QQ、微信被盜，某個(gè)網(wǎng)站的帳戶密碼泄露，個(gè)人身份證、電話等信息被泄露……這背后幾乎都離不開(kāi)黑客。在IT世界里，黑客分為兩種，一種是“黑客”，把系統(tǒng)漏洞 兜售到黑市上，謀取巨額利益。另一種則是“正面黑客”，把系統(tǒng)漏洞提交給廠商，讓廠商及時(shí)修復(fù)漏洞從而保護(hù)用戶信息。兩者有一個(gè)共同點(diǎn)，他們都能夠發(fā)現(xiàn)計(jì) 算機(jī)和網(wǎng)絡(luò)系統(tǒng)上的漏洞。但在相應(yīng)法規(guī)尚未完善的情況下，這一共同點(diǎn)也讓兩者之間的界限顯得有點(diǎn)模糊。

近日，隨著袁煒的被捕，兩者之間的界 限爭(zhēng)論再度成為風(fēng)口浪尖上的話題。隨后，兩大漏洞報(bào)告平臺(tái)之一的烏云網(wǎng)昨日開(kāi)始也陷入停擺危機(jī)。盡管烏云網(wǎng)官方口徑稱“進(jìn)行升級(jí)”，但有不愿意透露姓名的 知情人士向南都記者透露，“烏云網(wǎng)有十幾個(gè)高管被抓。”然而直至昨天截稿時(shí)，這一消息尚未得到官方證實(shí)?！罢婧诳汀本烤故鞘裁慈耍克麄?nèi)粘Ｋ鶑氖露际鞘?么工作？帶著對(duì)這一行業(yè)的神秘猜想，南都記者昨天聯(lián)系采訪了多名IT世界里的“正面黑客”高手，試圖還原他們最真實(shí)的生存狀態(tài)。

“烏云確實(shí)出事了”？

烏云被認(rèn)為是國(guó)內(nèi)最早的漏洞報(bào)告平臺(tái)，成立于2010年，眾多“正面黑客”聚集其中，并曝出了此前多個(gè)互聯(lián)網(wǎng)平臺(tái)信息泄漏事件，如此前的鐵道部官網(wǎng)12306用戶數(shù)據(jù)泄露一事，為烏云網(wǎng)贏得了公眾不少好感。

南都記者昨日下午再次登陸發(fā)現(xiàn)，打開(kāi)烏云網(wǎng)頁(yè)后出現(xiàn)的是升級(jí)公告。公告中提到，“為了更好地向大家提供服務(wù)，烏云及相關(guān)服務(wù)將進(jìn)行升級(jí)。我們將在最短的時(shí)間 內(nèi)，以最好的姿態(tài)回歸。”烏云網(wǎng)同時(shí)在公告最后指出，“與其聽(tīng)信謠言，不如相信烏云?！辈贿^(guò)，有不愿意透露姓名的知情人士向南都記者透露，“烏云確實(shí)出事 了，有十幾個(gè)高管被抓了?！钡珜?duì)于更多細(xì)節(jié)，該人士拒絕進(jìn)一步透露。針對(duì)對(duì)上述種種消息，烏云官方在接受南都記者采訪時(shí)則未予置評(píng)。

在業(yè)內(nèi)看來(lái)，烏云事件應(yīng)該和此前袁煒被捕一事息息相關(guān)。不久前，袁煒向?yàn)踉破脚_(tái)提交某婚戀網(wǎng)站的漏洞報(bào)告，烏云平臺(tái)將該漏洞告知并得到了修復(fù)。之后該婚戀網(wǎng)站針對(duì)用戶信息被竊取一事報(bào)案，結(jié)果被抓的人卻是袁煒，今年4月12日，北京市朝陽(yáng)區(qū)人民檢察院已正式批準(zhǔn)逮捕袁煒。

此事件后，南都記者登錄互聯(lián)網(wǎng)安全測(cè)試另一大平臺(tái)漏洞盒子發(fā)現(xiàn)，該頁(yè)面可以正常打開(kāi)，但旗下“漏洞黑板報(bào)”網(wǎng)頁(yè)則打不開(kāi)，其官方公告里的“熱門漏洞”也變成 404頁(yè)面。漏洞盒子方面昨日向南都記者表示，所有業(yè)務(wù)都沒(méi)有受到任何烏云事件的影響，公司目前準(zhǔn)備做一些制度上的改版，也是在正常的計(jì)劃安排中。

游走于法律邊緣

兩種黑客之間，實(shí)際上僅有一線之隔，都游走在法律的邊緣。安全專家李夏（化名）向南都記者表示，“黑客”是把漏洞賣到黑市上，謀取巨額利益?！罢婧诳汀笔前崖┒刺峤唤o廠商，讓廠商及時(shí)修復(fù)漏洞保護(hù)用戶信息。

