乌云网:网络漏洞查找的网络黑客暗战江湖(2)

送礼物或奖励，是厂商给予提交漏洞的白帽子一种报酬。这种模式在美国很常见，去年，微软还设立了一项20万美元的奖项，悬赏能够解决Windows操作系统中存在的内存漏洞的人；Google、Mozilla、Facebook等则向发现本公司产品安全漏洞的研究人员，提供最低500美元的奖金。

但在国内，由于厂商对提交漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等等纪念礼物。乌云网一名“白帽子”、在纽约证券交易所一家美国上市公司就职的一位企业架构师由于在乌云网发布了一条小米网的安全漏洞，小米公司赠送了他一部小米手机以示谢意就让他深感满意。孟德认为，实际上，在相对“白帽子”花费不少精力找到的漏洞来说，这点激励也算不上什么。

但是厂商也有自己的委屈。“一是担心漏洞信息给自己带来负面影响，二是各家企业漏洞都不少，开了奖励先河后，成千上万名黑客都盯着自己的漏洞。”上述互联网高层人士对记者称。

一次提交，就是一次侵入

白帽子的反思：黑亦白，白亦黑。乌云上的白帽子，真的是白帽子？

“客观来说，乌云网解决了许多问题，如黑客与厂商之间的信任问题，减少了沟通上的时间成本，降低了终端客户可能面临的安全风险。”一位互联网安全观察人士对记者称，但一个重要问题是，数千名白帽子是如何发现各个行业、各大企业网站漏洞的？即便漏洞真实存在，获得漏洞的过程是否合法？

11月18日，某科技公司人士“yuange1975”的一条微博引起热议：这些人胆子比较大哈，这种事情不要拿自己的命来成就别人。虽然我不赞成厂商因此抓这些人，但是如果真要抓人分分钟钟的事情。

这条引起众多业内人士关注的消息是——11月17日，名为“NIliU"的白帽子在乌云网上提交了一个名为“某银行某分行管理系统命令执行导致服务器沦陷”的漏洞，尽管该漏洞并未公布详细细节，但还是引起业内的关注与担心。

“谁给你授权测试该网站漏洞了？你是通过什么方式得到的该漏洞？如果要根据该漏洞抓你，那也是有根有据。”网友“网路游侠”如此评论，悄悄的黑站，吆喝的不要。发现漏洞的过程，很多时候也是违法的过程。

“黑亦白，白亦黑。乌云的白帽子，真的是白帽子？很多白帽子的测试渗透过程，完全就是一系列的入侵、破坏和信息盗取行为。”在腾讯微博，认证为“乌云平台白帽子成员”的于小葵发微博进行反思。

“自己所提交到乌云网的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻击进行的，根本不可能提前通知相关部门和厂商。”“老K”对此承认，这其实也是一种违法行为。“所谓的白帽子，本质就是黑客，只是黑客不好听，谁都不愿意承认。”

“老K”不愿详细透露自己采用了哪些手段渗透进企业内网，获得了企业的漏洞，但他表示很多入侵思路都来自乌云网——实际上，乌云网除了是第三方漏洞提交平台，还是一个获取漏洞学习交流研究平台。这些攻略一部分只有白帽子可见，另一部分则对公众公开。比如在2013年11月22日，乌云网就公布了一份《我是这样搞定全省万象网吧的(网吧渗透测试实例，超详细)》，万象网吧原为盛大旗下子公司，后被盛大出售给杭州顺网科技，尽管该漏洞测试时间是今年2月，但其中攻击步骤、方式、操作手段都无比详细，从中可以看出该漏洞的获得本身就是一次违法入侵行为。

一些高调的白帽子则现身说事。去年10月19日，一位叫“only_guest”的知名白帽子在乌云网发《微信任意用户密码修改漏洞》的技术帖，称通过利用微信账号安全的设置漏洞，成功地破解了多位名人的微信账号和手机号，并公布为证。

截图显示该名白帽子在成功破解柳岩、马化腾的微信账号前，选择修改了两个人微信账号密码，一个是明星柳岩的经纪人，一个是腾讯的某位高管，并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号，甚至用该名腾讯高管的号码给马化腾发了消息。

因此，获取漏洞本身就是一次黑客的入侵过程。“我们经常可以看到，乌云网上一些白帽子为了提交漏洞，而经常渗透进企业内网的过程。挖个漏洞需要上传真实的shell，进入内网转一圈吗？你看到别人家房门没有关，然后你就跑进去给熟睡的女主人拍了几张裸照，然后发到她的邮箱里面说，你家门没有关，你看这个照片就是证明，然后你还评论了一下，女主人的屁股还挺白。你让人家情以何堪？”XMD5解密网站长汪利辉在《白帽子看过来，漏洞平台那点事》中表示，白帽子测试的目标网站谁给你授权了？真出了问题，没有人给担着的。如果乌云如不能正确引导这些白帽子，估计会有某些白帽子哭的一天。

“不处理好授权问题，提交到乌云的漏洞报告就可能成为入侵证据。”武汉大学计算机学院副教授、信息安全博士彭国军说。

“对此乌云网也心知肚明，因此在声明上做了风险规避，提交漏洞的事情和乌云没有任何关系。”“老K”说。根据乌云网的信息安全和保护声明，白帽子注册必须通过邮件验证，对于提交虚假漏洞信息的用户在证实后，乌云网将根据情况扣除用户的Rank甚至直接删除用户。同时，乌云网也强调，对于白帽子研究漏洞的方法、方式、工具及手段的合法性，乌云网对此不承担任何法律责任。

11月19日，或许是基于业界的议论，或许是基于其他担心，提交该漏洞的白帽子“NIliU”在乌云网该漏洞下发布声明表示：“此次测试未对系统做任何破坏，未窃取任何数据，只是截图证明。”

但在律师看来，乌云网的声明并不能免责。“假如乌云网是一名‘善意的黑客’，其目的仅是为帮助企业修补漏洞，那么乌云网应该私下就找出的漏洞与企业沟通，而不是公之于众。要知道酒店登记入住涉及个人隐私和资料，一旦信息被泄露不仅涉嫌对企业侵权，也涉嫌对个人侵权，假如客人因此状告酒店而酒店再以侵权状告乌云网，那么乌云网就会很麻烦。”上海袁圆律师事务所陈军律师分析。

或许，更为严重的是，由于乌云网对“白帽子”真实身份难以确定，像“老K”这样的“白帽子”，神秘身份背后到底是什么？是否竞争对手的恶意攻击行为？是否会发布虚假漏洞消息？对于心怀叵测的黑客来说，是否伪装成白帽子潜伏其中，伺机而动？

这并非杞人忧天。2011年12月29日，乌云网宣布暂停服务，对系统做短暂的升级，原因是“频繁披露的安全事件及带来的影响——根据国家互联网信息办披露，CSDN、天涯网站被入侵事件也同样是因为网友的个人行为，调查发现，网名 “臭小子”的许某某出于个人炫耀的目的，于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露，并公布泄露的数据包截图。此外，一些白帽子甚至以信息泄露相要挟索要利益，乌云网白帽子“我心飞翔”就因涉嫌敲诈勒索京东商城被刑事拘留。