“黑客”你知道是啥,可“白帽子”黑客你了解吗?
最近关于谷歌的一条新闻,大家或许都有耳闻。
一位乌拉圭17岁青年因发现谷歌一条安全漏洞,得到3.6万美元的“漏洞赏金”。这是他第五次发现谷歌系统漏洞了,同时也是迄今为止获奖最高的一次。
消息一经曝光,一时间就议论纷纷:
什么谷歌的系统原来也不是传说中的那么强悍;
这小伙子真不简单,居然能够找到谷歌系统的漏洞;
……
相对于这些“常规”的看法,由此引发的关于“白帽子”的议论却引起了网友的格外关注。
很多人问了:“‘白帽子’是什么鬼呢?”
“白帽子”的真实身份
这类人在业界就被称为“白帽”黑客,俗称“白帽子”。
他们的工作就是识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样系统可以在被其他人(例如黑帽子)利用之前修补漏洞。
通俗点的讲就是你的系统有漏洞了,我主动告诉你,你赶紧改,免得被居心不良的人借此对你不利,完事还不要钱。
去年360公司Alpha团队发现了新的漏洞利用链,能够用来黑掉谷歌Pixel智能手机,告知对方。为此,谷歌提供了112500美元的奖金。
在美国,不仅谷歌会奖励那些发现自身系统漏洞的人,不少硅谷的科技公司也同样如此,例如Uber、Facebook等。
Uber公司就曾推出一个“捉虫奖励”(bug bounty)计划,让世界各地类似那位青年一样查找自己系统漏洞,然后给其少则数千,多则上万美元的奖励。
当然白帽子最初的本心不是为了赚钱,纯粹是出于一颗正义之心(或许他们就想挑战一下技术高地也不一定)。至于被帮助对象主动意思意思,他们不强求。
可能有人会说,最后还不是能挣到钱。但殊不知,如果他们借此漏洞所得到数据如果拿到黑市上去贩卖,那就是几十倍上百倍的利润。
妥妥的黑客中的好黑客。
五大著名白帽子
在国外,“白帽子”被业界冠以“网络技术防御人,保护网络安全的英雄”的美誉。
他们中有社会工程学专家、网络专家、硬件和软件工程师,毫无疑问这些人对于计算机技术有着很深的造诣。
其中最著名的莫过于“五大白客”:
苹果创始人之一
▼沃兹涅克▼
万维网的创始人
▼姆·伯纳斯-李▼
linux之父
▼李纳斯▼
软件运动的精神领袖
▼斯托曼▼
电脑安全专家、计算物理学家
▼下村努▼
我们最熟悉的可能莫过于苹果公司创始人之一——沃兹涅克了。
而在美国还有一些培训机构专门来培训“白帽子”,培训的内容不仅包括技术层面,还包括如何保护信息安全的意识。
总之,如果能当上“白帽子”,还是有很强的荣誉感的。而相比国内,那些“白帽子”的处境就有点尴尬了。
国内尴尬处境
不知道大家是否还记得2016年的“袁炜事件”,那可真是“吹皱了一池清水”,迅速让“白帽子”这个话题,成为舆论的焦点。
事情的经过也很简单,作为一名“白帽子”,他发现世纪佳缘网站的系统漏洞后,在乌云(一个位于厂商和安全研究者之间的安全问题反馈平台)进行了提交。世纪佳缘发现确实是那么一回事后,向其表示感谢。
然而一个多月后,又以“网站数据被非法窃取”为由报警,导致袁炜被捕入狱。
一时间业界哗然。
支持他的都说他冤,不支持的说他罪有应得,理由似乎也很合理:擅自侵入别人网站,这怎么让人放心?
举个不恰当的栗子:一个女生上完厕所发现忘带纸,这时隔壁老王好心的递过去一些纸。问题是,老王虽然好心,但去女厕所这事解释不清楚。。
所以,这事真不好说。就拿同情袁炜这边说,一方面“白帽子”是好心,不赚钱还帮着找漏洞,这么好的人办这么好的事,难道不值得呵护和鼓励吗?
同时,互联网漏洞确实存在,这种主动挖掘的方法对寻找和发现漏洞也十分有效和必要。很多专家也很赞同并提倡。
“不能以禁止挖掘漏洞的方式来维护网络安全,否则漏洞将无法弥补。漏洞市场客观存在,应该得到培育,可以通过将安全漏洞提交给企业授权的漏洞平台,或者是国家漏洞信息库一类政府机构的办法,把“白帽”和企业连接起来。”
从这角度讲,一定程度上“白帽子”已然是网络安全领域不可或缺的补充力量。
可反对的人也有他们的道理。
“白帽子”是好,那怎么确定他能不“好心办坏事”,或者自己就变成真正的黑客呢?
360公司董事长周鸿祎的话或许更能说明这个问题的关键。
“最极端的情况是,如果‘白帽’黑客一直以不合法的身份做事情,那有可能他们会反而转向黑色产业链。”
再有就是没有法律支撑,在这一方面,无论“白帽子”,还是漏洞平台,确实还没有合法的身份和地位。
这也就成为造成了第三种态度:不用吧,确实需要;用吧,又不放心,一直处于纠结犹豫中。
总之“白帽子”的处境那叫一个尴尬。
不管怎么说,“白帽子”根本上还是好的,只是在现实中还需要和各方的磨合吧。
或许正如360公司董事长周鸿祎所说:
“白帽”黑客在中国仍属于新生事物,或许需要一定的规范和引导,应该以一种善意的目光去看待他们。”
- END -
近期热点文章回顾(点击即可阅读)
……