“黑”與“白”在一念之間
既然“白帽子”是做好事的好人,為何引發關注和爭議?記者了解到,“白帽子”與“黑客”的區別往往就在一念之差;並且,即使“白帽子”是善意的漏洞挖掘,也可能給企業帶來困擾。
“本公司求賢,年薪百萬……”2016年7月,在一場“白帽子”交流大會上,一塊大屏幕顯示著參會者發布的彈幕。
“相比‘白帽子’的能力而言,年薪百萬真的不算多。”參會的“白帽子”張某告訴記者,他們若是做“黑客”,那些技術帶來的利益可能會是上千萬元。
“與‘白帽子’相對應的是‘黑帽子’‘黑客’。”趙占領說,“黑客”發現安全漏洞後,利用漏洞從事破壞活動或非法謀取利益(行業內也稱為“做黑產”——記者注)。
在朱巍看來,“黑客”與“白帽子”的行為看起來有相似性,但目的卻截然相反。“黑客”的目的是為了賺錢,或是為了破壞網絡安全。
某互聯網企業安全部門負責人陳某,在多年前也是一個“白帽子”。他告訴記者,當時還沒有“白帽子”“黑帽子”的說法,他喜歡研究互聯網安全技術,發現了互聯網企業的一些安全問題,當時沒有什麼途徑通知廠商,只好自己想辦法聯繫。他看到通訊錄後,聯繫了對方公司的CEO。從那之後,他進入了互聯網安全這個行業。
站在“白帽子”和廠商的角度,陳某有一些體會。陳某告訴記者,“白帽子”一開始大都是技術驅使,他們進行學習、發現問題、練習技術。很多時候,“白帽子”好奇是不是可以發現更多的問題,但很容易收不住手,一步步走下去就可能越走越遠。
童姓民警講述了一個案例,一個技術人員通過滲透入侵的方式進入一家網站並獲取到了數據。此後,這些數據被他人加以利用,盜竊數百萬元。
“成功進入某公司網絡或者成功測試漏洞後,‘白帽子’可能看到很多東西。人都是有好奇心的,我再進一步看看,我再多獲取一點兒數據。”童姓網警說,“白帽子”在進行漏洞挖掘時,首先要做到的就是自律。
趙占領認為,一些“白帽子”對法律不了解,不知道行為界限在哪裡;另一些“白帽子”了解法律,但管不住自己的好奇心,他們獲得數據並不是出於違法目的,而是自律出了問題。
|
