倚重與防備之間尷尬生存
“互聯網企業和‘白帽子’是相輔相成的,特別是互聯網企業的安全部門非常倚重‘白帽子’。”陳某這樣評價互聯網企業與“白帽子”之間的關係,互聯網企業有一項很重要的職責,就是保護好用戶的信息安全。基於這一職責,互聯網企業自身用各種各樣的方法不斷發現問題、解決問題,同時也歡迎“白帽子”做一些善意的測試,發現盲點,幫助廠商完善安全體系。
“白帽子”提升了行業和廠商對安全的重視程度,但陳某也坦言,互聯網企業也有害怕“白帽子”的時候。有些“白帽子”經意不經意的測試行為,可能導致數據被破壞,甚至一些打著“白帽子”旗號的人會販賣數據。“白帽子”對用戶的數據產生侵犯,就可能觸碰互聯網企業的底線。
“白帽子”除了與互聯網企業打交道,還會與漏洞披露平台產生聯繫。
趙占領說,“白帽子”和漏洞披露平台之間有兩種關係。第一種是平台提供信息發布服務,平台是信息存儲空間,“白帽子”把發現的漏洞信息提交給平台,平台按照自己的流程把信息提供給互聯網企業,該公開的時候公開。在這種情況下,兩者之間就是信息發布服務者和用戶的關係。
中科院軟件研究所研究員丁麗萍認為,目前漏洞披露平台大多採取用戶自由提交漏洞信息的模式,在這種模式下,“白帽子”怎麼定義、怎麼審核這些提交漏洞的人?這些問題成為關鍵。漏洞披露平台很難保證每個用戶沒有在利益驅動下做違法的事情。
“白帽子”與漏洞披露平台之間的另一種關係,來自於一個商業模式,安全“眾測”或稱“眾包”的模式。漏洞披露平台接受一些互聯網企業的安全外包任務,平台將任務發布給平台上的技術高手完成項目。
專家告訴記者,在這種情況下,企業的安全意識成為關鍵因素。丁麗萍說,企業分成兩類,一類是歡迎挖漏洞的;另一類的態度是“我有漏洞你管得著嗎?你公布試試,你攻進來試試”。後一種態度雖然不講理,但也不是不合法的。刑法修正案(九)在第二百八十六條中增加了企業責任條款。丁麗萍認為,法律對企業提出了要求,由於企業不注重信息安全防護而導致用戶數據大量洩露,需要承擔刑事責任。因此,企業可能會更歡迎“白帽子”來挖漏洞。
|
