起底

　　日前，烏云漏洞報告平臺（以下簡稱“烏云”）曝12306信息泄漏，發(fā)布漏洞報告稱，大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)被瘋傳，包括用戶賬號、明文密碼、身份證郵箱等。在網(wǎng)民大喊“裸奔”互聯(lián)網(wǎng)的同時，也有不少人將矛頭對準烏云。烏云的“白帽子（黑客中的一類，即正面黑客）”究竟和黑客有何區(qū)別，他們神秘身份的背后，真實意圖是什么？

　　◎解讀◎

　　“黑產暴利”如何生存

　　2014年12月25日，烏云發(fā)布“高危害”等級報告，稱12306官方網(wǎng)站的用戶資料大量泄漏。隨后，12306官方網(wǎng)站在發(fā)布的聲明中稱：網(wǎng)上泄漏的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。

　　曝光第二日，中國鐵路官方微博表示此次用戶泄露案件已經(jīng)告破，系犯罪分子通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄漏的用戶名加密碼信息，嘗試登錄其他網(wǎng)站進行“撞庫”，非法獲取用戶的其他信息?！白矌煺f”完全推翻了12306對“搶票軟件泄露數(shù)據(jù)”的猜測。

　　烏云網(wǎng)聯(lián)合創(chuàng)始人孟德在分析各種漏洞信息泄漏的案例時對記者直言，基礎傳統(tǒng)行業(yè)轉型為互聯(lián)網(wǎng)服務行業(yè)，發(fā)生漏洞的概率會更大。

　　記者了解到，“黑產暴利”產業(yè)鏈價值比較大的是“洗庫”，即“黑客”在目標數(shù)據(jù)庫導出后，將數(shù)據(jù)庫信息提取分類，分類包括金融相關賬戶、游戲相關賬戶和用戶真實信息。

　　“可以說，每個信息都是可以直接轉化成錢?！薄鞍酌弊印薄懊擅?zhèn)b（化名）”告訴記者。

　　第一步，進行虛擬幣等信息的剝離，例如支付寶和QQ等，拿到用戶的賬號后就會進入賬戶嘗試，如果有虛擬金錢就會轉走；第二次“洗”是對于個人信息的收集，有些賬戶可能包括個人信息內容，這些會賣給那些需要的人，比如銷售、賣考試答案；第三次“洗”是關聯(lián)手機號的信息。賣給發(fā)垃圾短信的，這樣一層層“洗”下去，直到?jīng)]有價值為止。

　　◎質疑◎

　　戴著“白帽子”的黑客

　　“蘋果的聯(lián)合創(chuàng)始人Stephen Wozniak，就是白帽子，他的黑客之旅源于盜打免費電話?！薄懊擅?zhèn)b”介紹，黑客并非都是黑的，那些用自己的黑客技術來做好事的叫“白帽黑客”，這點和網(wǎng)絡安全工程師的性質有點相同，他們大多掛靠安全公司，通過檢測計算機系統(tǒng)安全性來謀生。

　　不少網(wǎng)民在接受“白帽子”庇護的同時，也會對這個神秘群體產生質疑，“白帽子”和“黑客”的技能無差別，但是在網(wǎng)絡安全中，兩者的身份轉化只是一瞬間。“蒙面?zhèn)b”認為這種說法有些狹義，在網(wǎng)絡安全中，“麻瓜”，也就是日常生活中的普通網(wǎng)民，也可以成為“白帽子”，只要他能發(fā)現(xiàn)網(wǎng)絡安全隱患。

　　孟德介紹說，在烏云歷史上，就有“麻瓜”在信用卡還款的過程中遇到問題——不用扣費，原有的儲蓄卡就能還款成功?！八驗踉铺峤宦┒磮蟾?，我們在初審過程中確認漏洞，再提交給企業(yè)。這個過程中，‘麻瓜’也是‘白帽子’?！泵系抡f。因此，“白帽子”的技能在于發(fā)現(xiàn)漏洞，而非使用技術去入侵。

　　◎合作◎

　　“黑客”測試企業(yè)產品

　　如今，烏云已經(jīng)同627家廠商達成合作，網(wǎng)站注冊“白帽子”的有1195人，累計提交漏洞信息4萬多條。未來，烏云將主營烏云眾測和烏云招聘。

　　據(jù)了解，烏云眾測最初由烏云社區(qū)的一群頂尖白帽子發(fā)起，2012年正式上線，即經(jīng)驗豐富的白帽子在企業(yè)的授權下，通過眾包方式來提供安全測試服務。孟德告訴記者，希望網(wǎng)民對“白帽子”的認識不再停留在“洗白了的黑客”上，而是一群維護安全網(wǎng)絡安全的工程師。長江商報