欢迎光临
我们一直在努力
"

关于最近的”乌云高管被抓”事件

国内两大漏洞报告平台之一的乌云网陷入停摆危机。前晚(19日)11点,有网友微博爆料称,国内知名社区乌云网已无法正常访问,网站挂出的公告称”乌云及相关服务将进行升级”。

1469079039-1002-07

乌云网在公告最后指出,“与其听信谣言,不如相信乌云。”。网站截图

尽管乌云网官方口径称“进行升级”,但有不愿意透露姓名的知情人士向南都记者透露,“乌云网有十几个高管被抓。”然而直至今天截稿时,这一消息尚未得到官方证实。

同时,昨天(20日)上午,一位接近乌云的网络安全律师向南都记者证实,前天(19日)下午包括乌云网团队近10人被警方带走,其中包括CEO方小顿,因何事由暂不明确。

近日,随着袁炜的被捕,“黑客”与“正面黑客”两者之间的界限争论再度成为风口浪尖上的话题。

乌云停摆危机幕后

“正面黑客”究竟是什么人?他们日常所从事都是什么工作?带着对这一行业的神秘猜想,南都记者昨天联系采访了多名IT世界里的“正面黑客”高手,试图还原他们最真实的生存状态。

“乌云确实出事了”?

乌云被认为是国内最早的漏洞报告平台,成立于2010年,众多“正面黑客”聚集其中,并曝出了此前多个互联网平台信息泄漏事件,如此前的铁道部官网12306用户数据泄露一事,为乌云网赢得了公众不少好感。

早前大麦网账户信息泄漏事件,乌云曾多次发布漏洞报告,回顾戳 ↓↓

又一知名网站被“撞库”,大麦网密码泄露,数十用户被骗超百万!你的账户安全吗?

在业内看来,乌云事件应该和此前袁炜被捕一事息息相关。

袁炜被捕事件

2015年12月4日,“正面黑客”袁炜向乌云平台提交世纪佳缘网的漏洞报告,乌云平台将该漏洞告知并得到了修复。随后,世纪佳缘确认并修复了该漏洞,并致谢乌云网及袁某。

今年1月,世纪佳缘网针对4000余条实名注册信息被窃取一事报案,结果被抓的人却是袁炜;今年4月12日,北京市朝阳区人民检察院已正式批准逮捕袁炜。目前案件处于审查阶段,未有结论。

(南都早前报道全文:“正面黑客”提交世纪佳缘网漏洞报告后被刑拘)

1469079039-1119-07

此事件后,南都记者登录互联网安全测试另一大平台漏洞盒子发现,该页面可以正常打开,但旗下“漏洞黑板报”网页则打不开,其官方公告里的“热门漏洞”也变成404页面。

漏洞盒子网站下端的“漏洞黑板报”点进去是一片空白。

1469079039-8510-640-1

点击官方公告里的“热门漏洞”,则是404页面。

1469079039-9846-640-1

漏洞盒子方面昨日(20日)向南都记者表示,所有业务都没有受到任何乌云事件的影响,公司目前准备做一些制度上的改版,也是在正常的计划安排中。

游走于法律边缘

两种黑客之间,实际上仅有一线之隔,都游走在法律的边缘。安全专家李夏(化名)向南都记者表示,“黑客”是把漏洞卖到黑市上,谋取巨额利益。“正面黑客”是把漏洞提交给厂商,让厂商及时修复漏洞保护用户信息。

不过,有IT业资深人士对南都记者表示,乌云的模式存在一定弊端。一般乌云与漏洞盒子两家平台发布一则漏洞信息后,一段时间内如果没有厂商认领,他们就会选择直接公布漏洞。

“对于我们而言肯定是好事,可以学习他的思路,但对厂商就不一定了。”有一不愿透露姓名的“正面黑客”向南都记者透露,他之前曾发现某金融公司的漏洞,但最后无人认领,一个半月后被发布了。“从我个人角度来说,我是不希望这个漏洞被一些有心人利用的,所以我就跟乌云的人协调了一下,把关键信息打上了马赛克。”

同样是在未授权情况下对某网站或服务器进行渗透测试,这样做是否合法合规?李夏向南都记者坦言,其实都是“不合规的,但行业里很多人都会这么做。”

按照上述业内资深人士的说法,“正面黑客”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以处于一个“不算违法”的情况。一般漏洞检测有两种情况,一是厂商发起众测,并根据漏洞大小予以打赏;一种是自发上报,引起厂商或者漏洞平台的注意,换取积分可以在漏洞商城换一些极客商品,或者有厂商会自发打赏,这个价格没有标准。

黑白二者各成圈子

和“黑客”贩卖网络漏洞获得的高额收入相比,“正面黑客”更多被认为是“情怀主义”。猎豹移动安全专家李铁军向南都记者介绍说,在国外,微软、谷歌等科技公司都会给“正面黑客”专门的奖励,并且加上荣誉公告。“价格都在几千美元到几万美元不等,”李铁军说,这当然不能与“黑客”相比,一个高危漏洞在黑市上卖出上百万美元都很正常。

“(”正面黑客“)不能沾那些事情,一旦沾了的话,就回不了头。”李夏特别强调。

李铁军也指出,“其实很多数据库泄露都是撞库等方式泄露的,这是数据库本身已经暴露的基础上造成的,根本不需要黑客这种技术功底。”

腾讯科恩实验室成员陈良表示,近几年来网络信息泄漏事件频发,加上信息安全从业人员水平的提升,使得“正面黑客”开始被当成正当职业对待,而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示,公开场合内二者会有技术、研究成果的交流,但也仅限于此,“比如说像QQ盗号的人,他们有自己的圈子,他们交流不走国内的渠道,他们找一些很偏的通讯软件进行沟通。”邓欣说

这些高层企业之间的博弈 我们自然也是看不出来 当局者迷旁观者清这句话用在这里似乎不是很合适 当我们不是当事人 我们每个人都只能用自己的角度去衡量一件事 所以这件事我也不作评论 只能把自己的观点分析给大家 。

现在”提交漏洞到乌云即安全的”现象已经完全消失 而之前有许多人把乌云当其非法脱裤的保护伞 这样做肯定是不对的 因为不涉及到数据 这是厂商的底线 同时也是乌云的底线 有的东西一旦越界 谁也帮不了你。

那么 所有在乌云工作的人员就真的都是所谓的”白”吗?这也并不见得 黑与白只在一线之间 大黑即白这个道理相信很多人都懂。

 

转载请注明: 转载自Legend‘s BLog

本文链接地址: 关于最近的”乌云高管被抓”事件



未经允许不得转载:Legend‘s BLog » 关于最近的”乌云高管被抓”事件

分享到:更多 ()

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.

无觅相关文章插件,快速提升流量