“以后應該怎麼繼續去發掘漏洞、提交漏洞？”雖然只是一個初級“白帽”黑客（在IT界，“白帽”黑客指的是正面黑客，又稱“白帽子”，他們發現系統安全漏洞，不會惡意去利用，而是公布漏洞，讓系統所有方提前修補漏洞），但說起烏雲網“停擺”的事，從事網絡安全工作的王越亞還是覺得很惋惜。

　　7月20日，國內最大的漏洞報告平台烏雲網突然無法訪問。烏雲網公告稱，烏雲及相關服務將升級，並將在最短時間內回歸。烏雲成立於2010年5月，是國內最早的漏洞報告平台，聚集了一群愛好安全技術的“白帽”黑客。

　　由於在發現企業網絡安全漏洞的過程中，“白帽黑客”經常需要滲透、測試企業的網站或其他互聯網產品，他們往往會被認為侵犯企業的數據信息安全。因此，對於外界而言，“白帽黑客”和他們發現、公布漏洞的行為仍然是非常神秘且飽受爭議的。

　　烏雲“停擺”等諸多事件更是將這些爭議進一步放大：“白帽黑客”發現、報告漏洞的行為究竟合不合法？如何在“白帽黑客”發現、報告漏洞和保護企業網絡安全之間取得平衡？

　　黑白邊緣的“白帽黑客”

　　沒有漏洞，也就沒有“白帽黑客”的產生和活躍。

　　根據國家信息安全漏洞共享平台(CNVD)統計，2015年，國內重要漏洞響應平台共報送25314條漏洞。另據360互聯網安全中心發布的2015年互聯網安全報告顯示，2015年全年（截至11月18日），經360網站安全檢測平台掃描的231.2萬個網站中，43.9%存在漏洞，12.3%存在高危漏洞，360網站衛士共攔截各類網站漏洞攻擊16.5億次。

　　這些網絡安全漏洞輕則泄露個人或企業機密信息，對企業生產經營造成重大損失，嚴重的可能還會涉及國家安全。令人擔憂的是，目前大多數政府、企業和個人的網站沒有足夠力量組建專業安全團隊，並且缺乏專業的修復建議和修復驗証機制，而業務的頻繁更新也會導致新的漏洞不斷出現。在此背景下，一些極客開始對某些網站進行滲透測試，期望通過發現漏洞來提升自己的IT技術，逐漸成為“白帽黑客”。通過發現、提交漏洞，“白帽黑客”曾發現了許多敏感信息的泄露問題，引起了重視，但提交漏洞的行為也飽受爭議。

　　13萬條鐵路售票網站12306用戶數據泄露、如家酒店等開房信息泄露、騰訊7000萬QQ群用戶數據泄露……這些曾經轟動一時的用戶數據泄露事件，最早都是“白帽黑客”在烏雲平台上提交、報告的，並最終引起了平台方的重視和改進。

　　與此同時，“白帽黑客”的存在對很多企業來說也是一種威脅，因為從法律角度來說，他們的行為屬於灰色地帶，“白帽黑客”處於黑白邊緣。國內某漏洞平台的市場負責人於小偉（化名）向記者表示，目前國內法律對“白帽黑客”及其發現、提交漏洞的行為如何定性尚沒有定論，因為“白帽黑客”在發現漏洞的過程中很可能會觸碰到企業的數據信息，有些甚至是一些敏感、機密的數據。

　　《烏雲漏洞審核機制改進公告》顯示，對於普通漏洞，烏雲設置了5天的廠商確認周期，若5天內廠商未確認則視為忽略,將直接公開漏洞﹔10天后向核心及相關領域專家公開﹔20天后向普通白帽子公開﹔30天后向實習白帽子公開﹔45天后向公眾公開﹔期間廠商可自行提前公開，向普通白帽子公開的時候可以使用烏雲幣購買提前查看漏洞細節。

