陳樹華

孤狼的尷尬

并不是所有的黑客都進了大公司。而那些單獨作戰(zhàn)的孤狼，有時也會面臨尷尬的境地。

在一次安全大會上，一位父親闖了進來，拿著一沓打印的資料，希望在參會的這些人里，有人能夠幫到他的兒子——不久前，他的兒子破解了某婚戀網(wǎng)站的漏洞，并把這個漏洞發(fā)布到了烏云平臺上，但是，他的兒子還是被這家婚戀網(wǎng)站起訴，并被批捕了。

《財經(jīng)天下》周刊記者向該網(wǎng)站核實是否起訴了一名黑客，但沒有得到答復。

更有名的案例是京東案。2011年12月30日，賈偉在陜西咸陽一家制藥廠被警方帶走，他的老父親顫顫巍巍地在拘留證上簽了字，然后整整一個月沒睡著過。

2011年底，中國互聯(lián)網(wǎng)爆發(fā)了一次大規(guī)模用戶信息泄漏事件。當時天涯社區(qū)、技術開發(fā)網(wǎng)站CSDN、游戲門戶多玩網(wǎng)、婚戀網(wǎng)站珍愛網(wǎng)等多家網(wǎng)站用戶資料被泄露，被業(yè)內(nèi)人士稱之為“脫褲門”。京東商城也沒有幸免。

京東漏洞的發(fā)現(xiàn)者正是賈偉。賈偉有一個常用ID：我心飛翔。在京東商城內(nèi)部技術人員遲遲無法修復漏洞的情況下，賈偉表示只要聘請自己為高級技術顧問，并支付約240萬元勞務費，就將為京東商城修復該漏洞。結果，京東商城以網(wǎng)絡被入侵并被“敲詐勒索”為由，向北京朝陽區(qū)公安局報警。一個多月后，賈偉被保釋。

“這就像我家有個后門，開著，但我沒有允許你進來看啊。你不但進來了，還把我家房間的擺設都看了一遍。我當然不高興了。”孫義在一家大型國產(chǎn)手機廠商做安全運維——負責與黑客接觸，發(fā)現(xiàn)漏洞并作出響應。

孫義在那次安全大會上也看到了為黑客兒子求助的父親，但卻沒有表現(xiàn)出同情。“就是烏云，也只是一個平臺。你把信息發(fā)在上面，但是出了事，他們一樣不管。”

每個月，孫義都能收幾十起安全漏洞的報告。“我們會給他(發(fā)現(xiàn)漏洞的黑客)一些精神獎勵，給他證書，甚至幫他申請國際漏洞編號。這些他都可以寫在他的簡歷里，找工作好使啊。”至于金錢上的報酬，沒有。

“我們鼓勵‘白帽子’一起建設安全生態(tài)，會給漏洞發(fā)現(xiàn)者提供精神和物質(zhì)上的雙重獎勵。”阿里巴巴安全總監(jiān)陳樹華說。

而京東也在賈偉事件之后，設立了應急響應中心。京東商城信息安全部經(jīng)理李學慶說，作為一個安全應急響應中心，和騰訊的 TSRC、百度的 BSRC、阿里巴巴的 ASRC 一樣，京東的 JSRC 有一個主要任務——堵住一切有可能產(chǎn)生破壞的漏洞。更多精彩內(nèi)容，請點擊http://t.kanshangjie.com/r4

不過，與國外的廠商相比，國內(nèi)廠商給予的獎勵仍然缺少競爭力。根據(jù)京東的數(shù)據(jù)，提交任何可以攻擊京東的漏洞，大概能夠獲得1000元的京東購物卡獎勵。在6.18 之前，京東搞了一個雙倍積分的活動，“白帽子”提交高危漏洞，最高可以得到折合價值12000元的獎勵。