7月底,一位网络“whitehat”(俗称“善意黑客”)发现某网站上存在漏洞并向该网站提交,后者对这位whitehat表示感谢,随后却以“侵犯隐私”的名义对其提起诉讼。此后,国内三大官方认定的漏洞平台之一乌云宣布停摆,据传有十余名高管被带走。上述两起事件让whitehat这个隐形行业浮出水面,其亦黑亦白的身份引发舆论讨论。
在8月16日召开的互联网安全大会上,whitehat再度成为热门关键词。“这好比要试试一个锁是不是好的,你要动手撬一撬试试,如果真撬开了,黑客会干坏事,而善意的黑客会把这个事情告诉厂商。这是区别,但‘撬’的这个动作确实存在‘灰色’。”360董事长周鸿祎接受南都记者采访时表示,创新永远比规则快,现在的whitehat存在灰色很正常,也需要国家尽快制定相关规则予以保护。“比如说统一管理模拟攻击,哪怕是发个资格证书也行。”
“被忽视”的whitehat
“whitehat的存在很重要,网络上大量的后门、漏洞是未知的,必须通过模拟攻防才能发现其弱点,就像军队的训练要分组对抗一个道理。”周鸿祎告诉南都记者,“但是他们并没有获得应有的尊重。”
“主要是许多网站安全意识淡薄,他们觉得自己只是个小网站,并没有敏感信息,没有被攻击的可能。”周鸿祎透露说,比如360补天之前发现了一个高校的漏洞,但技术方获悉后近半年时间也没修复。“一个同学在校园BBS的ID密码有可能是他支付宝的ID,这是个‘顺藤摸瓜’的过程。如果一个店家被发现有火灾隐患会被联防勒令整改,但网络安全的规则是缺失的。希望国家可以有一些政策规定,比如发现漏洞必须在多长时间响应及修复。”
这种被忽视的案例不仅在中国。杀毒软件巨头McAfee创始人约翰·迈克菲向南都记者表示:“之前他朋友发现了波音公司的一个漏洞,但后者一直不予理睬。他只能买了一张波音公司的机票,在飞机上成功把飞行系统劫持了,以此证明漏洞的存在,但下了飞机他就被FBI逮捕了。”迈克菲说,尽管美国white hat在企业中有很大需求,但现实中政府不会与其合作,也导致其受到很多限制。
如何给whitehat定价?
国内目前官方认可的漏洞平台仅有乌云、漏洞盒子以及360补天三家,而360补天是唯一一个“不公布漏洞”、“不接受厂商奖励”的平台。“我们不想公布漏洞是觉得这会对厂商造成巨大影响。”周鸿祎表示。
但这并不意味着whitehat不应该为其发现漏洞的过程获得收入?“其他漏洞平台需要被发现漏洞的厂商奖励,但360补天自己补贴‘whitehat’。”周鸿祎说,之所以不接受厂商奖励,只是避免“瓜田李下”,“在目前的游戏规则下,这种奖励与‘敲诈’确实界限比较模糊。”
“长远看,厂商需要为这样的劳动付出埋单。”周鸿祎告诉南都记者,现在厂商宁愿多买服务器硬件,也不愿雇一个安全人员进行长期监测。“但安全不是机器与机器斗,而人与人斗,永远没有一个方案可以一劳永逸,人的服务才是安全最好的解决方案,而这种咨询服务理应获得其收入。”
不过,尽管目前美国的厂商们都设立了whitehat奖励机制,但南都记者问到关于w hitehat的定价时,迈克菲仍然认为,这种想法是“不道德”的。“这就好像海洋学家发现微生物是他们的责任,这个责任不应该获得奖励。”
360私有化幕后原因
去年圣贝纳迪诺枪击案有凶手在现场遗留一台iPhone手机,FBI要求苹果公司提供后门获取其中信息遭到拒绝,引发关于“国家安全”与“个人安全”的争论。今年3月,迈克菲表示其能独立破解这个手机,否则当众吃鞋。
虽然他最后没有破解成功,也没“吃鞋”,在南都记者问起此事时,他表示这只是一种表态。“FB I要求苹果开通后门,这样就能获取除了这台手机数据外,全部苹果用户的数据,这已经是‘越界’了。”
对于上述争论,周鸿祎并没有直接评价,但他透露,在大部分国家安全问题上,IT厂商们还是配合的。“在欧盟,如果你研制一种政府无法破译的加密软件被视为军火;我们在美国投资一家安全通信公司,而他们同样被美国政府要求备案秘钥;有一年波士顿爆炸案,当时犯罪嫌疑人只是网上搜索‘高压锅’,20分钟后就有反恐部队上门,如果没有谷歌之类搜索引擎配合怎么可能实现?”
也是出于这方面的考虑,360选择了私有化,在美国退市。这也是周鸿祎首次袒露私有化的目的。“而且现在军民融合是一个趋势,未来军工安全会是一个很大的市场,内资公司的身份更有利于我们切入这个市场。”与此同时,周鸿祎还透露会有一些国有公司将入股360,“比如一些保险公司会成为我们的新股东。”
投递:电子书下载 https://www.tianxilang.pro/