不過(guò)，有IT業(yè)資深人士對(duì)南都記者表示，烏云的模式存在一定弊端。一般烏云與漏洞盒子兩家平臺(tái)發(fā)布一則漏洞信息后，一段時(shí)間內(nèi)如果沒(méi)有廠商認(rèn)領(lǐng)，他們就會(huì)選 擇直接公布漏洞?！皩?duì)于我們而言肯定是好事，可以學(xué)習(xí)他的思路，但對(duì)廠商就不一定了。”有一不愿透露姓名的“正面黑客”向南都記者透露，他之前曾發(fā)現(xiàn)某金 融公司的漏洞，但最后無(wú)人認(rèn)領(lǐng)，一個(gè)半月后被發(fā)布了。“從我個(gè)人角度來(lái)說(shuō)，我是不希望這個(gè)漏洞被一些有心人利用的，所以我就跟烏云的人協(xié)調(diào)了一下，把關(guān)鍵 信息打上了馬賽克。”

同樣是在未授權(quán)情況下對(duì)某網(wǎng)站或服務(wù)器進(jìn)行滲透測(cè)試，這樣做是否合法合規(guī)？李夏向南都記者坦言，其實(shí)都是“不合規(guī)的，但行業(yè)里很多人都會(huì)這么做?！?

按照上述業(yè)內(nèi)資深人士的說(shuō)法，“正面黑客”查漏洞行為從法律角度是沒(méi)有合法規(guī)定的，只是現(xiàn)在幾個(gè)漏洞平臺(tái)由政府支持，所以處于一個(gè)“不算違法”的情況。一般 漏洞檢測(cè)有兩種情況，一是廠商發(fā)起眾測(cè)，并根據(jù)漏洞大小予以打賞；一種是自發(fā)上報(bào)，引起廠商或者漏洞平臺(tái)的注意，換取積分可以在漏洞商城換一些極客商品， 或者有廠商會(huì)自發(fā)打賞，這個(gè)價(jià)格沒(méi)有標(biāo)準(zhǔn)。

二者各成圈子

和“黑客”販賣網(wǎng)絡(luò)漏洞獲得的高額收入相比，“正面黑客”更多被認(rèn)為是“情懷主義”。獵豹移動(dòng)安全專家李鐵軍(微博)向南都記者介紹說(shuō)，在國(guó)外，微軟、谷歌(微博)等科技公司都會(huì)給“正面黑客”專門的獎(jiǎng)勵(lì)，并且加上榮譽(yù)公告?！皟r(jià)格都在幾千美元到幾萬(wàn)美元不等，”李鐵軍說(shuō)，這當(dāng)然不能與“黑客”相比，一個(gè)高危漏洞在黑市上賣出上百萬(wàn)美元都很正常。

“（”正面黑客“）不能沾那些事情，一旦沾了的話，就回不了頭?！崩钕奶貏e強(qiáng)調(diào)。

李鐵軍也指出，“其實(shí)很多數(shù)據(jù)庫(kù)泄露都是撞庫(kù)等方式泄露的，這是數(shù)據(jù)庫(kù)本身已經(jīng)暴露的基礎(chǔ)上造成的，根本不需要黑客這種技術(shù)功底?！?

騰 訊科恩實(shí)驗(yàn)室成員陳良表示，近幾年來(lái)網(wǎng)絡(luò)信息泄漏事件頻發(fā)，加上信息安全從業(yè)人員水平的提升，使得“正面黑客”開(kāi)始被當(dāng)成正當(dāng)職業(yè)對(duì)待，而圈子內(nèi)“黑客” 和“正面黑客”分得比較開(kāi)。騰訊電腦管家團(tuán)隊(duì)成員鄧欣表示，公開(kāi)場(chǎng)合內(nèi)二者會(huì)有技術(shù)、研究成果的交流，但也僅限于此，“比如說(shuō)像Q Q盜號(hào)的人，他們有自己的圈子，他們交流不走國(guó)內(nèi)的渠道，他們找一些很偏的通訊軟件進(jìn)行溝通?！编囆勒f(shuō)。

名詞解釋

●正面黑客：

IT行業(yè)內(nèi)指有能力識(shí)別計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞，但不做非法用途，而是告知企業(yè)修復(fù)漏洞，之后再公布細(xì)節(jié)的人，和黑客僅有一線之隔。被喻為網(wǎng)絡(luò)世界中的“超級(jí)英雄”。

●烏云網(wǎng)：

漏洞報(bào)告平臺(tái)，此前鐵道部官網(wǎng)12306用戶數(shù)據(jù)泄漏一事便是由該平臺(tái)進(jìn)行公布，提醒用戶更改密碼，因而贏得用戶不少好感。