乌云网引发的是非发现安全漏洞要不要公开

此次携程网的安全漏洞曝光,让乌云网再一次进入公众视野。其实,乌云网曾多次曝光知名网站安全漏洞。 人们对乌云网及其背后的“白帽子”(指一些善意公布公共网络安全漏洞的IT技术人员)充满了好奇:他们究竟是侠客?危险分子?或是一些网络维护人员眼中的“捣蛋鬼”? 乌云多次曝露网站漏洞 公开资料显示,乌云网络平台2010年5月上线,是一家网络漏洞报告平台,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,因在2010年2月和李彦宏一起参加湖南卫视《天天向上》节目,为女友高歌一首为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。 乌云网上线后,先后曝出知名IT社区CSDN、天涯、当当、京东商城等网站存在安全漏洞,于2011年声名鹊起。 表面上看,“乌云”像是一个社区性质的网站,依托平台用户发现漏洞,然后曝光,可能无法保证问题的准确性。但是,记者根据已经公开的信息发现,乌云所曝光的漏洞基本都存在,能迅速得到相关企业的回应。 腾讯公司在其2012年度“漏洞奖励计划”工作报告中指出,2012年腾讯产品的安全漏洞数字为2288个,其中来自TSRC漏洞反馈平台(腾讯安全应急响应中心)的有1910个;通过非官方渠道报告漏洞378个,主要来自乌云漏洞报告平台,提供了其中的302个安全漏洞。 公开漏洞或被不法利用 如此高频率、高密度的曝光,既给乌云网带来了广泛的知名度,也在业界及公众间引发了不小的争议。 有人质疑乌云网:他们是否应该将漏洞公布于众?“漏洞的细节都被暴露无遗,如果有其他不良用心的黑客,很容易根据这些消息侵入被曝光的互联网内部,进行违法行为。”网友“飞轮201”认为。还有人质疑乌云网的“白帽子”借曝光技术漏洞,向有关企业要挟,以获得回报。个别被曝光的互联网企业对于乌云网也深感无奈,有企业认为,乌云网不时公布些耸人听闻的消息,实际上是在炒作自己,有些被曝光的所谓漏洞,其实并不是什么大问题,企业自身也早已关注到或者已经解决。 乌云网发言人、创始人之一的孟德曾就此表示:“在厂商未确认或驳回前,公众不会看到漏洞的具体细节,黑客很难根据这些消息进行违法行为。”对于是否属于炒作,孟德并不否认。 事实上,送礼物或奖励,是厂商给予提交漏洞的“白帽子”的一种报酬。乌云网的发言人表示,在国内,由于厂商对提交漏洞者的轻视或偏见,向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定),大多是T恤衫、笔、水杯等纪念礼物,以及少量的奖金。 “乌云更多带来良性互动” 在IT业界内部,更多的是对乌云网支持的声音。金山毒霸安全专家李铁军表示,乌云网在公布这些漏洞时,实际上是些简单的摘要、厂商态度,以及漏洞可能造成的后果,“这些信息不足以对网络安全造成威胁。”李铁军说,一些白帽子通常只在两种情况下才会公布漏洞的详细细节,一种是被曝光的网络已经修复漏洞;还有一种则是个别公共网络长时间置之不理。 李铁军表示,在乌云网成立之前,因为没有合理的漏洞提交渠道,一些IT人士即便发现并向某企业提交了其网络的安全漏洞,部分企业根本不重视,也没有立即修复的积极性。其结果,可能造成这些被发现的安全漏洞被传播的范围越来越大,最终造成用户信息被大量泄露,“有了乌云网站与互联网企业的良性互动,某些网络存在的安全漏洞倒能被及时发现,并得到修复,其影响会降到最低程度。” 不过,律师对乌云网和“白帽子”的行为还是颇有微词。“假如乌云网是一名 善意的黑客 ,其目的仅是帮助企业修补漏洞,那么乌云网应该私下就找出的漏洞与企业沟通,而不是公之于众。”上海律师协会信息网络与高新技术委员会主任商建刚律师表示,如果“白帽子”在没有得到企业或厂商允许的前提下,入侵该企业的网络,这种行为本身就是违法行为。