从甲方眼里看“世纪佳缘”与白帽子之争

 
2016年6月，北京夏日炎炎骄阳似火，中国网络安全大会和WOT2016企业安全大会正在京如火如荼之际，“世纪佳缘”的事件也在网上快速发酵，引来圈内外无数的观点和口水之争。

之前已有关于这个话题的无数文章，有支持白帽子无辜的，有说厂商不讲道义的，有说平台失职的，各方隔空喊话好不热闹。不过迄今为止貌似甲方的声音甚是微弱，本文就想从甲方的角度来谈谈如何看待这个问题，也希望能够让大家换位思考一下。
 

当一起安全事件出现时，一个负责任的甲方安全团队的心路历程大概是这样的：

1.卧槽，又出漏洞了。
2.尼玛，谁爆的，最坏的后果是什么。
3.怎么快速止损和修复。
4.以后怎么预防。
5.这事出了，对公司品牌有什么影响，对公司的安全形象有什么影响。

 
请大家注意第2条，这条和今天的话题关联很大，不同的漏洞提报者，对甲方安全团队造成的压力是全然不同的：

如果漏洞提报者是一个熟悉的白帽子、或者是圈内的朋友，一起在群里扯过淡甚至是一起喝过酒吹过牛，那么悬起的心瞬间可以放下一半，后面第3、第4可以慢慢来，然后跟PR讨论下第5点就够了。

如果漏洞提报者完全不认识，甚至是一个完全陌生的ID，那么估计甲方安全团队悬起来的心又要往上再悬一悬了。
 
恐惧来源于未知，当面对一个不知身在何处、姓什名什、有何意图的漏洞提交者时，恐惧就悠然而生了。
 

在接到安全漏洞以后，甲方的安全团队会迅速的去评估漏洞的影响范围。结果在评估的过程中，发现已有有XXXX条数据泄露了，这里泄露的可能是用户的数据、可能是商业秘密、可能是各种甲方不想泄露的数据。

这种情况下，作为一个负责任的甲方安全团队会怎么办？如果是熟悉的白帽子，可能会打个电话过去笑骂一声，然后让把数据删了了事。但如果是陌生的白帽子，甲方安全团队可能会立刻担心起来。

毕竟，保护用户的数据、保护公司的商业秘密是甲方安全团队存在的唯一理由。如果出现数据丢失，而没有及时预警，一旦日后这些数据真的被利用产生严重后果，安全团队小命休矣~
 
 

真正的“白帽子”和甲方“安全团队”原本应该是站在同一战壕里的战友。安全团队为白帽子提供平台和机会，白帽子为安全团队补足能力和视野的短板。

但由于种种“历史原因”和“客观因素”，很多白帽子的警惕性或者说“不安全感”很高，对于自己的信息讳莫如深。想让白帽子能够真正的走到阳光下来，难度非常大。除了个别的白帽子外，大部分白帽子都是躲在黑暗的角落里，只看到一个个的ID在纷飞。这就给很多“黑帽子”冒充“白帽子”提供了机会。

“白帽子”在法律上是没有明确的身份定义的，而且在有些甲方，厂商希望白帽子能够实名登记却被不屑的拒绝。在此情况下，让甲方去判断一个侵入自己系统的人是白帽子还是黑帽子，就只能“仁者见仁智者见智”了，误判也就在所难免。而诸如白帽子被抓之类的新闻被一次次爆出，反过来又进一步增加了“白帽子”的不安全感。事情在不断的恶性循环。

军事上两国为了擦枪走火尚且需要个军事热线，甲方和白帽子之间的信息不通畅导致了现在的两军对垒。

如果没有“黑帽子”，就不会有甲方的安全投入，所以黑帽子和甲方的安全团队也是一个注定要相伴终老的“伴侣”。

甲方的安全团队要时时刻刻防备着“黑帽子”这一威胁，但可怕的是，白帽子和黑帽子，除了动机上的差异外，就没有任何区别。

如此以来，为了防范“黑帽子”在漏洞举报的过程中“社工”一把，有些甲方的安全团队会选择宁可错杀不可放过的的原则；而很多法律对于计算机系统侵入行为认定为违法，某种意义上来说也是针对黑帽子而不是白帽子。这一情况进一步的增加了白帽子的不安全感。
 

近年来，市场上许多的漏洞审核机制也成为激化矛盾的一个主要因素。在很多平台上，漏洞是要评级的。白帽子想要获得更高的rank、更大的知名度和更多的奖励，就要想法设法证明自己的漏洞很严重，这其中就包括用拖出的数据来证明。然而很多漏洞平台却没有尽到告知白帽子哪些行为是不能被接受的，管理缺位导致很多年轻的白帽子就前赴后继的走进了灰色地带。

这类问题最集中的体现在了一些的第三方商业漏洞平台上。在商言商，从本质上讲，漏洞越多、越严重，平台就有越多的资本和甲方谈生意。所以，第三方平台不会去刻意的约束、规范白帽子的行为。相反，鼓励白帽子们“大胆的往前走”才是符合平台的利益的。
 
 
最后，希望这次事件不会伤害到“白帽子”群里，也希望本次事件能够成为一次契机，正式的漏洞举报这一网络安全领域“见义勇为”的行为阳光化、合理化。