23歲的鄭杜濤（音譯）是騰訊的一名安全工程師，因為參加新加坡網(wǎng)絡(luò)安全會議臨時入住了新加坡的飛龍酒店，出于程序員的敏感和好奇，決定監(jiān)測一下酒店的WiFi服務(wù)器是否存在漏洞。

第一步，他輕松的通過谷歌搜索到了酒店WiFi系統(tǒng)的默認用戶名和密碼。在接入酒店WiFi網(wǎng)關(guān)后，鄭杜濤在接下來的三天內(nèi)開始執(zhí)行腳本，破解文件和密碼，最后成功登入酒店WiFi服務(wù)器的數(shù)據(jù)庫。

經(jīng)過檢查，酒店的服務(wù)器模型確實存在一個漏洞，鄭杜濤利用該漏洞獲取了服務(wù)器訪問權(quán)限，并且在他的個人博客上，鄭記錄了自己的黑客行為，還在文章里公開了飛龍酒店WiFi服務(wù)器的管理員密碼...

這篇文章引起了新加坡網(wǎng)絡(luò)安全局（CSA）的注意，并對其進行了抓捕。

“披露這些訪問代碼，鄭杜濤清楚地知道，飛龍酒店的WiFi服務(wù)器上的漏洞極有可能為其他人用于非法目的，從而可能對連鎖酒店造成損失，”新加坡網(wǎng)安局副檢察長 Thiagesh Sukumaran 說，“鄭杜濤先生作為一名網(wǎng)絡(luò)安全專業(yè)人士理應(yīng)清楚在博客上公布管理員密碼后，該密碼為非法目的所利用的可能性極高。”

具體的判決結(jié)果目前還不得而知。

按理說幫人發(fā)現(xiàn)漏洞是個好事兒，為什么反而會被抓捕呢？忠言逆耳么？

這就要給大家介紹一群幕后人物——“白帽子”。

白帽子是相對于黑帽子（即黑客）而言的，他們能識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是直接向廠商公布其漏洞，廠家就可以在黑帽子利用該漏洞之前來修補網(wǎng)絡(luò)安全問題。

所以，白帽子可以說是網(wǎng)絡(luò)世界的掃地僧，出手于無形而大隱于市，默默的觀察著武林中的暗流。目前主流網(wǎng)絡(luò)服務(wù)商都有專門的部門來接收白帽子的網(wǎng)絡(luò)漏洞，甚至還向白帽子支付獎金，從而表彰那些為自己網(wǎng)站到找漏洞的白帽子。

像騰訊的那名員工，其實就可以列為“白帽子”的范疇，但對于“白帽子”行為的定義，各個國家的法令是不一樣的。

我國自從去年6月1日《網(wǎng)絡(luò)安全法》正式實施以后，對白帽子參與滲透測試行為提出了明確的法律要求。而這個法令出臺的原因，有可能和2015年底的一起“白帽子被捕事件”相關(guān)。

2015年底，烏云漏洞平臺上的一名白帽子提交了世紀佳緣的一個安全漏洞，世紀佳緣確認并修補了這個漏洞，同時對這位白帽子表示了致謝。但事后他們發(fā)現(xiàn)有900多條有效數(shù)據(jù)被攻擊者獲取，出于對信息安全的擔憂，世紀佳緣選擇了報警。

警方調(diào)查后才發(fā)現(xiàn)只有該名白帽子一人涉嫌此案。在檢察院公訴后，被批準逮捕。事件一出，整個安全圈都炸開鍋了。

有一條評論是這樣說的：在動機上，沒有人可以自證清白，但在法律的棋盤上，白帽子確實越界了，雖然可能談不上是犯罪。

誠然，白帽子一直游走在法律的灰色邊緣，其工作屬性要求其不可避免地須進入互聯(lián)網(wǎng)網(wǎng)站，并和黑客使用可能同樣的工具軟件，從而發(fā)現(xiàn)網(wǎng)站漏洞。這一系列的動作確實不太好定義，也不太好界定行為人的實際動機。

并且，白帽子發(fā)現(xiàn)安全漏洞并由第三方平臺披露可能對相關(guān)網(wǎng)站影響很大，如果漏洞在被解決前被黑客利用，或者發(fā)布的漏洞信息不實，確實也將嚴重影響企業(yè)的合法權(quán)益。

為了加強和規(guī)范網(wǎng)絡(luò)安全的監(jiān)管，所以才有了《網(wǎng)絡(luò)安全法》的頒布。但頒布之后很多人又開始擔心，覺得這會讓安全從業(yè)者的活動空間越來越小，捆手捆腳。網(wǎng)絡(luò)安全法中有這樣一個條例：

第二十七條 任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

但國內(nèi)的很多企業(yè)其實是受到過很多白帽子提供的好處的，像360、愛奇藝、京東、小米等等等等，因為企業(yè)的網(wǎng)絡(luò)安全部門精力有限，白帽子就像是外援一樣，幫助企業(yè)發(fā)現(xiàn)并解決過很多的問題，所以白帽子的存在對于很多企業(yè)來說是不可或缺的。所以法令頒布的當天，超過19家企業(yè)的SRC組成了“SRC聯(lián)盟”共同上線了“白帽子協(xié)議。

這個協(xié)議中確定了各自平臺的規(guī)則和邊界，一方面是為了讓白帽子放心，另一方面也確定了雙方的權(quán)利邊界和義務(wù)。對于沒有壞心思的白帽子完全可以和往常一樣，找到漏洞，在不對企業(yè)造成影響的程度內(nèi)進行測試，然后提交漏洞。

《網(wǎng)絡(luò)安全法》的頒布看似給了白帽子很多制約，可從長遠看來，規(guī)則的制定，對雙方來說其實都是一種保護。

最后，還是要為白帽子們說句話。

白帽子這個“行業(yè)”確實存在這很多爭議，但白帽子之所以被稱為白帽子，是因為這是一群擁有著黑客的技術(shù)，卻在維護網(wǎng)絡(luò)安全的人。

有一個事情可以明確的告訴大家，做一名黑客遠比白帽子好做，來錢也快。

舉個例子來說，假如一名黑客攻破了某個大平臺的數(shù)據(jù)庫，他就可以把里面的用戶信息抓出來然后整理篩選，賣給相關(guān)的網(wǎng)絡(luò)推銷公司。就算他只抓取了幾百萬用戶，就算按照幾毛錢一條的價格，幾十萬就到了賬戶當中。

相比之下，白帽子辛辛苦苦找到了漏洞，提交上去之后還要冒著被人認作嫌疑人的風險，做的事情也是防患于未然，企業(yè)肯定不會花幾十萬來作為獎勵。

借用一句說爛了的話：你之所以看不到黑暗，是因為有人竭盡全力把黑暗擋在你看不到的地方。

向那些堅守道德底線原則的白帽子們致敬。

本文轉(zhuǎn)載自：【51CTO官微】

原文鏈接：https://mp.weixin.qq.com/s/5VCwAUmFT-ziLboAahnE6Q ?

公眾號內(nèi)回復(fù)“1”帶你進粉絲群

總結(jié)

以上是生活随笔為你收集整理的腾讯员工举报漏洞被逮捕，“白帽子”的行为边界到底在哪儿？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。