同样是在未授权情况下对某网站或服务器进行渗透测试,这样做是否合法合规?李夏向南都记者坦言,其实都是“不合规的,但行业里很多人都会这么做。”
按照上述业内资深人士的说法,“正面黑客”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以处于一个“不算违法”的情况。一般漏洞检测有两种情况,一是厂商发起众测,并根据漏洞大小予以打赏;一种是自发上报,引起厂商或者漏洞平台的注意,换取积分可以在漏洞商城换一些极客商品,或者有厂商会自发打赏,这个价格没有标准。
二者各成圈子
和“黑客”贩卖网络漏洞获得的高额收入相比,“正面黑客”更多被认为是“情怀主义”。猎豹移动安全专家李铁军向南都记者介绍说,在国外,微软、谷歌等科技公司都会给“正面黑客”专门的奖励,并且加上荣誉公告。“价格都在几千美元到几万美元不等,”李铁军说,这当然不能与“黑客”相比,一个高危漏洞在黑市上卖出上百万美元都很正常。
“(”正面黑客“)不能沾那些事情,一旦沾了的话,就回不了头。”李夏特别强调。
李铁军也指出,“其实很多数据库泄露都是撞库等方式泄露的,这是数据库本身已经暴露的基础上造成的,根本不需要黑客这种技术功底。”
腾讯科恩实验室成员陈良表示,近几年来网络信息泄漏事件频发,加上信息安全从业人员水平的提升,使得“正面黑客”开始被当成正当职业对待,而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示,公开场合内二者会有技术、研究成果的交流,但也仅限于此,“比如说像Q Q盗号的人,他们有自己的圈子,他们交流不走国内的渠道,他们找一些很偏的通讯软件进行沟通。”邓欣说。
名词解释
●正面黑客:
IT行业内指有能力识别计算机或者网络系统中存在的安全漏洞,但不做非法用途,而是告知企业修复漏洞,之后再公布细节的人,和黑客仅有一线之隔。被喻为网络世界中的“超级英雄”。
●乌云网:
漏洞报告平台,此前铁道部官网12306用户数据泄漏一事便是由该平台进行公布,提醒用户更改密码,因而赢得用户不少好感。
原文转自:http://tech.sina.com.cn/i/2016-07-20/doc-ifxuapvs8902132.shtml