　　於小偉說，在“白帽黑客”提交漏洞之后，對外公開漏洞之前，漏洞平台向“白帽黑客”公開漏洞的做法本意是為了提供學習漏洞的機會，但若涉事企業和平台未能修復漏洞，很可能就會造成企業數據信息被侵犯和泄露。王越亞也表示，一直以來，烏雲公開漏洞的運作模式飽受詬病。因為，大企業會有專門的員工去處理在平台提交的漏洞，但是小企業或者安全意識還沒有跟上的公司很少會花費精力去做這件事。

　　“有些小企業烏雲是聯系不到的，而烏雲的漏洞披露機制會讓小企業的網站漏洞被公開，而公開的時候往往都沒被修復，這樣會有很多人去順著這個漏洞去企業的網站繼續去玩、去滲透、乃至破壞。”王越亞說。

　　不伸手不知道有沒有電，伸手了很可能就觸電

　　在“白帽黑客”圈子裡，烏雲的“停擺”並不是第一件引起震動的事件，發生在今年春天的“袁煒事件”同樣引發了許多討論。據媒體報道，去年12月，“白帽”黑客袁煒在烏雲平台上提交了其發現的婚戀交友網站世紀佳緣的系統漏洞，隨后世紀佳緣確認、修復了該漏洞，並按烏雲平台慣例向漏洞提交者致謝。

　　但在一個多月后，世紀佳緣以“網站數據被非法竊取”為由報警。今年4月，袁煒被司法機關逮捕。世紀佳緣CEO吳琳光在知乎上解釋稱：“在漏洞修復過程中，我們發現有900多條有效數據被攻擊者獲取，出於對用戶數據和信息安全的擔憂，我們選擇了報警。”吳琳光同時表示，“在警方披露調查結果之前，我們並不知道提交漏洞的“白帽子”和攻擊者是同一個人。”

　　從“袁煒事件”到烏雲“停擺”，給“白帽”黑客帶來的影響是直接的。王越亞表示，許多“白帽”黑客越來越擔心，“袁煒事件”會不會在自己身上重演，甚至也有很多人在考慮要不要放棄原來“發現網站漏洞——獲得網站進入權限——提交漏洞”的思路。

　　但在中國互聯網協會信用評價中心法律顧問趙佔領看來，“袁煒事件”中袁煒涉嫌的罪名是非法侵入計算機信息系統罪，這個罪名有具體的條件，其中一個非常關鍵的條件就是非法獲取計算機信息數據500組以上。“判斷烏雲這些技術愛好者是否觸及法律，就看他們的具體行為。”趙佔領說。

　　雖然有法律上的解釋，但對於大多數“白帽”黑客而言，由於數據信息的特殊性，網站漏洞的發現過程很難按照法律條文來界定究竟是否合法。“雖然法律上明文規定的是，你進入網站沒有進行任何操作去破壞或者獲得數據就不算違法，但是涉及數據信息，誰又能証明自己是清白的？”王越亞表示，由於很難有第三方能看到“白帽”黑客在提交漏洞前有沒有獲取、盜用數據，所以很難判斷發現漏洞的過程是否合法。

　　而一旦被企業認為盜取了數據信息，“白帽”黑客也面臨著舉証的困難。“白帽子都說自己是好人，但是誰能証明呢？只是因為他提交漏洞遠遠不夠。我可以說我沒看，但是如何証明我沒看？”王越亞說。

　　他認為，判斷漏洞發現的過程是否合法，關鍵還是對“白帽”黑客在發現漏洞時對數據信息的處理方式如何界定，這關系到白帽子究竟是侵犯數據的壞人，還是純粹發現漏洞的好人，

　　於小偉認為，“白帽”黑客發現漏洞的過程很像是徒手檢測電線是否有電：不伸手不知道有沒有電，伸手了很可能就會觸電。“白帽”黑客要發現漏洞，並且讓企業確認漏洞存在，就需要讓企業了解漏洞詳情，而了解之后企業就很可能認為“白帽”黑客獲取、盜用了數據信息。

　　他曾與一些關注網絡安全領域的律師交流，發現目前無論是“白帽”黑客，還是網絡安全法律界，大家對判斷發現漏洞的過程合不合法都還沒有比較成型的討論意見。“這個問題還很難界定”。

