正在阅读：深度揭秘黑客圈：黑/白/灰3色帽子的世界深度揭秘黑客圈：黑/白/灰3色帽子的世界

■在危险边界游弋的“灰帽子”

　　绝大多测试在没有授权的情况下进行。

　　首届乌云峰会结束后的当天晚上，超过百名白帽子聚集在北京798艺术区的一家名叫“WOOYUN CLUB”的酒吧里。这是乌云网2014年8月创办的黑客酒吧，如今只是试营业状态，酒水单都尚未印全。

　　酒吧玻璃墙上的代码串和外墙上的涂鸦都来自黑客世界，几乎每个名词都对应着一种网络攻击的形式。出入这间酒吧的人，多以网络ID示人，酒单上也印着只有黑客才能看懂的酒名，如“DDoS”这款鸡尾酒。“DDoS”是一种常见的流量攻击方式，以一段时间内占用大量网络资源，使服务器瘫痪为目的。

　　坐在酒吧里的白帽子在明处，黑帽子在暗处。事实上，还有一种不黑不白的灰色地带。

　　“猪猪侠”在乌云提交的许多漏洞描述中，都会有一句声明“未做深入研究”，意即为发现漏洞点到为止，但并未非法窃取数据。这也是大多白帽子在寻找漏洞时面临的边界。厂商在回复时，也常加上一句，“请各位白帽子在安全测试中注意遵守国家相关法律”。

　　众多白帽子都觊觎着“猪猪侠”多次祭出的大杀器——漏洞扫描器，希望能够公开放出。但猪猪侠看起来没有这样的打算。显而易见，保证自己都并非易事，他很难保证每一个得到“武器”的人，也“不做深入研究”。

　　吴翰清对记者表示，根据刑法新的修正案，未经授权入侵他人计算机的行为，都是非法的。乌云也在《信息安全相关保护与声明》中写道，“白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性，乌云对此不承担任何法律责任”。

　　事实是，绝大多测试在没有授权的情况下进行。众多的白帽子，行走在无人把守的危险边界，“帽子”也忽明忽暗。

　　一位乌云白帽子谈到黑白帽子的界限时说，前期分析、获得漏洞的过程几乎没有区别，“白帽子会说自己是白帽子，黑帽子从不会说自己是黑帽子。大家只是最后的利用方式不一样。”

　　曾负责管理某公司邮箱系统的一位管理员在被报告漏洞后进行了系统修复，并向白帽子表示感谢。但他不太愿意和黑客们过多接触，不论黑帽子还是白帽子。他害怕自己的隐私会无所遁形。

　　“毕竟是富有攻击色彩的行业，（黑客）会让人不信任。”***公司的一位安全专家说。

　　发展初期的乌云，在企业眼中简直就是个黑客集中营，这样的不信任感如同坚冰。在企业眼里，提着自己的漏洞找上门来的，往往不是恶意竞争的同行，就是勒索要钱的黑客。一家大型国企曾要求乌云将自己的漏洞信息删除，遭拒后，封掉了乌云的流量，后经反复协调才重新开通。

　　事实上，白帽子和黑帽子的边界本来就是模糊的。据多名圈内人士印证，许多数据库的漏洞被放出来前，价值就已几乎被榨干。一些黑帽子先把黑钱挣了，再改头换面进入企业、白帽子团队或是加入乌云平台，都是“洗白”的路径。

　　大多互联网公司用人的一条原则是，决不录用有黑帽子经历的人。“曾经就有案例，一个知名社交网站录用了一个前‘黑帽子’，结果他在一个月内把系统摸清楚，最后把公司的数据库全拖了。”上述安全专家对记者说。

　　做过黑帽子的人几乎不可能再成为白帽子，除非你可以成功隐瞒你的过往——换个马甲，在网络世界里一切就可以重新来过。

　　“我们只能看他在乌云平台上做了什么，对于过往经历，我们没有能力，也没有义务去全部弄清。”方小顿的想法并不复杂，“让好人可以做好人，让坏人也想来做好人。”

　　他蓄着长发与短胡须，看上去更像一个艺术家。他的设想是，让白帽子们过上干净且自由的WOOHO（Wooyun Home Office）生活——不论你在哪，只要打开电脑，依靠自己的技术力量寻找漏洞、提交漏洞，就可以此为生，自在逍遥。

　　看上去很诱人。但事情的复杂性在于，整个网络世界都是灰色的，如果有区别，也只是灰度的不同。方小顿和他的伙伴们承认，在“帽子”们的江湖里，这一点也不例外。 [返回频道首页]

[ News Aggregation ]

　　90后黑客黑掉全校数据库表白 女神：呵呵 - //network.pconline.com.cn/550/5506918.html
　　互联网安全大会上最小的黑客：年仅12岁! - //network.pconline.com.cn/549/5497996.html
　　军训冲突县政府网站被黑 黑客留的言亮了 - //network.pconline.com.cn/536/5363242.html