補漏者“白帽子”

　　國內互聯網企業遲早要作出選擇：更友好地和國內社區合作，改進軟體；或者穿著皇帝的新裝，讓漏洞一個一個默默錄入國外的漏洞庫。

　　實際上，儘管安全漏洞永遠存在，但是也有一批人熱衷於幫助修補安全漏洞，他們被稱之為“白帽子”。

　　黑客分三種類型：白帽子、灰帽子和黑帽子。“白帽子”不會惡意利用計算機系統或網絡系統中的安全漏洞，而是通過提示和公佈等方式，促進漏洞的修補；“黑帽子”指研究攻擊技術並將之用來惹是生非的黑客；“灰帽子”則介於兩者之間。

　　對待來自“白帽子”的漏洞提醒，中美兩國IT公司的態度有著很大的差別。美國IT公司的態度普遍友善。例如，微軟公司修補漏洞是再平常不過的事情。去年，微軟還設立了一項20萬美元的獎項，懸賞能夠解決Windows操作系統中存在的內存漏洞的人；Google、Mozilla、Facebook等則向發現本公司産品安全漏洞的研究人員，提供最低500美元的獎金。

　　美國《福布斯》雜誌網絡版在2010年曾報道中國安全研究員吳石的故事。報道稱，“自2007年以來，這位家住上海的35歲研究員已經發現並報告了IE、Safari和Chrome等瀏覽器中存在的100多個嚴重漏洞。”

　　僅2009年，吳石就向Zero Day Initiative(以下簡稱“ZDI”)和iDefense等漏洞懸賞項目出售了50多個漏洞。這兩個項目分別歸屬於惠普和VeriSign，專門花錢從研究人員那裏購買漏洞信息，並在安全産品中使用這些數據，隨後再將之出售給受影響的軟體廠商。ZDI購買漏洞的標準是5000美元起價，而iDefense在某些情況下支付的費用甚至超過1萬美元。由此可知吳石獲得的收益不菲。

　　國內網站的態度則截然不同。

　　一方面，由於溝通渠道的缺乏，“白帽子”即使發現了漏洞也很難將信息傳遞給網站，而網站也根本無法顧及散落在互聯網各地的漏洞信息，最終導致一些漏洞被人遺忘，未得到修復而造成損失。

　　另外一方面，一些網站對漏洞研究者的報告也很不尊重，甚至是一種輕視的態度。綠盟科技一位不願具名的網絡安全專家説：“大部分公司的第一反應往往是把事情摁下去，第一不能出醜，第二不能出事。”CSDN董事長蔣濤承認過去並不在意漏洞發佈，“將來各網站應與類似烏雲網的漏洞發佈平臺合作，安全界與技術界不應隔離。”

　　烏雲網一名“白帽子”、在紐約證券交易所一家美國上市公司就職的一位企業架構師認為，這一方面是因為，互聯網公司擔心漏洞信息會給公司聲譽帶來負面影響，認為花錢買漏洞沒出息；另一方面，每家公司的安全漏洞都不少，一旦開了獎勵的先例，有可能吸引更多的“白帽子”來盯著找漏洞，怕吃不消。

　　該企業架構師去年由於在烏雲網發佈了一條小米網的安全漏洞，小米公司贈送了他一部小米手機以示謝意，這讓他深感滿意。實際上，在國內，即使有些網站對“白帽子”的態度會好一些，為漏洞提供者送些小禮物，但相對“白帽子”花費不少精力找到的漏洞來説，這點激勵也算不上什麼。

　　互聯網安全行業資深人士TK在微博中寫道，“國內企業對安全研究社區的態度，多數還停留在‘公關’甚至恐嚇上。導致了一大怪象：中國研究者不願研究中國軟體。但漏洞不會因為不認賬就自己消失。企業遲早要作出選擇：更友好地和國內社區合作，改進軟體；或者穿著皇帝的新裝，讓漏洞一個一個默默錄入國外的漏洞庫。然後，某一天，嘭！”

　　目前，ZDI、VeriSign這類收購漏洞的第三方公司尚未對中國網站、軟體表露出興趣，但TK認為，“只要他們開始感興趣，我想每個漏洞5000美元起的價錢，對不願做地下産業的人還是有吸引力的。想象一下：大量國內網站、國産軟體的漏洞掌握在國外公司的手裏。”

　　由數名一線互聯網公司的安全工程師共建的烏雲網，正是為了消弭“白帽子”與國內互聯網公司之間的恩怨。2011年12月29日，烏雲網宣佈將會暫停服務，對系統做短暫的升級，原因是“頻繁披露的安全事件及帶來的影響??反饋出我們烏雲平臺和社區無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題”。

　　在國信辦最終披露的五起信息洩露事件中，兩次點名烏雲網。截至記者發稿，其仍未恢復服務。前述企業架構師透露，烏雲網此舉的主要原因正是配合公安機關調查此次網絡泄密事件。

　　通過烏雲網，共有500多位研究人員為120多個企業提交了接近4000個安全問題。烏雲網在運營模式和披露方式上均以國外類似網站為參考，當挖掘到網絡安全漏洞後，會提交到平臺上，或者向廠商報告，希望廠商及時進行修復。2011年第一手的漏洞消息幾乎都是從烏雲網上披露出來的。

　　烏雲網會對註冊用戶做嚴格的校驗，企業必須得到足夠的證明才能獲得相關的安全信息，包括在線證明和後臺的審核，可能的話包括線下的溝通，而“白帽子”註冊必須通過Email的驗證，為了保證信息的高可靠性和價值，對於提交虛假漏洞信息的用戶，在證實後，烏雲網將大幅度扣除用戶的Rank(用戶等級的標誌)，甚至直接刪除用戶。

　　雖然這種溝通方式在國外已經很成熟，而“作為一個互聯網漏洞報告平臺，烏雲網最重要的使命就是尊重”，但國內很多互聯網公司並不接受，更有甚者會直接施加壓力。此前，由於披露某電信運營巨頭的幾個漏洞，烏雲網曾一度被迫將服務器遷往國外。

　　吳石表示，他只會將漏洞賣給那些“不作惡”的企業，而且會提醒受影響的軟體公司。某些黑市買家曾給出10倍于ZDI的出價購買他發現的一些IE漏洞，他拒絕了。且不説是否存在道德問題，他並不希望捲入任何犯罪行為。

　　“希望這個渠道不要被堵死，否則可能會導致很大一部分漏洞流落到地下市場去。”上述企業架構師説。

　　【作者：《財經》記者 賀濤 李湘寧 】