起底

　　日前，烏雲漏洞報告平臺（以下簡稱“烏雲”）曝12306資訊泄漏，發佈漏洞報告稱，大量12306用戶數據在網際網路被瘋傳，包括用戶賬號、明文密碼、身份證郵箱等。在網民大喊“裸奔”網際網路的同時，也有不少人將矛頭對準烏雲。烏雲的“白帽子（駭客中的一類，即正面駭客）”究竟和駭客有何區別，他們神秘身份的背後，真實意圖是什麼？

　　◎解讀◎

　　“黑産暴利”如何生存

　　2014年12月25日，烏雲發佈“高危害”等級報告，稱12306官方網站的用戶資料大量泄漏。隨後，12306官方網站在發佈的聲明中稱：網上泄漏的用戶資訊係經其他網站或渠道流出。

　　曝光第二日，中國鐵路官方微網志表示此次用戶洩露案件已經告破，係犯罪分子通過收集網際網路某遊戲網站以及其他多個網站泄漏的用戶名加密碼資訊，嘗試登錄其他網站進行“撞庫”，非法獲取用戶的其他資訊。“撞庫説”完全推翻了12306對“搶票軟體洩露數據”的猜測。

　　烏雲網聯合創始人孟德在分析各種漏洞資訊泄漏的案例時對記者直言，基礎傳統行業轉型為網際網路服務行業，發生漏洞的概率會更大。

　　記者了解到，“黑産暴利”産業鏈價值比較大的是“洗庫”，即“駭客”在目標數據庫導出後，將數據庫資訊提取分類，分類包括金融相關賬戶、遊戲相關賬戶和用戶真實資訊。

　　“可以説，每個資訊都是可以直接轉化成錢。”“白帽子”“蒙面俠（化名）”告訴記者。

　　第一步，進行虛擬幣等資訊的剝離，例如支付寶和QQ等，拿到用戶的賬號後就會進入賬戶嘗試，如果有虛擬金錢就會轉走；第二次“洗”是對於個人資訊的收集，有些賬戶可能包括個人資訊內容，這些會賣給那些需要的人，比如銷售、賣考試答案；第三次“洗”是關聯手機號的資訊。賣給發垃圾短信的，這樣一層層“洗”下去，直到沒有價值為止。

　　◎質疑◎

　　戴著“白帽子”的駭客

　　“蘋果的聯合創始人Stephen Wozniak，就是白帽子，他的駭客之旅源於盜打免費電話。”“蒙面俠”介紹，駭客並非都是黑的，那些用自己的駭客技術來做好事的叫“白帽駭客”，這點和網路安全工程師的性質有點相同，他們大多挂靠安全公司，通過檢測電腦系統安全性來謀生。

　　不少網民在接受“白帽子”庇護的同時，也會對這個神秘群體産生質疑，“白帽子”和“駭客”的技能無差別，但是在網路安全中，兩者的身份轉化只是一瞬間。“蒙面俠”認為這種説法有些狹義，在網路安全中，“麻瓜”，也就是日常生活中的普通網民，也可以成為“白帽子”，只要他能發現網路安全隱患。

　　孟德介紹説，在烏雲歷史上，就有“麻瓜”在信用卡還款的過程中遇到問題——不用扣費，原有的儲蓄卡就能還款成功。“他向烏雲提交漏洞報告，我們在初審過程中確認漏洞，再提交給企業。這個過程中，‘麻瓜’也是‘白帽子’。”孟德説。因此，“白帽子”的技能在於發現漏洞，而非使用技術去入侵。

　　◎合作◎

　　“駭客”測試企業産品

　　如今，烏雲已經同627家廠商達成合作，網站註冊“白帽子”的有1195人，累計提交漏洞資訊4萬多條。未來，烏雲將主營烏雲眾測和烏雲招聘。

　　據了解，烏雲眾測最初由烏雲社區的一群頂尖白帽子發起，2012年正式上線，即經驗豐富的白帽子在企業的授權下，通過眾包方式來提供安全測試服務。孟德告訴記者，希望網民對“白帽子”的認識不再停留在“洗白了的駭客”上，而是一群維護安全網路安全的工程師。長江商報