补漏者“白帽子”

　　国内互联网企业迟早要作出选择：更友好地和国内社区合作，改进软件；或者穿着皇帝的新装，让漏洞一个一个默默录入国外的漏洞库。

　　实际上，尽管安全漏洞永远存在，但是也有一批人热衷于帮助修补安全漏洞，他们被称之为“白帽子”。

　　黑客分三种类型：白帽子、灰帽子和黑帽子。“白帽子”不会恶意利用计算机系统或网络系统中的安全漏洞，而是通过提示和公布等方式，促进漏洞的修补；“黑帽子”指研究攻击技术并将之用来惹是生非的黑客；“灰帽子”则介于两者之间。

　　对待来自“白帽子”的漏洞提醒，中美两国IT公司的态度有着很大的差别。美国IT公司的态度普遍友善。例如，微软公司修补漏洞是再平常不过的事情。去年，微软还设立了一项20万美元的奖项，悬赏能够解决Windows操作系统中存在的内存漏洞的人；Google、Mozilla、Facebook等则向发现本公司产品安全漏洞的研究人员，提供最低500美元的奖金。

　　美国《福布斯》杂志网络版在2010年曾报道中国安全研究员吴石的故事。报道称，“自2007年以来，这位家住上海的35岁研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞。”

　　仅2009年，吴石就向Zero Day Initiative(以下简称“ZDI”)和iDefense等漏洞悬赏项目出售了50多个漏洞。这两个项目分别归属于惠普和VeriSign，专门花钱从研究人员那里购买漏洞信息，并在安全产品中使用这些数据，随后再将之出售给受影响的软件厂商。ZDI购买漏洞的标准是5000美元起价，而iDefense在某些情况下支付的费用甚至超过1万美元。由此可知吴石获得的收益不菲。

　　国内网站的态度则截然不同。

　　一方面，由于沟通渠道的缺乏，“白帽子”即使发现了漏洞也很难将信息传递给网站，而网站也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。

　　另外一方面，一些网站对漏洞研究者的报告也很不尊重，甚至是一种轻视的态度。绿盟科技一位不愿具名的网络安全专家说：“大部分公司的第一反应往往是把事情摁下去，第一不能出丑，第二不能出事。”CSDN董事长蒋涛承认过去并不在意漏洞发布，“将来各网站应与类似乌云网的漏洞发布平台合作，安全界与技术界不应隔离。”

　　乌云网一名“白帽子”、在纽约证券交易所一家美国上市公司就职的一位企业架构师认为，这一方面是因为，互联网公司担心漏洞信息会给公司声誉带来负面影响，认为花钱买漏洞没出息；另一方面，每家公司的安全漏洞都不少，一旦开了奖励的先例，有可能吸引更多的“白帽子”来盯着找漏洞，怕吃不消。

　　该企业架构师去年由于在乌云网发布了一条小米网的安全漏洞，小米公司赠送了他一部小米手机以示谢意，这让他深感满意。实际上，在国内，即使有些网站对“白帽子”的态度会好一些，为漏洞提供者送些小礼物，但相对“白帽子”花费不少精力找到的漏洞来说，这点激励也算不上什么。

　　互联网安全行业资深人士TK在微博中写道，“国内企业对安全研究社区的态度，多数还停留在‘公关’甚至恐吓上。导致了一大怪象：中国研究者不愿研究中国软件。但漏洞不会因为不认账就自己消失。企业迟早要作出选择：更友好地和国内社区合作，改进软件；或者穿着皇帝的新装，让漏洞一个一个默默录入国外的漏洞库。然后，某一天，嘭！”

　　目前，ZDI、VeriSign这类收购漏洞的第三方公司尚未对中国网站、软件表露出兴趣，但TK认为，“只要他们开始感兴趣，我想每个漏洞5000美元起的价钱，对不愿做地下产业的人还是有吸引力的。想象一下：大量国内网站、国产软件的漏洞掌握在国外公司的手里。”

　　由数名一线互联网公司的安全工程师共建的乌云网，正是为了消弭“白帽子”与国内互联网公司之间的恩怨。2011年12月29日，乌云网宣布将会暂停服务，对系统做短暂的升级，原因是“频繁披露的安全事件及带来的影响??反馈出我们乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题”。

　　在国信办最终披露的五起信息泄露事件中，两次点名乌云网。截至记者发稿，其仍未恢复服务。前述企业架构师透露，乌云网此举的主要原因正是配合公安机关调查此次网络泄密事件。

　　通过乌云网，共有500多位研究人员为120多个企业提交了接近4000个安全问题。乌云网在运营模式和披露方式上均以国外类似网站为参考，当挖掘到网络安全漏洞后，会提交到平台上，或者向厂商报告，希望厂商及时进行修复。2011年第一手的漏洞消息几乎都是从乌云网上披露出来的。

　　乌云网会对注册用户做严格的校验，企业必须得到足够的证明才能获得相关的安全信息，包括在线证明和后台的审核，可能的话包括线下的沟通，而“白帽子”注册必须通过Email的验证，为了保证信息的高可靠性和价值，对于提交虚假漏洞信息的用户，在证实后，乌云网将大幅度扣除用户的Rank(用户等级的标志)，甚至直接删除用户。

　　虽然这种沟通方式在国外已经很成熟，而“作为一个互联网漏洞报告平台，乌云网最重要的使命就是尊重”，但国内很多互联网公司并不接受，更有甚者会直接施加压力。此前，由于披露某电信运营巨头的几个漏洞，乌云网曾一度被迫将服务器迁往国外。

　　吴石表示，他只会将漏洞卖给那些“不作恶”的企业，而且会提醒受影响的软件公司。某些黑市买家曾给出10倍于ZDI的出价购买他发现的一些IE漏洞，他拒绝了。且不说是否存在道德问题，他并不希望卷入任何犯罪行为。

　　“希望这个渠道不要被堵死，否则可能会导致很大一部分漏洞流落到地下市场去。”上述企业架构师说。

　　【作者：《财经》记者 贺涛 李湘宁 】