（网友）网络“白帽子”游荡正邪之间

马兵

在“暗流涌动”的网络世界中,他们依靠过硬的技术和敏锐的嗅觉,不断发现网络上一些可能导致危害的安全漏洞。

　　倘若将发现的安全漏洞义务反馈给安全网站,他们被便称为“白帽子”。但若为了炫耀技术,利用安全漏洞有目的性地进行地下交易,他们便成了“黑客”。

　　黑与白,正与邪的较量就此拉开。在网络江湖中,黑白完全依靠个人道德约束。近期,网上不断曝出“查房网”“开房网”,甚至有“2000万开房记录”疯传网络,引起轩然大波。掌握酒店信息安全漏洞,未经修复便公之于众,这些“网络达人”走向了违法的边缘。

　　对此,民间网络安全漏洞监测平台“乌云”在其官方微博对酒店信息泄露事件予以驳斥:“你说泄漏就泄漏?你说没泄漏就没泄漏?一切让事实证明。”乌云还表示:“尽可能地收集安全问题,迅速通知厂商进行处理,防患于未然,乌云君只能帮你们到这了。”

　　“乌云”是谁?打开“乌云”的网站,上千条漏洞信息赫然在目,触目惊心。但乌云是将安全漏洞处理后再公之于众,相比那些炫技派或者别有用心的黑客,乌云走向了“正”的世界。

　　“乌云”网站的创始人之一孟茁(化名),从国内某知名网站负责网络信息安全的岗位离职后,创办了这一监测平台。“网络信息安全隐患越来越多,从事非法行为的‘黑客’也越来越多,这让我们愿意把网络技术用于正道的人非常焦虑。”

　　孟茁说,“乌云”把一切对网络安全极为感兴趣、对事物运行的原理有着天生的好奇心、愿意将技术回归技术、愿意为其他朋友做出贡献的人定义为“白帽子”,而“乌云”就像是一个大社区,提供一个把这些独立的“白帽子”聚集起来的平台,让他们为网络安全做贡献。

　　“乌云”网站的运营负责人方盾(化名)说,“乌云”的运营模式很简单:“白帽子”发现网络安全漏洞后将其提交到网站上,“乌云”的管理人员将核实信息的准确性,然后联系相关网站和厂商修复漏洞。确认修复后,再把该漏洞公布在“乌云”网站上,同时公布漏洞处理结果。

　　据方盾介绍,目前活跃在“乌云”这个平台上的“白帽子”有3000多名,大部分是学生、企事业单位员工,他们几乎都是网络安全技术“达人”,利用业余时间主动上网“排雷”。

　　“网络信息安全就像一个有裂纹的空杯子,没水的时候看不出问题,一旦注入水,很快就会漏光。”孟茁说,前几年一些技术爱好者在发现漏洞信息后喜欢在自己的博客等个人社交平台上炫耀,这是很危险的,因为同时可能有不法分子已经利用了这些漏洞从事不法行为。“为‘白帽子’提供一个安全的平台相当重要。”

　　国家互联网应急中心已经把这些“白帽子”当做维护网络安全的坚强后盾。该中心运行部主任王明华说,有了第三方的网络漏洞监测平台,能够让这些网络安全爱好者把注意力放在阳光下,一旦发现漏洞也要通过合法正当流程解决。同时,王明华也对这一群体有所担忧,因为“黑客”和“白帽子”的边界,完全靠个人道德来维系。而目前我国缺少网络安全信息相应的法律法规,法律层面上也没有给出明确的“边界”。只有当黑客窃取信息进行网络犯罪后才能定性。

　　在此情况下,通过民间监测平台提供的奖励机制,单纯促使“黑客”变为“白帽子”显得非常乏力。“应有更多的渠道和机制促使‘黑客’变为‘白帽子’。”王明华说,目前我国政府机关和一些企业的网络安全意识还比较淡薄,技术实力不够,遇到问题解决起来也非常慢。而充分运用“白帽子”群体的强大力量,为网络安全建设贡献力量是一个非常可行的手段。

　　“乌云”网站已经通过一些虚拟金币和贡献等级来对“白帽子”进行精神层面的鼓励；国内也有个别安全厂商对“白帽子”进行实物和现金奖励。王明华说,希望国家把网络信息安全高度重视起来,探索如何把民间“白帽子”收编为“国家队”。

来源： 新华每日电讯