”的人和這個詞的涵義。不過還有一個與之相近的詞同樣脫胎于網(wǎng)絡(luò)世界——“挖洞”,它的背后同樣圍繞了一個群體——“白帽子”。

如果說黑客是人們眼中經(jīng)常進(jìn)行網(wǎng)絡(luò)攻擊的那群人,那么白帽子則是對之對立的一個群體,他們在網(wǎng)絡(luò)的世界中做的事情就是“挖洞”。

你也許好奇“挖洞”究竟代表什么,其實(shí)它是挖掘漏洞的簡稱。用360企業(yè)安全集團(tuán)董事長齊向東的話說,計(jì)算機(jī)網(wǎng)絡(luò)由程序員用一種語言開發(fā),就像人類用語言進(jìn)行演說、表述一樣,語言表述的過程當(dāng)中經(jīng)常出現(xiàn)語法性的錯誤,這些錯誤容易引起語義上的差別或者差異。計(jì)算機(jī)領(lǐng)域把這些說話時考慮不周全或邏輯性的錯誤等稱作漏洞,這些漏洞容易被人拿來進(jìn)行網(wǎng)絡(luò)攻擊,就像我們說話不注意出現(xiàn)瑕疵之后被人抓住把柄攻擊我們一樣。

白帽子在網(wǎng)絡(luò)中挖掘漏洞的目的并非進(jìn)行攻擊,而是將漏洞信息提交給產(chǎn)生漏洞的網(wǎng)絡(luò)開發(fā)和運(yùn)營主體,進(jìn)而對漏洞進(jìn)行修補(bǔ)、打補(bǔ)丁等,從而讓網(wǎng)絡(luò)世界變得更安全。近日,由360主辦的補(bǔ)天白帽大會在深圳召開,數(shù)百名白帽齊聚一堂,會議向外界傳達(dá)的信息很簡單,即調(diào)動全社會白帽精英力量,建立企業(yè)與白帽子的協(xié)同機(jī)制,從而全方位解決網(wǎng)絡(luò)安全隱患。

從補(bǔ)天白帽大會看網(wǎng)絡(luò)世界那些“挖洞”的人

白帽子是誰?

白帽子是熱愛于鉆研網(wǎng)絡(luò)安全技術(shù)的一群人,他們大多是90后,不但年輕,甚至學(xué)歷并不高,自由職業(yè),部分也有本職工作。在整個社會的大集體中,他們是一個新興群體,法律對于他們挖洞的行為基本上也處于空白狀態(tài)。因?yàn)橥诙春秃诳凸粜袨閮H一線之隔,但目的卻截然相反,所以在法律面前并無明確的細(xì)則界定和監(jiān)管。

正因?yàn)槿绱耍谌ツ暝霈F(xiàn)影響較大的白帽被抓事件,國家網(wǎng)絡(luò)與信息安全信息通報中心副處長張秀東在補(bǔ)天白帽大會上就指出,漏洞分析工作是一把“雙刃劍”,既可以用來發(fā)現(xiàn)安全問題、消除安全隱患,如果管理不到位、被別有用心的人利用,也可以作為網(wǎng)絡(luò)敲詐、竊取數(shù)據(jù)甚至實(shí)施攻擊破壞活動的“敲門磚”。

所以,很多白帽子更喜歡挖掘一些非常重視安全的企業(yè)漏洞,他們對白帽子的成果非常贊同,并與白帽建立了良好的互動。白帽往往還會得到這些大企業(yè)的獎金報酬,但和黑客在黑產(chǎn)中所得到的收入相差甚遠(yuǎn)。補(bǔ)天漏洞響應(yīng)平臺上的白帽“U神”說,黑客在黑產(chǎn)中一天賺的錢要比白帽挖一個月漏洞得到的收入還多。

但黑產(chǎn)明顯是觸犯法律的,白帽在挖洞過程中往往也小心翼翼,比如要證明某個漏洞會影響企業(yè)的多少數(shù)據(jù),正確的做法是讀取幾條數(shù)據(jù)或做一個統(tǒng)計(jì),但一旦對整個數(shù)據(jù)進(jìn)行了下載,即面臨法律風(fēng)險,即使目的并不是為了攻擊或私利。

