QQ、微信被盜，某個(gè)網(wǎng)站的帳戶密碼泄露，個(gè)人身份證、電話等信息被泄露……這背后幾乎都離不開黑客。在IT世界里，黑客分為兩種，一種是“黑客”，把系統(tǒng)漏洞兜售到黑市上，謀取巨額利益。另一種則是“正面黑客”，把系統(tǒng)漏洞提交給廠商，讓廠商及時(shí)修復(fù)漏洞從而保護(hù)用戶信息。兩者有一個(gè)共同點(diǎn)，他們都能夠發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)上的漏洞。但在相應(yīng)法規(guī)尚未完善的情況下，這一共同點(diǎn)也讓兩者之間的界限顯得有點(diǎn)模糊。

    近日，隨著袁煒的被捕，兩者之間的界限爭(zhēng)論再度成為風(fēng)口浪尖上的話題。隨后，兩大漏洞報(bào)告平臺(tái)之一的烏云網(wǎng)昨日開始也陷入停擺危機(jī)。盡管烏云網(wǎng)官方口徑稱“進(jìn)行升級(jí)”，但有不愿意透露姓名的知情人士向南都記者透露，“烏云網(wǎng)有十幾個(gè)高管被抓。”然而直至昨天截稿時(shí)，這一消息尚未得到官方證實(shí)。“正面黑客”究竟是什么人？他們?nèi)粘Ｋ鶑氖露际鞘裁垂ぷ鳎繋е鴮?duì)這一行業(yè)的神秘猜想，南都記者昨天聯(lián)系采訪了多名IT世界里的“正面黑客”高手，試圖還原他們最真實(shí)的生存狀態(tài)。

“烏云確實(shí)出事了”？

    烏云被認(rèn)為是國(guó)內(nèi)最早的漏洞報(bào)告平臺(tái)，成立于2010年，眾多“正面黑客”聚集其中，并曝出了此前多個(gè)互聯(lián)網(wǎng)平臺(tái)信息泄漏事件，如此前的鐵道部官網(wǎng)12306用戶數(shù)據(jù)泄露一事，為烏云網(wǎng)贏得了公眾不少好感。

    南都記者昨日下午再次登陸發(fā)現(xiàn)，打開烏云網(wǎng)頁(yè)后出現(xiàn)的是升級(jí)公告。公告中提到，“為了更好地向大家提供服務(wù)，烏云及相關(guān)服務(wù)將進(jìn)行升級(jí)。我們將在最短的時(shí)間內(nèi)，以最好的姿態(tài)回歸。”烏云網(wǎng)同時(shí)在公告最后指出，“與其聽信謠言，不如相信烏云。”不過，有不愿意透露姓名的知情人士向南都記者透露，“烏云確實(shí)出事了，有十幾個(gè)高管被抓了。”但對(duì)于更多細(xì)節(jié)，該人士拒絕進(jìn)一步透露。針對(duì)對(duì)上述種種消息，烏云官方在接受南都記者采訪時(shí)則未予置評(píng)。

    在業(yè)內(nèi)看來，烏云事件應(yīng)該和此前袁煒被捕一事息息相關(guān)。不久前，袁煒向?yàn)踉破脚_(tái)提交某婚戀網(wǎng)站的漏洞報(bào)告，烏云平臺(tái)將該漏洞告知并得到了修復(fù)。之后該婚戀網(wǎng)站針對(duì)用戶信息被竊取一事報(bào)案，結(jié)果被抓的人卻是袁煒，今年4月12日，北京市朝陽(yáng)區(qū)人民檢察院已正式批準(zhǔn)逮捕袁煒。

    此事件后，南都記者登錄互聯(lián)網(wǎng)安全測(cè)試另一大平臺(tái)漏洞盒子發(fā)現(xiàn)，該頁(yè)面可以正常打開，但旗下“漏洞黑板報(bào)”網(wǎng)頁(yè)則打不開，其官方公告里的“熱門漏洞”也變成404頁(yè)面。漏洞盒子方面昨日向南都記者表示，所有業(yè)務(wù)都沒有受到任何烏云事件的影響，公司目前準(zhǔn)備做一些制度上的改版，也是在正常的計(jì)劃安排中。

游走于法律邊緣

    兩種黑客之間，實(shí)際上僅有一線之隔，都游走在法律的邊緣。安全專家李夏（化名）向南都記者表示，“黑客”是把漏洞賣到黑市上，謀取巨額利益。“正面黑客”是把漏洞提交給廠商，讓廠商及時(shí)修復(fù)漏洞保護(hù)用戶信息。

