黑客世界的隐秘江湖：1个漏洞叫价300万

首页国漫美女壁纸网文头条

国漫手机壁纸

实际上，安全从业者跟入侵黑客本质是同一班人，做的是同一件事，就是不停开锁找漏洞。在他们眼中，系统只有两种，一种是可以侵入的，一种是即将被侵入的。简单点理解，就是只有不勤快的开锁匠，没有开不了的锁。

但这是一个很奇特的圈子。在业内，如果找到漏洞后交给企业让他赶紧“修锁”，这种人就是安全从业者，俗称“whitehat”，这个开锁的事情就叫做“深度测试”；如果找到漏洞，直接进屋子把有价值的东西拖出来卖，这种人就是入侵黑客，俗称“blackhat”，这件事就是大家所熟悉的信息泄露了。

事实上，“whitehat”与“blackhat”之间的区别很多时候只是一念之差。“相对于‘whitehat’而言，‘blackhat’技术更高，赚得钱也更多”，黑客小林(化名)向南都记者表示。知道创宇超级安全体检团队负责人王宇说，“我看过的黑市叫价最贵的漏洞达到300万元以上，相比较来说，国内较有安全意识的厂商肯为漏洞付出的费用最高也才几十万。”据悉，小林去年在全网挖出了300多个漏洞，其中也就30%会付费。更多时候，个人黑客行为取决于所谓的“正义感”。

不仅如此，黑客行为可能还会遭到企业敌视。美国一黑客发现了波音公司一个漏洞，但后者一直不予理睬。他最终买了一张波音公司的机票，在飞机上成功把飞行系统劫持，以此证明漏洞的存在。他的朋友、McAfee创始人约翰·迈克菲告诉南都记者，“波音应该给他发一块奖牌感谢，但事实上，他一下飞机就被FBI直接逮捕了。”

“就我所知，国内大部分个人黑客，黑白都会做，今年乌云事件爆发后大家才躲起来的。”另一位黑客小金如是表示。

维护安全的灰色地带

奖励与敲诈瓜田李下讲不清楚

但 “blackhat”实际已是犯罪行为。“为了证明安全漏洞存在而进行的技术验证，一般不涉及刑事犯罪。但如果检测过程中入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统，即使不获取数据，没有从事破坏行为，也构成犯罪。”IT知名律师赵占领表示，如果属于其他领域的计算机信息系统，首先不能非法获取数据，否则也涉嫌构成非法获取计算机信息系统数据罪。

除此之外，漏洞众测的机制本身也有灰色边界。“你要试试这个锁行不行，你总得撬两下，这个动作的法律定义很难讲清楚。”360董事长周鸿祎告诉南都记者，目前乌云等众测平台提交漏洞给企业后，企业会自主定价打赏黑客。“但奖励也是 ‘瓜田李下’讲不清楚的，跟‘敲诈’没法区别。”

“对于黑客提交漏洞的行为，企业专门给予现金或者物质奖励，一般没有问题，这是企业主动从事的赠与行为。除非在提交漏洞之前，向相关企业索要钱财，否则提交给乌云网按流程予以公开披露，这种情况涉嫌敲诈勒索。”赵占领表示。

谁在为安全防御？

企业内部养不起技术大神

与强悍的进攻方相比，大部分中小企业没有自己的防御团队。“安全看不到收益，纯烧钱，中小企业首先考虑的是控制成本，所以基本只是网管跟运维。”小金说，一个技术大牛年薪起码百万以上，他们“养不起”。另一方面，大部分技术大牛也不考虑去企业，“几十年对着同一套系统太枯燥了。”

作为个体户与员工之间的中间地带，现在许多公司化的安全团队可能是一个比较成熟的模式，但他们必须接到企业授权的订单才能模拟攻击。

近期，知道创宇就接到一个中学教育类创业网站对新版本深度测试的需求，王碰负责这个项目两个域名的分析。测试后发现，该系统年级筛选的搜索框有代码漏洞，于是将背后核心题库“拖”了出来。因为题库数据也涉及企业核心商业利益，这个漏洞提交半月后就被修复。

但如果拖出来的是与企业利益无关的用户个人信息，企业的态度可能不同。“360补天发现过一个国内高校的漏洞，给他们技术方反复提交了半年愣是没改，”周鸿祎说，这些校园B B S是信息泄露重灾区，“他们觉得自己是小网站，没有敏感信息，不会被攻击。实际上学生在这上面的ID密码可能同时用在支付宝上。”

王碰说，“其实企业内部查找漏洞跟修复漏洞不是同一班人，如果不是特别敏感的信息，这种内部沟通效率就是问题。”打个比方，小A盖了房子给公司，小B找外部第三方检测发现锁不行，如果是卧室锁坏了，小A会赶紧修；但如果只是跟房间格局无关的某个抽屉锁坏了，小A承受的指责、增加的工作量以及心中的怨念可想而知。

安全的命门在哪？

最终还是人与人的较量

“现在厂商宁愿多买服务器硬件，也不愿雇一个安全人员进行长期监测。”周鸿祎曾告诉南都记者，但安全不是机器与机器斗，而是人与人斗，永远没有一个方案可以一劳永逸，人的服务才是安全最好的解决方案。简单说来，一个写字楼会有门锁，但日常管理进出人员还是得依赖保安。