从补天白帽大会看网络世界那些“挖洞”的人

开通VIP，畅享免费电子书等14项超值服

首页

好书

留言交流

下载APP

联系客服

2023.12.29北京

因为比特币的兴起，我们渐渐熟知在网络的世界中有一群“挖矿”的人和这个词的涵义。不过还有一个与之相近的词同样脱胎于网络世界——“挖洞”，它的背后同样围绕了一个群体——“白帽子”。

如果说黑客是人们眼中经常进行网络攻击的那群人，那么白帽子则是与之对立的一个群体，他们在网络的世界中做的事情就是“挖洞”。

你也许好奇“挖洞”究竟代表什么，其实它是挖掘漏洞的简称。用360企业安全集团董事长齐向东的话说，计算机网络由程序员用一种语言开发，就像人类用语言进行演说、表述一样，语言表述的过程当中经常出现语法性的错误，这些错误容易引起语义上的差别或者差异。计算机领域把这些说话时考虑不周全或逻辑性的错误等称作漏洞，这些漏洞容易被人拿来进行网络攻击，就像我们说话不注意出现瑕疵之后被人抓住把柄攻击我们一样。

白帽子在网络中挖掘漏洞的目的并非进行攻击，而是将漏洞信息提交给产生漏洞的网络开发和运营主体，进而对漏洞进行修补、打补丁等，从而让网络世界变得更安全。近日，由360主办的补天白帽大会在深圳召开，数百名白帽齐聚一堂，会议向外界传达的信息很简单，即调动全社会白帽精英力量，建立企业与白帽子的协同机制，从而全方位解决网络安全隐患。

白帽子是谁？

白帽子是热爱于钻研网络安全技术的一群人，他们大多是90后，不但年轻，甚至学历并不高，自由职业，部分也有本职工作。在整个社会的大集体中，他们是一个新兴群体，法律对于他们挖洞的行为基本上也处于空白状态。因为挖洞和黑客攻击行为仅一线之隔，但目的却截然相反，所以在法律面前并无明确的细则界定和监管。

正因为如此，在去年曾出现影响较大的白帽被抓事件，国家网络与信息安全信息通报中心副处长张秀东在补天白帽大会上就指出，漏洞分析工作是一把“双刃剑”，既可以用来发现安全问题、消除安全隐患，如果管理不到位、被别有用心的人利用，也可以作为网络敲诈、窃取数据甚至实施攻击破坏活动的“敲门砖”。

所以，很多白帽子更喜欢挖掘一些非常重视安全的企业漏洞，他们对白帽子的成果非常赞同，并与白帽建立了良好的互动。白帽往往还会得到这些大企业的奖金报酬，但和黑客在黑产中所得到的收入相差甚远。补天漏洞响应平台上的白帽“U神”说，黑客在黑产中一天赚的钱要比白帽挖一个月漏洞得到的收入还多。

但黑产明显是触犯法律的，白帽在挖洞过程中往往也小心翼翼，比如要证明某个漏洞会影响企业的多少数据，正确的做法是读取几条数据或做一个统计，但一旦对整个数据进行了下载，即面临法律风险，即使目的并不是为了攻击或私利。

假如缺了白帽子

上面说到白帽子是与黑客相对立的一个群体，假如没有白帽子，网络中的漏洞不会因为他们不挖而不存在。相反，大量的漏洞会掌握在黑客手里，从而会对网络安全产生更大威胁。

以国内最大的OTA服务商携程来说，开发人员3000多人，安全人员只有四十人，在不少互联网公司中这个安全团队的人数还算比较大的。“但四十个人要去保障三千多个人开发出来的程序是安全的，毫无疑问人不够用的。”携程信息安全总监凌云直言。

一个网站攻击可能有几百上千个点，防御者要求几百上千个点做的一样好，挑战巨大，因为攻击者是占上风的。所以，对携程来说，希望借助外力也就是白帽子的力量让其系统更安全。过去一年，携程支付给包括补天平台的白帽子差不多一百万元，这也体现了其对白帽的认可。

从另一个层面来讲，网络威胁的态势愈加严重，补天平台大会期间发布了一份《2016年网站泄漏个人信息形势分析报告》，《报告》指出，2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个，总计可能泄露个人信息60.5亿条。如果没有白帽子挖洞进而促进企业补洞，网络安全形势会更糟糕。

某白帽子携带的密码破解锁

白帽挖洞之路

毫无疑问，白帽和黑客的身份转变仅在一念之间，所以为了对白帽进行积极引导，整个社会和法律需要做更多工作。与会嘉宾呼吁建立白帽子身份认证体系，让白帽子在法律法规的指引下，更有效率地挖掘漏洞，为维护网络安全贡献才智。

类似于补天漏洞响应平台提供了一个很好的平台，通过建立起厂商与白帽子之间的桥梁，积极推动互联网安全行业的发展。就像齐向东所说，白帽子的研究方法实际上是用网络攻击的方法，和做坏事的黑客从研究方法上来说没有本质的区别，如果是没有良好的沟通平台，白帽子和厂家之间就没有良好的沟通渠道，厂家也没有办法辨别一个网络安全的研究者对产品的“攻击性”的研究是出于黑的目的还是白的目的，进而不利于推进安全产业发展。

补天漏洞响应平台负责人白健介绍，补天作为一个第三方的漏洞发现和报告平台，一方面鼓励白帽子及时发现漏洞提交到补天平台，另一方面平台及时把这些漏洞推送到企业和机构。

据了解，2016年补天平台的注册白帽子超过3万名，注册企业超过4千家，累计发放奖金近900万元。从一定程度上来讲，奖金激励的方式也在促进更多的白帽子正确的运用网络安全技术和他们挖洞之路。

而且，不少大型互联网公司或企业也在建立SRC（安全应急响应中心），这同样是给白帽子的发挥舞台和对他们的价值认可。以此看来，随着越来越多的企业不断对安全重视和投入，中国的网络安全产业的发展进程和环境正在加速发展和改善中。