假如缺了白帽子

上面說到白帽子是與黑客相對立的一個群體,假如沒有白帽子,網(wǎng)絡(luò)中的漏洞不會因?yàn)樗麄儾煌诙淮嬖凇O喾?,大量的漏洞會掌握在黑客手里,從而會對網(wǎng)絡(luò)安全產(chǎn)生更大威脅。

以國內(nèi)最大的OTA服務(wù)商攜程來說,開發(fā)人員3000多人,安全人員只有四十人,在不少互聯(lián)網(wǎng)公司中這個安全團(tuán)隊(duì)的人數(shù)還算比較大的。“但四十個人要去保障三千多個人開發(fā)出來的程序是安全的,毫無疑問人不夠用的?!睌y程信息安全總監(jiān)凌云直言。

一個網(wǎng)站攻擊可能有幾百上千個點(diǎn),防御者要求幾百上千個點(diǎn)做的一樣好,挑戰(zhàn)巨大,因?yàn)楣粽呤钦忌巷L(fēng)的。所以,對攜程來說,希望借助外力也就是白帽子的力量讓其系統(tǒng)更安全。過去一年,攜程支付給包括補(bǔ)天平臺的白帽子差不多一百萬元,這也體現(xiàn)了其對白帽的認(rèn)可。

從另一個層面來講,網(wǎng)絡(luò)威脅的態(tài)勢愈加嚴(yán)重,補(bǔ)天平臺大會期間發(fā)布了一份《2016年網(wǎng)站泄漏個人信息形勢分析報告》,《報告》指出,2016年補(bǔ)天平臺共收錄了可以導(dǎo)致個人信息泄露的網(wǎng)站漏洞359個,總計(jì)可能泄露個人信息60.5億條。如果沒有白帽子挖洞進(jìn)而促進(jìn)企業(yè)補(bǔ)洞,網(wǎng)絡(luò)安全形勢會更糟糕。

從補(bǔ)天白帽大會看網(wǎng)絡(luò)世界那些“挖洞”的人

某白帽子攜帶的密碼破解鎖

白帽挖洞之路

毫無疑問,白帽和黑客的身份轉(zhuǎn)變僅在一念之間,所以為了對白帽進(jìn)行積極引導(dǎo),整個社會和法律需要做更多工作。與會嘉賓呼吁建立白帽子身份認(rèn)證體系,讓白帽子在法律法規(guī)的指引下,更有效率地挖掘漏洞,為維護(hù)網(wǎng)絡(luò)安全貢獻(xiàn)才智。

類似于補(bǔ)天漏洞響應(yīng)平臺提供了一個很好的平臺,通過建立起廠商與白帽子之間的橋梁,積極推動互聯(lián)網(wǎng)安全行業(yè)的發(fā)展。就像齊向東所說,白帽子的研究方法實(shí)際上是用網(wǎng)絡(luò)攻擊的方法,和做壞事的黑客從研究方法上來說沒有本質(zhì)的區(qū)別,如果是沒有良好的溝通平臺,白帽子和廠家之間就沒有良好的溝通渠道,廠家也沒有辦法辨別一個網(wǎng)絡(luò)安全的研究者對產(chǎn)品的“攻擊性”的研究是出于黑的目的還是白的目的,進(jìn)而不利于推進(jìn)安全產(chǎn)業(yè)發(fā)展。

補(bǔ)天漏洞響應(yīng)平臺負(fù)責(zé)人白健介紹,補(bǔ)天作為一個第三方的漏洞發(fā)現(xiàn)和報告平臺,一方面鼓勵白帽子及時發(fā)現(xiàn)漏洞提交到補(bǔ)天平臺,另一方面平臺及時把這些漏洞推送到企業(yè)和機(jī)構(gòu)。

據(jù)了解,2016年補(bǔ)天平臺的注冊白帽子超過3萬名,注冊企業(yè)超過4千家,累計(jì)發(fā)放獎金近900萬元。從一定程度上來講,獎金激勵的方式也在促進(jìn)更多的白帽子正確的運(yùn)用網(wǎng)絡(luò)安全技術(shù)和他們挖洞之路。

而且,不少大型互聯(lián)網(wǎng)公司或企業(yè)也在建立SRC(安全應(yīng)急響應(yīng)中心),這同樣是給白帽子的發(fā)揮舞臺和對他們的價值認(rèn)可。以此看來,隨著越來越多的企業(yè)不斷對安全重視和投入,中國的網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展進(jìn)程和環(huán)境正在加速發(fā)展和改善中。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論