黑客为什么都戴黑帽子(黑客为什么犯法)

　　◆ 漏洞银行创始人Steve罗清篮

　　文| 铅笔道 记者 薛婷

　　导语

　　“Pwn”发音类似“砰”，这是一个黑客俚语，代表攻击成功，操控了被“黑”设备。

　　有一群黑客“Pwn”的目的并非窃取对方信息，而是找到系统的漏洞，提醒企业尽早修复，他们俗称白帽黑客。

　　然而，部分黑客游走在黑帽与白帽之间。如何让黑帽转为白帽？如何让白帽更好地为企业查找漏洞？

　　为此，白帽黑客罗清篮创办了漏洞银行（BUGBANK）。平台一端连接白帽，一端连接企业，其业务流程如下：企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级，并根据两项评级为该漏洞定价——最后企业通过平台向白帽支付费用。

　　目前，漏洞银行注册的白帽有1万多名（20%是95后），每月发现漏洞超过2000个。企业客户约为1000家，以政府、电商、互联网金融、游戏行业为主，如宜信、51job、大众点评等。

　　近期世纪佳缘抓捕白帽事件令白帽群体处于风口浪尖。罗说：“我特别喜欢白帽们，他们并不是一个纯粹商业化的群体，而是一群技术宅，希望外界不要有太多的打压。”

　　注: 罗清篮已确认文中数据真实无误，铅笔道愿与他一起为内容真实性背书。

　　提交漏洞不曝光

　　罗清篮自小爱好黑客。出生在信息安全世家的他，打小学起接触网路安全；初中和高中时已是《黑客防线》的特约签约作者。

　　时光辗转到大学时期，他依然泡在这个行业。参加各种黑客比赛之余，他组织了一个社团——大学网络协会。2009年他上大三，从社团里挑了一帮伙伴，办起了公司。

　　◆ 漏洞银行的产品之神&联合创始人Madison张雪松

　　那是他第一次创业。经企业授权，他们模拟黑客找到入侵企业核心数据等的方法或路径，由此撰写风险评估报告。此外，公司还开发销售防护硬件产品。

　　一做便是五年。期间，公司被一家传统企业投资，盈利情况良好。罗坦言，“当时不太懂投融资”。

　　2013年年底，他被一家名为乌云（WooYun）的平台所吸引。其模式为通过白帽提交、公开企业的漏洞。“由于媒体对漏洞曝光趋之若鹜，该平台的知名度迅速升温。”

　　罗清篮很受启发。“乌云开创了漏洞提交的先河。”

　　然而，他个人认为，乌云的模式有一个比较致命的弱点：公开企业漏洞。“过去几年服务客户的过程中，感觉不少客户挺反感将漏洞公开。”

　　曾有一家在美国纳斯达克上市公司的CTO对他抱怨道：“当时乌云上公开了一个公司系统漏洞，股价遭受影响，当天跌了5%。”

　　这个点触动了他。“如果我们做一个漏洞提交平台，但是不曝光企业的漏洞，而是对接白帽与企业，让企业尽快修补漏洞，这样企业的认同度是否会更高呢？”

　　他决定尝试一番，创办了漏洞银行。“传统企业投资理念不会那么超前，需要找一家风投单独来做这个项目。”

　　2014年新年一过，罗一手筹备开发提交平台，一手接触风投。经朋友介绍，他收到了来自软银中国资本的橄榄枝，顺利敲定500万美元A轮融资。

　　游走的白帽群体

　　在罗清篮的设想中，白帽发现提交企业的漏洞后，企业为其付费。但由于黑客行业混乱，加之不知企业付费意愿如何，罗花了很长时间走访验证。

　　他发现很多企业是痛并快乐着。“首先他们也接受乌云的这种曝光形式，虽然有一些声誉上的影响，但是帮企业提早发现了隐患。”他笑着说，“我们希望企业不痛也能快乐。”

　　但是也有企业对白帽心存恐惧。比如，企业授权黑客测试系统，他找到了10个漏洞，但是只告诉企业7个，自己留了3个可能去做其它交易。“这会让企业无形中遭受损失，由于经过授权，也不好纠责。”

　　况且部分白帽群体本身就游走在黑帽与白帽之间，互联网还催生出一种黑色产业链。有些企业会雇佣黑帽黑客攻击竞争对手，黑帽在未经授权的情况下，找到漏洞直接读取数据，转卖牟利或者用流量攻击对方网站。

　　“互联网金融行业有近50%的企业遭受过黑帽黑客攻击。”他补充道，“黑帽的法律风险极高，如果白帽有较好的生存空间，一般是不会转去做黑帽的。”

　　此外，一些企业对于安全问题存在偏见和忽视。“有的企业不愿意让白帽提交漏洞，他担心白帽除了会获取利益外，会持续不断地提交漏洞，或者引起黑帽的关注。”

　　有些处于早期的企业，忙于业务本身，并不愿在安全上投入。“等之后业务做大出现问题，他们再亡羊补牢，发现付出的成本更大，我见过很多鲜活的例子。”

　　◆ 漏洞银行的“运营黑帮”

　　为了规避以上种种问题，2015年年初，漏洞银行网站上线，罗没有大张旗鼓宣传，而是默默地做起内测。“先要让企业提升对安全的认知度，并且靠市场机制聚拢白帽群体，或许能让黑帽转白帽。”