　　眾測平台模式有用嗎

　　在此次烏雲“停擺”事件發生以后，不少“白帽子”在微博或者論壇上留言：“把烏雲關了，難道不怕白帽子去黑更多網站？”這讓趙佔領更加擔心“白帽”黑客群體的信心。

　　趙佔領認為，雖然“白帽子”和“黑帽子”有很大區別，但從技術上看兩者之間可以互相轉化。漏洞平台把相當一部分“黑帽子”轉化成了“白帽子”，並且約束“白帽子”的行為，開展“白帽子”的普及教育，讓他們認識到不能做一些違法的漏洞測試。他擔心的是，如果把漏洞平台關閉，這些“白帽子”的價值沒辦法得到認可，也沒辦法得到一些物質回報，那麼其中很可能就會有人變成“黑帽子”，通過非法攻擊漏洞去牟利。“這對白帽子的信心是一個打擊”。

　　作為“白帽”黑客的一員，王越亞認為烏雲“停擺”並不會導致很多“白帽子”黑化，因為大多數“白帽”黑客其實只是把發現、提交漏洞當作一種業余興趣和技術的磨練提升，並沒有把“白帽子”當成工作。“而且他們也清楚有些事兒不能亂搞，不然很容易出現問題”。

　　王越亞更加擔心的是，烏雲“停擺”會導致很多網絡安全漏洞無法及時發現，使更多企業，尤其是小企業的網絡安全遭受更多傷害。那麼，該如何在保護企業信息安全和“白帽”黑客信心之間取得平衡？企業、漏洞平台、“白帽”黑客，以及網絡安全管理部門各自應當保持何種姿態？

　　杭州安恆信息技術有限公司總裁范淵曾經是第一個登上BLACKHAT(黑帽子)大會（全世界電腦黑客的頂級盛會，隻邀請頂尖高手參加）演講的中國人。在他看來，在“白帽”黑客發現漏洞的過程中，法律法規是一根紅線，必須遵循法律的框架和流程來開展。

　　“首先你要得到（企業）授權，而不是先非法入侵，入侵之后再來告訴企業，或者跟企業要報酬，不給我就曝光。”范淵說。於小偉則認為，目前漏洞盒子、360補天漏洞平台等已經嘗試的眾測平台模式或許是一種解決辦法。所謂眾測是一種由廠商提供互聯網產品，由眾測平台組織“白帽”黑客專門為其尋找安全漏洞的眾包生產模式。

　　實際上，這種眾測平台模式已經在美國獲得較好效果。據媒體報道，舊金山一家採取眾測平台模式的創業公司HackerOne試圖吸引黑客積極解決軟件系統的漏洞，而不是利用漏洞，幫助“白帽”黑客與願意付費的企業牽線搭橋。

　　報道稱，HackerOne的運作模式是讓企業在其平台上直接發布眾測請求，讓廣大“白帽”黑客發掘漏洞，“白帽”黑客發現並提交漏洞后，企業會根據安全威脅等級給予一定的現金獎勵。目前，HackerOne已經獲得2500萬美元融資，此前已獲得900萬美元的輪融資。於小偉表示，如果不讓“白帽”黑客發現、提交漏洞，不僅許多安全隱患難以發現，而且“白帽”黑客所輕易掌握的數據就會轉入地下黑色產業鏈，企業和個人數據將會被賣走。“如果有傷疤，為什麼不可以讓大家來幫你發現原因，來診治？與其堵住，還不如鼓勵眾測平台的發展，讓他們發揮作用。”

　　身為“白帽”黑客，王越亞認為廣大“白帽”黑客對這類眾測平台還是比較信任的，而在平台上發布眾測請求的企業也會在一定程度上容忍“白帽”黑客的網絡入侵行為，但一般情況下，企業都不會把可能涉及內部數據的方面交給“白帽”黑客來測試。

　　“總結來看，這一系列的問題其實也不是法律、政府所能界定的，更多的還是靠‘白帽子’的自律，和企業對白帽子的信任吧。”他說。（王林 張均斌）

分享讓更多人看到