業(yè)內(nèi)人說：世紀佳緣釣魚白帽子，互聯(lián)網(wǎng)安全的邊界如何界定？

日前，在第四屆網(wǎng)絡(luò)安全大會上，一封白帽子家屬的公開信引發(fā)各方關(guān)注。

按照公開信系統(tǒng)的信息，12月4日，一名烏云網(wǎng)的注冊用戶袁煒向烏云網(wǎng)提供了世紀佳緣的漏洞信息，并得到了世紀佳緣的認可。

但是，隨后的事情是世紀佳緣認為自己4400多條數(shù)據(jù)被注入，932條信息被讀取，隨即向公安機關(guān)報案。并且通過釣魚獲得了袁煒的真實身份和地址。隨即公安進行了抓捕。

袁的父親認為袁本身并非黑客竊取數(shù)據(jù)，而是在幫助世紀佳緣測試漏洞，被抓捕并不公平，要求各方幫助。

長期以來，關(guān)于黑客與白帽子的身份一直有爭論，這次事件更是引發(fā)了網(wǎng)絡(luò)安全界的廣泛關(guān)注。那么互聯(lián)網(wǎng)安全的邊界應(yīng)該如何界定呢?

一、明規(guī)則與潛規(guī)則

中國對計算機信息安全是有嚴格法律規(guī)定的。入侵計算機系統(tǒng)，獲取數(shù)據(jù)，控制權(quán)限都是違法的。也就是說白帽子入侵任何計算機系統(tǒng)，無論做了破壞，還是沒做破壞，無論是跑了數(shù)據(jù)，還是沒跑，被入侵的公司或者機構(gòu)都是可以報案的。

這次世紀佳緣認為自己的數(shù)據(jù)被注入，讀取而報案是符合法律規(guī)定的，這是明規(guī)則。

按照明規(guī)則，白帽子必須是被被攻擊公司聘請來對自己系統(tǒng)發(fā)起攻擊，以檢驗系統(tǒng)的安全性，健壯性。我們經(jīng)常看到蘋果，微軟，特斯拉等公司發(fā)起過活動，邀請技術(shù)人員對自己的產(chǎn)品發(fā)起公益，給破解者若干獎勵。

雙方也可以通過協(xié)議形式，約定一次攻擊的權(quán)利責任，對系統(tǒng)的安全與健壯性做測試，這是明規(guī)則，不涉及違法。

但是，在實際運行中，逐漸出現(xiàn)了另外一種白帽子。這種白帽子并沒有經(jīng)過廠家授權(quán)，而是先攻擊后通知。

當廠商的服務(wù)器接入互聯(lián)網(wǎng)，這些白帽子就發(fā)起攻擊，尋找系統(tǒng)漏洞，找到漏洞后給廠商確認，而廠商一般不會去追究這些白帽子的責任，反而會給予金錢或者禮品的回報。

因為廠商知道，這些白帽子發(fā)現(xiàn)的漏洞如果不通知自己，就會被黑客廣泛利用，造成數(shù)據(jù)泄漏，刪除，服務(wù)中止等嚴重后果。

而且由于網(wǎng)絡(luò)的匿名性，事后即使報案追查，在有意藏匿身份的黑客面前也是很無力的。因為網(wǎng)絡(luò)世界是全球的，權(quán)力僅僅在一國。跨國的網(wǎng)絡(luò)犯罪追查成本極高。

所以廠商雖然不太愿意自己的漏洞被發(fā)現(xiàn)攻擊，但是對于提供漏洞信息的白帽子基本還是合作態(tài)度。而不會去報案，這是潛規(guī)則。

二、世紀佳緣的破例

理論上說，廠商邀請發(fā)起攻擊，相當于安全測試的外包，廠家出錢，白帽子出力，發(fā)現(xiàn)漏洞，提升系統(tǒng)的安全性。

而白帽子自己攻擊系統(tǒng)，發(fā)現(xiàn)漏洞然后告知廠家，獲取金錢和禮物的回報，有點類似于強買強賣。廠家原本是不愿意為漏洞買單的，但是漏洞發(fā)現(xiàn)了，不買單可能會有極高的損失，廠家還是買了。

對白帽子來說，這種游走法律邊緣的做法一方面可以滿足他們對技術(shù)與破解的成就感，另外一方面還可以獲取一些報酬同時又不是赤裸裸的黑客犯罪，有些人也樂于此。這些人應(yīng)該說是有情懷的，而非完全利益驅(qū)動。

如果利益驅(qū)動，那么他們會破解系統(tǒng)后，拖走全部數(shù)據(jù)，然后在黑產(chǎn)產(chǎn)業(yè)鏈中高價出售來牟利，雖然這違法，但是蓄意犯罪的黑客會有辦法隱藏自己的身份，讓追查變得極其困難。

事實上，國內(nèi)外的泄漏事件很多，而真正報案抓住犯罪者的很少。

而白帽子認為是幫助廠家測試，所以并不太注意隱匿自己的身份。

而世紀佳緣這次是破例了，打破了長期以來形成的一種自然默契。嚴格按照法律辦事，攻擊就是犯罪，我就要報案。而另外一方的白帽子對此沒有準備，沒有做任何藏匿身份的舉動，甚至被釣魚主動提供身份地址，于是順利被抓。

三、未來的互聯(lián)網(wǎng)

這個事件對網(wǎng)絡(luò)安全行業(yè)是一個警告，世紀佳緣的破例，無論是偶然的黑天鵝事件(不了解網(wǎng)絡(luò)安全潛規(guī)則的人做決策)，還是蓄意的事件，對整個行業(yè)都會帶來影響。

未邀請的白帽子攻擊被視為非法，有被抓的可能。那么這些漏洞以后就不會再公開出來，也不會通知廠商。而是進入黑產(chǎn)，成為商品販賣。而商品的購買者則會利用漏洞盜取數(shù)據(jù)，甚至刪除數(shù)據(jù)造成服務(wù)中止。

而互聯(lián)網(wǎng)會變得比以前更加危險。很多網(wǎng)站的個人隱私數(shù)據(jù)完全依靠互聯(lián)網(wǎng)廠商自身的技術(shù)力量進行防護。

而我們要知道，僅僅是世紀佳緣就從烏云那里獲得了42個數(shù)據(jù)漏洞的信息，并且進行了修復(fù)。

如果這42個漏洞沒有人通知世紀佳緣，而是拿到黑產(chǎn)產(chǎn)業(yè)鏈去販賣，那么世紀佳緣的用戶還有隱私可言嗎?

而這次事件一出，未來不會再有白帽子把漏洞信息給世紀佳緣了，以后世紀佳緣就要靠自己的利益來保護千萬用戶的隱私信息了。用戶只能祈禱世紀佳緣能夠有足夠投入聘請第一流的網(wǎng)絡(luò)安全專家了。

對于其他互聯(lián)網(wǎng)公司來說，是學(xué)習世紀佳緣還是繼續(xù)潛規(guī)則對未來用戶的互聯(lián)網(wǎng)安全有很大影響。

如果都學(xué)世紀佳緣，拒絕非邀請的白帽子攻擊和漏洞通知，那么互聯(lián)網(wǎng)會空前的危險。對于用戶來說，就要謹慎的登錄個人信息。APP也好，網(wǎng)頁也好，只相信最大的BAT這幾家公司，其他非要注冊，那么就一個網(wǎng)絡(luò)一套密碼、ID和信息，而不能通用。

否則，只要有一家安全不到位被破解，被撞庫成功，用戶就沒有安全和隱私可言了。

作者：maomaobear | 來源：iDoNews 專欄