　　半年内测

　　罗清篮邀请了几十家之前积累的企业用户参与，平台同时入驻了一批圈内知名的白帽。“全靠白帽朋友之间互相介绍。”

　　首先，内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”

　　◆ 漏洞银行的黑客教主&联合创始人张博文

　　其次，平台对白帽有保护机制。“例如一些重点项目的测试，会对白帽的身份和IP进行备案。防止出现发现10个漏洞只告诉7个的情况。”

　　罗还推翻了传统的漏洞评级方式。行业里的漏洞通常分为高危、中危和低危，“我觉得这样分比较水”。

　　有些漏洞从白帽角度来看，技术难度很高，费了很多精力才挖掘到。但是提交给企业后，对方认为这个漏洞可能并不会对业务系统造成多大的影响。

　　如此，“可能引起白帽的愤怒，感觉技术未受到重视。也许会在网上曝光夸大企业漏洞，或者进行黑色交易。”

　　于是，他独创了一种方式——联合诊断。平台自建了由白帽组成的专家团队，当时约有20人，负责对白帽审计，确定漏洞的有效性和技术难度。

　　随后，平台把评判结果交给企业，由企业做出业务危害性评判。“我们设置了从P0（威胁最高）到P6（威胁最低）七级评判标准。”

　　内测期间，白帽提交测试企业的漏洞后，平台代企业奖励白帽。根据漏洞的危害不同，奖励从几百元到上万元不等。

　　若白帽提交的漏洞并非内测企业的，平台有两种处理方式。如果能找到该企业，会通知企业来入驻监测，获取授权；若联系不到，平台会拒收。

　　经过半年内测，平台汇集了约3000个白帽，约500家企业，每月提交漏洞约1000个。

　　过程中，他们发现了企业的其它需求。“有些企业的服务器分为内网和外网，他在外部做测试时，可能只针对外网，但是内网也有可能存在漏洞。”

　　为此，漏洞银行提前标注可检测的网络资产，对指定的网络资产实现有效监控，第一时间通知相应的负责人。

　　年中，罗清篮觉得模式跑通，决定正式运营漏洞银行。

　　每月超2000个漏洞

　　平台不再代替企业付费。其业务流程如下，企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级，并根据两项评级为该漏洞定价。“把定价的权限交给企业。”

　　费用由企业通过平台支付给白帽，白帽不与企业直接沟通。“白帽是一群技术人员，不太懂商务那一套；企业方可能认为白帽在拿漏洞威胁。”

　　平台从中做沟通，制定标准和规则。“我们会告诉企业其它平台的定价范围，任他们参考。”

　　如果出现企业故意低价或者不出价的情况，白帽可向平台反馈申诉。“平台会介入调查，如果情况属实，会下架该企业或者降低企业的检测排名。这样白帽会意识到这是一个没有支付能力的公司，会把精力放在寻找其它公司的漏洞上。”

　　倘若问题出在白帽身上，比如白帽出现黑色交易、威胁企业等极端行为，平台会直接封号并冻结账号。

　　多种机制促进漏洞提交形成市场价。期间，白帽数量快速增长。“圈子不大，口碑传播。”

　　◆ 黑客聚餐的姿势是酱紫的

　　为提高白帽的活跃度，今年3月，他上线社区栏目“PWN”（黑客俚语，代表攻击成功）。在这里，黑客可以自由发表观点，上传检测报告（必须对企业信息打码处理），分享新技术等。

　　每周和每月，平台会对白帽个人或团体做声望排行榜。评价范围包括其所写的PWN文，发现漏洞质量、数量等。“排名靠前的除了现金奖励外，还会被邀请参加线下沙龙交流等活动。”

　　不久后，平台对排名靠前的白帽个人或团体进行专访报道，挖掘其背后的故事。“我想包装他们，打造在行业里的知名度，算是一种变相地扶持。”

　　6月，漏洞银行推出SaaS产品，将对接白帽与客户的服务全部自动化处理。“白帽向平台投诉的话，只要附加理由，系统便自动化处理。我们将近一年多的运营经验形成了规范化操作，代替了人工。”

　　原本，为白帽对接一家企业，需要10~15天，如今一天甚至半天即可。“双方实时处理漏洞。”

　　接下来，罗计划增加评价功能，由白帽与企业互评。“无论定价还是交易，全是靠双方的信任，评价形成的口碑将是一种约束。”

　　在SaaS产品中，白帽只是为企业提供服务的一部分。如今，他正在对接其它信息安全企业入驻平台。“企业登录平台后，经过简单操作，便能有白帽为他监测漏洞，还有其它企业提供安全咨询、修补、防护产品等。”

　　目前，漏洞银行线上月流水超过50万元，注册的白帽有1万多名（20%是95后），每月发现漏洞超过2000个。企业客户约为1000家，以政府、电商、互联网金融、游戏行业为主。罗下一步打算拓展互联网保险行业的客户。

　　近期，世纪佳缘抓捕白帽事件闹得沸沸扬扬。罗清篮感叹道：“打压白帽群体没有任何好处，是逼着白帽转黑帽。一旦没有了白帽，那将全都是黑帽。”

　　/The End/

　　编辑 王 方 校对 王 姝

　　求报道

　　请加pencil-news为好友