很多时候不被理解
“多数情况下,自己主动联系漏洞方,对方都会怀疑我的目的是不是想要钱。”
在白帽子们看来,自己挖漏洞的行为,一者是兴趣使然,另外也是在为网络安全做贡献,发现哪家网站或者哪个企业的系统漏洞,可以提醒它们及时修复,避免被黑产们利用造成损失,然而一个尴尬的现实是,被发现漏洞的企业,往往对白帽子们的好意抱以怀疑的态度。
赵武当年因为在黑客领域的名气,被华为公司招进了全球安全实验室,成为了华为第一个从事安全研究的员工。在工作当中,赵武用自己研发的漏洞工具对系统的安全性进行测试,刚好广东某运营商和华为业务联系较多,他就顺手拿该运营商的运营系统做了测试,结果竟然在该运营商的系统中发现了几百个漏洞,这些漏洞涉及计费系统、短信、彩信等业务系统。
当时还年轻气盛的赵武选择了一种恶作剧的方式提醒该运营商注意系统漏洞。他利用该运营商的系统漏洞,给当时的运营商总经理手机上发送了一条短信,告诉他自己的身份以及自己发现的漏洞情况,最绝的是,短信显示的发送方居然是运营商的党组书记。
这一下子捅了马蜂窝,运营商马上找到了华为公司,核实赵武的身份,并要求他去运营商说明情况。在运营商的一间会议室里,赵武向对方的负责人详细介绍了自己发现的漏洞情况。在回去的路上,陪他一起去的华为同事才和赵武交了底,在他讲漏洞的办公室隔壁房间,就等着警方的人员,一旦赵武在对方面前表露出一点索取好处的意思,警察就会马上过来抓人。或者当时运营商的人都没有想到,赵武的用意完全就是善意的提醒。
在像补天这样的漏洞提交平台出现前,白帽子发现了漏洞,如果想提醒对方,需要自己写一份报告,并主动与对方联系。或者是不相信,或者是对白帽子动机的怀疑,表示感谢的只占到少部分。
邓焕干过更疯狂的事情,他抱着被特招成为网络警察的幻想,居然攻破了当地警察局的网站,在向系统中留的联系人发送漏洞报告后,对方第一反应是怀疑他通过其他方式找到的联系方式。
“小白”也说,多数情况下,自己主动联系的漏洞方都会怀疑其目的性,“是不是想要钱?”是被问得最多的。“确实有人利用漏洞去找企业要钱,人家也会想,你费那么大劲儿找个漏洞就是为了提醒一下?可能吗?”他表示,实际上白帽子们找漏洞,主要还是为了在实践中不断提高自己的水平。
在补天平台成立后,这一局面好了很多,白帽子只需要把漏洞提交给补天,补天会出面与漏洞方进行联系。“有的企业很重视,也会主动注册并提供奖金给发现者,但也有很多企业对系统安全的重视程度很低。”邓焕表示,经常是把漏洞情况反映给他们,却如石沉大海没有任何消息。
□记者手记
一群简单热情的年轻人
一次在饭桌上,有人向我介绍两个新朋友:“他们是特别牛的白帽子!”我当时吃了一惊,这两个人和其他80后、90后年轻人看起来没有任何区别,完全不是想像中高冷骄傲或者不修边幅的黑客形象。这两个人就是赵武和邓焕,他们也勾起了我对白帽子这个神秘群体的好奇心。
“这些人千奇百怪,个性都很强,但是都不难打交道。”陆续接触了十几个白帽子后,我认同了赵武对白帽子群体的评价。这些人普遍年龄不大,80后已是 “老人”,90后已成主力;他们当中有的很在意自己的隐私,如小白曾经戴着面具接受过央视采访,一个年纪很小的白帽子担心记者会通过手机对他进行定位;有的不善言辞,说起专业知识滔滔不绝,介绍起自己的经历就词不达意。但是他们又有一个共同点,那就是简单热情,一旦说服他们接受采访,都愿意和我分享他们最真实的生活和经历。
加拿大华人网 http://www.sinoca.com/ 
SinoCa.COM All Rights Reserved.