从补天白帽大会看网络世界那些“挖洞”的人

本篇文章2020字，读完约5分钟

由于比特币的兴起，我们逐渐熟悉了网络世界中的一群矿工以及这个词的含义。然而，也有一个类似的词诞生于网络世界，它也被一群白帽子包围着。

如果黑客是那些经常在人们眼中实施网络攻击的人，那么白帽就是一个相反的群体，他们在网络世界中所做的就是挖洞。

你可能想知道挖洞到底代表什么。事实上，它是挖洞的简称。用360企业安全集团董事长齐向东的话说，计算机网络是由程序员用一种语言开发的，就像人类用语言说话和表达一样，在语言表达的过程中经常会出现语法错误，容易导致语义上的差异。在计算机科学领域，这些欠考虑或逻辑错误被称为漏洞，很容易被用来进行网络攻击，就像我们在没有注意到自己讲话中的漏洞后被别人攻击一样。

白帽公司挖掘网络漏洞的目的不是攻击，而是将漏洞信息提交给产生漏洞的网络开发和运营主体，然后对漏洞进行修复和修补，从而使网络世界更加安全。最近，由360人发起的白帽子大会在深圳召开，数百顶白帽子聚集在一起。会议向外界传达的信息很简单，那就是动员全社会的白帽精英，建立企业与白帽之间的合作机制，全方位解决网络安全隐患。

谁是白帽子？

白帽是一群热爱学习网络安全技术的人。他们大多出生在90后，不仅年轻，而且学历低。他们是自由职业者，有些人有自己的工作。在整个社会中，他们是一个新的群体，法律对他们的挖掘行为基本上处于空白人状态。因为挖洞和黑客之间只有一线之隔，但目的完全相反，所以在法律面前没有明确的定义和监督。

正因为如此，去年，“白帽子”受到了极大的影响。国家网络与信息安全信息报告中心副主任张秀东在会上指出，漏洞分析是一把双刃剑，可以用来发现安全问题，消除安全隐患。如果管理不到位，别有用心的人利用它，它也可以被用作网上勒索、数据盗窃甚至攻击和破坏的垫脚石。

因此，许多白帽子更喜欢探索一些非常重视安全性的企业漏洞。他们认同白帽子的成就，并与白帽子建立良好的互动关系。白帽子通常从这些大公司获得奖金，但它们远非黑客从黑产品中获得的收入。回应空中漏洞平台上的白帽子说，黑客一天赚的钱比白帽子一个月挖洞赚的钱还多。

然而，黑色生产显然违反了法律，白帽子在挖洞的过程中经常小心翼翼。例如，要证明某个漏洞会对企业造成多大的数据影响，正确的方法是读取几条数据或进行统计，但一旦整个数据被下载，它将面临法律风险，即使目的不是为了攻击或私利。

如果白帽子不见了，

上面说白帽子是黑客的对立面。如果没有白帽子，网络中的漏洞就不会存在，因为它们不挖。相反，大量的漏洞将掌握在黑客手中，这将对网络安全构成更大的威胁。

携程是中国最大的在线旅行社服务提供商，拥有3000多名开发人员和40名安全人员。在许多互联网公司中，这个安全团队的人数相对较多。但是40个人必须确保由3000多人开发的程序是安全的。毫无疑问，没有足够的人。携程网信息安全总监凌云直言不讳地表示。

网站攻击可能会有几十万点，而防守者需要几十万点才能做好同样的事情，这是一个很大的挑战，因为进攻者占了上风。因此，对于携程，我希望借助外力，即白帽的力量，使其系统更加安全。在过去的一年里，携程支付了近100万元购买了包括补天平台在内的白帽子，这也反映了携程对白帽子的认可。

另一方面，网络威胁的形势越来越严峻。田甜平台会议期间发布了《2016年网站个人信息泄露情况分析报告》。报告指出，2016年，田甜平台共收集到359个可能导致个人信息泄露的网站漏洞，个人信息泄露总量达60.5亿条。如果没有白帽子挖洞，促进企业填补漏洞，网络安全形势将更加糟糕。

白帽携带的密码破解锁

白帽子挖洞

毫无疑问，白帽和黑客之间的身份转变只是一个想法，所以为了积极引导白帽，整个社会和法律需要做更多的工作。与会者呼吁建立白帽身份认证系统，以便在法律法规的指导下，白帽能够更有效地发现漏洞，为维护网络安全贡献人才。

与bug响应平台类似，它提供了一个很好的平台，通过在制造商和白帽子之间搭建一座桥梁，积极推动互联网安全行业的发展。正如齐向东所说，“白帽”的研究方法实际上是网络攻击的方法，与做坏事的黑客的研究方法没有本质区别。如果没有良好的沟通平台，白帽子和制造商之间就没有良好的沟通渠道，制造商也无法区分网络安全研究者对产品攻击性的研究是出于黑还是白的目的，这不利于促进安全行业的发展。

布天漏洞响应平台负责人白健介绍说，布天作为第三方漏洞发现和报告平台，一方面鼓励白帽及时发现漏洞并提交给布天平台，另一方面，该平台将这些漏洞及时推给企事业单位。

据了解，2016年，注册白帽子3万多顶，注册企业4000多家，奖金总额近900万元。在一定程度上，奖金激励也促使更多的白帽子正确使用网络安全技术和他们挖洞的方式。

此外，许多大型互联网公司或企业也在建立安全应急中心(src)，这也是白帽子发挥和他们的价值认可的舞台。从这个角度来看，随着越来越多的企业关注和投资安全，中国网络安全产业的发展进程和环境正在加速发展和完善。