    不過，有IT業(yè)資深人士對(duì)南都記者表示，烏云的模式存在一定弊端。一般烏云與漏洞盒子兩家平臺(tái)發(fā)布一則漏洞信息后，一段時(shí)間內(nèi)如果沒有廠商認(rèn)領(lǐng)，他們就會(huì)選擇直接公布漏洞。“對(duì)于我們而言肯定是好事，可以學(xué)習(xí)他的思路，但對(duì)廠商就不一定了。”有一不愿透露姓名的“正面黑客”向南都記者透露，他之前曾發(fā)現(xiàn)某金融公司的漏洞，但最后無人認(rèn)領(lǐng)，一個(gè)半月后被發(fā)布了。“從我個(gè)人角度來說，我是不希望這個(gè)漏洞被一些有心人利用的，所以我就跟烏云的人協(xié)調(diào)了一下，把關(guān)鍵信息打上了馬賽克。”

    同樣是在未授權(quán)情況下對(duì)某網(wǎng)站或服務(wù)器進(jìn)行滲透測(cè)試，這樣做是否合法合規(guī)？李夏向南都記者坦言，其實(shí)都是“不合規(guī)的，但行業(yè)里很多人都會(huì)這么做。”
  
    按照上述業(yè)內(nèi)資深人士的說法，“正面黑客”查漏洞行為從法律角度是沒有合法規(guī)定的，只是現(xiàn)在幾個(gè)漏洞平臺(tái)由政府支持，所以處于一個(gè)“不算違法”的情況。一般漏洞檢測(cè)有兩種情況，一是廠商發(fā)起眾測(cè)，并根據(jù)漏洞大小予以打賞；一種是自發(fā)上報(bào)，引起廠商或者漏洞平臺(tái)的注意，換取積分可以在漏洞商城換一些極客商品，或者有廠商會(huì)自發(fā)打賞，這個(gè)價(jià)格沒有標(biāo)準(zhǔn)。

二者各成圈子

    和“黑客”販賣網(wǎng)絡(luò)漏洞獲得的高額收入相比，“正面黑客”更多被認(rèn)為是“情懷主義”。獵豹移動(dòng)安全專家李鐵軍向南都記者介紹說，在國(guó)外，微軟、谷歌等科技公司都會(huì)給“正面黑客”專門的獎(jiǎng)勵(lì)，并且加上榮譽(yù)公告。“價(jià)格都在幾千美元到幾萬美元不等，”李鐵軍說，這當(dāng)然不能與“黑客”相比，一個(gè)高危漏洞在黑市上賣出上百萬美元都很正常。

    “（”正面黑客“）不能沾那些事情，一旦沾了的話，就回不了頭。”李夏特別強(qiáng)調(diào)。

    李鐵軍也指出，“其實(shí)很多數(shù)據(jù)庫(kù)泄露都是撞庫(kù)等方式泄露的，這是數(shù)據(jù)庫(kù)本身已經(jīng)暴露的基礎(chǔ)上造成的，根本不需要黑客這種技術(shù)功底。”

    騰訊科恩實(shí)驗(yàn)室成員陳良表示，近幾年來網(wǎng)絡(luò)信息泄漏事件頻發(fā)，加上信息安全從業(yè)人員水平的提升，使得“正面黑客”開始被當(dāng)成正當(dāng)職業(yè)對(duì)待，而圈子內(nèi)“黑客”和“正面黑客”分得比較開。騰訊電腦管家團(tuán)隊(duì)成員鄧欣表示，公開場(chǎng)合內(nèi)二者會(huì)有技術(shù)、研究成果的交流，但也僅限于此，“比如說像Q Q盜號(hào)的人，他們有自己的圈子，他們交流不走國(guó)內(nèi)的渠道，他們找一些很偏的通訊軟件進(jìn)行溝通。”鄧欣說。

名詞解釋

●正面黑客：

    IT行業(yè)內(nèi)指有能力識(shí)別計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞，但不做非法用途，而是告知企業(yè)修復(fù)漏洞，之后再公布細(xì)節(jié)的人，和黑客僅有一線之隔。被喻為網(wǎng)絡(luò)世界中的“超級(jí)英雄”。

●烏云網(wǎng)：

    漏洞報(bào)告平臺(tái)，此前鐵道部官網(wǎng)12306用戶數(shù)據(jù)泄漏一事便是由該平臺(tái)進(jìn)行公布，提醒用戶更改密碼，因而贏得用戶不少好感。