從補天白帽大會看網路世界那些「挖洞」的人

因為比特幣的興起，我們漸漸熟知在網路的世界中有一群「挖礦」的人和這個詞的涵義。不過還有一個與之相近的詞同樣脫胎於網路世界——「挖洞」，它的背後同樣圍繞了一個群體——「白帽子」。

如果說黑客是人們眼中經常進行網路攻擊的那群人，那麼白帽子則是對之對立的一個群體，他們在網路的世界中做的事情就是「挖洞」。

你也許好奇「挖洞」究竟代表什麼，其實它是挖掘漏洞的簡稱。用360企業安全集團董事長齊向東的話說，計算機網路由程序員用一種語言開發，就像人類用語言進行演說、表述一樣，語言表述的過程當中經常出現語法性的錯誤，這些錯誤容易引起語義上的差別或者差異。計算機領域把這些說話時考慮不周全或邏輯性的錯誤等稱作漏洞，這些漏洞容易被人拿來進行網路攻擊，就像我們說話不注意出現瑕疵之後被人抓住把柄攻擊我們一樣。

白帽子在網路中挖掘漏洞的目的並非進行攻擊，而是將漏洞信息提交給產生漏洞的網路開發和運營主體，進而對漏洞進行修補、打補丁等，從而讓網路世界變得更安全。近日，由360主辦的補天白帽大會在深圳召開，數百名白帽齊聚一堂，會議向外界傳達的信息很簡單，即調動全社會白帽精英力量，建立企業與白帽子的協同機制，從而全方位解決網路安全隱患。

白帽子是誰？

白帽子是熱愛於鑽研網路安全技術的一群人，他們大多是90後，不但年輕，甚至學歷並不高，自由職業，部分也有本職工作。在整個社會的大集體中，他們是一個新興群體，法律對於他們挖洞的行為基本上也處於空白狀態。因為挖洞和黑客攻擊行為僅一線之隔，但目的卻截然相反，所以在法律面前並無明確的細則界定和監管。

正因為如此，在去年曾出現影響較大的白帽被抓事件，國家網路與信息安全信息通報中心副處長張秀東在補天白帽大會上就指出，漏洞分析工作是一把「雙刃劍」，既可以用來發現安全問題、消除安全隱患，如果管理不到位、被別有用心的人利用，也可以作為網路敲詐、竊取數據甚至實施攻擊破壞活動的「敲門磚」。

所以，很多白帽子更喜歡挖掘一些非常重視安全的企業漏洞，他們對白帽子的成果非常贊同，並與白帽建立了良好的互動。白帽往往還會得到這些大企業的獎金報酬，但和黑客在黑產中所得到的收入相差甚遠。補天漏洞響應平台上的白帽「U神」說，黑客在黑產中一天賺的錢要比白帽挖一個月漏洞得到的收入還多。

但黑產明顯是觸犯法律的，白帽在挖洞過程中往往也小心翼翼，比如要證明某個漏洞會影響企業的多少數據，正確的做法是讀取幾條數據或做一個統計，但一旦對整個數據進行了下載，即面臨法律風險，即使目的並不是為了攻擊或私利。

假如缺了白帽子

上面說到白帽子是與黑客相對立的一個群體，假如沒有白帽子，網路中的漏洞不會因為他們不挖而不存在。相反，大量的漏洞會掌握在黑客手裡，從而會對網路安全產生更大威脅。

以國內最大的OTA服務商攜程來說，開發人員3000多人，安全人員只有四十人，在不少互聯網公司中這個安全團隊的人數還算比較大的。「但四十個人要去保障三千多個人開發出來的程序是安全的，毫無疑問人不夠用的。」攜程信息安全總監凌雲直言。

一個網站攻擊可能有幾百上千個點，防禦者要求幾百上千個點做的一樣好，挑戰巨大，因為攻擊者是佔上風的。所以，對攜程來說，希望藉助外力也就是白帽子的力量讓其系統更安全。過去一年，攜程支付給包括補天平台的白帽子差不多一百萬元，這也體現了其對白帽的認可。

從另一個層面來講，網路威脅的態勢愈加嚴重，補天平台大會期間發布了一份《2016年網站泄漏個人信息形勢分析報告》，《報告》指出，2016年補天平台共收錄了可以導致個人信息泄露的網站漏洞359個，總計可能泄露個人信息60.5億條。如果沒有白帽子挖洞進而促進企業補洞，網路安全形勢會更糟糕。

某白帽子攜帶的密碼破解鎖

白帽挖洞之路

毫無疑問，白帽和黑客的身份轉變僅在一念之間，所以為了對白帽進行積極引導，整個社會和法律需要做更多工作。與會嘉賓呼籲建立白帽子身份認證體系，讓白帽子在法律法規的指引下，更有效率地挖掘漏洞，為維護網路安全貢獻才智。

類似於補天漏洞響應平台提供了一個很好的平台，通過建立起廠商與白帽子之間的橋樑，積極推動互聯網安全行業的發展。就像齊向東所說，白帽子的研究方法實際上是用網路攻擊的方法，和做壞事的黑客從研究方法上來說沒有本質的區別，如果是沒有良好的溝通平台，白帽子和廠家之間就沒有良好的溝通渠道，廠家也沒有辦法辨別一個網路安全的研究者對產品的「攻擊性」的研究是出於黑的目的還是白的目的，進而不利於推進安全產業發展。

補天漏洞響應平台負責人白健介紹，補天作為一個第三方的漏洞發現和報告平台，一方面鼓勵白帽子及時發現漏洞提交到補天平台，另一方面平台及時把這些漏洞推送到企業和機構。

據了解，2016年補天平台的註冊白帽子超過3萬名，註冊企業超過4千家，累計發放獎金近900萬元。從一定程度上來講，獎金激勵的方式也在促進更多的白帽子正確的運用網路安全技術和他們挖洞之路。

而且，不少大型互聯網公司或企業也在建立SRC（安全應急響應中心），這同樣是給白帽子的發揮舞台和對他們的價值認可。以此看來，隨著越來越多的企業不斷對安全重視和投入，中國的網路安全產業的發展進程和環境正在加速發展和改善中。