善与恶的分界线

“非常感谢提交漏洞和对XXXX的支持，我们已第一时间将漏洞修复完毕，并抓捕了你”

大家还记得它吗？

一个漏洞曝光平台，因为一个漏洞而身陷漩涡；一个白帽子黑客，因为曝光了一个漏洞而深陷法律沼泽。

乌云。

……已经凉了

什么是黑客？

黑客不是计算机罪犯，黑客不是计算机罪犯，黑客不是计算机罪犯

黑客，本意仅仅是电脑技术高超的人，真正的罪犯是骇客。

从以上定义中，我们可以推断，一定有内心善良的黑客，他们就是白帽黑客。

白帽黑客

白帽黑客虽然是黑客，但是他们本身没有恶意。他们致力于找出软件的漏洞，但是不会利用漏洞作恶；相反，他们会及时通知厂商，目标是提高软件的安全性和稳定性。事实上，网络安全专家就可以算作是白帽黑客了。

乌云与世纪佳缘

白帽黑客与软件厂商的微妙平衡，在这一起事件当中被打乱了。

一位白帽黑客在漏洞数据库网站“乌云”上提交了一个关于“世纪佳缘”网站的SQL注入漏洞，乌云也按照正常程序告知了厂商，厂商也及时修复了。然后他们转身报警，这位白帽黑客就这样被抓捕了，乌云也关站了，甚至一度被屏蔽。

事件发生后，世纪佳缘遭到了大规模的口诛笔伐(然而似乎并没有改变什么)，同时一场关于白帽黑客与伦理的讨论也悄然兴起。

白帽黑客与伦理

在大众看来，白帽黑客的技术与黑帽黑客(骇客)其实是一样的。白帽黑客与骇客的区别仅仅是黑客本人的内心。换句话说，只能依靠自觉来保证白帽黑客不会作恶，这明显是不可控的。

在厂商看来，自己的系统更加稳固固然是好事。但是就算是白帽黑客，他们发现漏洞的方式也包括了“入侵”这个步骤。虽然是为了安全，但这毕竟是“入侵”。厂商到底是对此心怀感激，还是拿起法律武器捍卫权利，这也是主观性很强的问题，也是不可控的。

在漏洞汇集平台看来，他们的目标是作为厂商与白帽黑客沟通的桥梁。但是他们的数据库中记载的漏洞数据，真的不会被平台人员滥用吗？在没有透明机制的情况下，这也是不牢靠的。在漏洞最终向大众公开的时候，任何人都可以了解漏洞的详细情况，甚至编写代码来利用漏洞。虽然在那时厂商已经发布了补丁，但是这对没有升级的设备来说，无异于直接暴露在攻击下。

在执法和立法部门眼中，这就是典型的法律黑色地带：一个两难境地、一个模糊的问题、一个棘手的问题。然而探索多年，这个问题仍然没有很好的解决办法。

CVE

最后介绍另一个漏洞数据库：C ommon V ulnerabilities and E xposures，就是大名鼎鼎的CVE。这个数据库在业界有着比较高的权威性。大部分漏洞都有着对应的CVE编号，比如说曾经造成大规模传播的WannaCry所利用的漏洞便是CVE-2017-0144。

或许，我们可以向他们取一些经吧，我想……

完……？