黑客世界的隐秘江湖：1个漏洞叫价300万
2016-12-16 09:06:00   来源：来源：南方都市报   评论：0 点击：

推广 | 令人窒息的奖品等你―2016最权威的全球开发者调研

第三方软件系统漏洞、外部数据撞库、个别内鬼泄露……近年来，不少企业信息泄露事件总会把调查原因最终推托给这几个看似无能为力，或者极度个别的原因，然后再建议用户“提高安全意识，定期更改密码”。最终，企业的安全部门好像无功也无过，消费者只能眼巴巴地期待着天下无贼……

俗话说“苍蝇不叮无缝的蛋”，12月13日，南都i玩版刊登了《审计环节缺位“内鬼”作祟批发信息》，可见国内企业在安全信息方面的投入微乎其微。然而，一边是国内大部分企业没有安全防御;另一边，黑客的进攻技术却日益高超、出神入化。结果可想而知，消费者变成了“透明人”。

谁在破坏安全?

黑客一念成佛一念成魔

实际上，安全从业者跟入侵黑客本质是同一班人，做的是同一件事，就是不停开锁找漏洞。在他们眼中，系统只有两种，一种是可以侵入的，一种是即将被侵入的。简单点理解，就是只有不勤快的开锁匠，没有开不了的锁。

但这是一个很奇特的圈子。在业内，如果找到漏洞后交给企业让他赶紧“修锁”，这种人就是安全从业者，俗称“whitehat”，这个开锁的事情就叫做“深度测试”;如果找到漏洞，直接进屋子把有价值的东西拖出来卖，这种人就是入侵黑客，俗称“blackhat”，这件事就是大家所熟悉的信息泄露了。

事实上，“whitehat”与“blackhat”之间的区别很多时候只是一念之差。“相对于‘whitehat’而言，‘blackhat’技术更高，赚得钱也更多”，黑客小林(化名)向南都记者表示。知道创宇超级安全体检团队负责人王宇说，“我看过的黑市叫价最贵的漏洞达到300万元以上，相比较来说，国内较有安全意识的厂商肯为漏洞付出的费用最高也才几十万。”据悉，小林去年在全网挖出了300多个漏洞，其中也就30%会付费。更多时候，个人黑客行为取决于所谓的“正义感”。

不仅如此，黑客行为可能还会遭到企业敌视。美国一黑客发现了波音公司一个漏洞，但后者一直不予理睬。他最终买了一张波音公司的机票，在飞机上成功把飞行系统劫持，以此证明漏洞的存在。他的朋友、McAfee创始人约翰·迈克菲告诉南都记者，“波音应该给他发一块奖牌感谢，但事实上，他一下飞机就被FBI直接逮捕了。”

“就我所知，国内大部分个人黑客，黑白都会做，今年乌云事件爆发后大家才躲起来的。”另一位黑客小金如是表示。

维护安全的灰色地带

奖励与敲诈瓜田李下讲不清楚

但“blackhat”实际已是犯罪行为。“为了证明安全漏洞存在而进行的技术验证，一般不涉及刑事犯罪。但如果检测过程中入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统，即使不获取数据，没有从事破坏行为，也构成犯罪。”IT知名律师赵占领表示，如果属于其他领域的计算机信息系统，首先不能非法获取数据，否则也涉嫌构成非法获取计算机信息系统数据罪。

除此之外，漏洞众测的机制本身也有灰色边界。“你要试试这个锁行不行，你总得撬两下，这个动作的法律定义很难讲清楚。”360董事长周鸿