大家都在談?wù)揙penSSL漏洞，仿佛互聯(lián)網(wǎng)的天空，突然就在那一天，塌了一個(gè)洞，自己原本藏得好好的隱私，一下子都從那個(gè)洞里漏了出去。大家都很驚恐。

　　不是這樣的。一位不愿透露姓名的黑客告訴我，互聯(lián)網(wǎng)從來不是這樣的，至少中國的不是。他說，中國互聯(lián)網(wǎng)安全原本就慘不忍睹。

　　簡(jiǎn)單地講，OpenSSL這個(gè)被稱為“心臟流血”(HeartBleed)的漏洞，很多人之前都不知道。在披露后，黑客和互聯(lián)網(wǎng)安全運(yùn)維人員第一時(shí)間反應(yīng)過來，圍繞著這個(gè)漏洞，你攻我守。但更多的早已披露的漏洞，互聯(lián)網(wǎng)公司卻沒有注意到，任由他人自由進(jìn)出。

　　前兩天，上述黑客在一個(gè)俄羅斯語論壇上看到，有人發(fā)帖正在兜售一家類谷歌的中國互聯(lián)網(wǎng)搜索企業(yè)的服務(wù)器信息。“1萬60臺(tái)服務(wù)器的權(quán)限，賣400比特幣。帖子寫的是類Google的搜索引擎。”他不愿意公開他的猜測(cè)。

　　在東歐這些地方，黑客很活躍，水平也很高。他們?cè)谡搲�里，常常用比特幣交易得到的�?shù)據(jù)或服務(wù)器權(quán)限。“數(shù)據(jù)無非是用戶數(shù)據(jù)與服務(wù)器數(shù)據(jù);如果像比特幣交易平臺(tái)的話，就直接是比特幣了。”他說，拿到了服務(wù)器權(quán)限，黑客可以用來攻擊別人，也可以挖挖比特幣，“如果黑掉了游戲公司的話，把高消費(fèi)能力的用戶導(dǎo)出來，別人肯定想買。”

　　“像攜程之前那個(gè)漏洞，‘太酷了’。”他說。上個(gè)月，互聯(lián)網(wǎng)安全問題反饋平臺(tái)烏云上出現(xiàn)了一份報(bào)告：攜程旅行網(wǎng)支付日志存在漏洞，或?qū)е麓罅坑脩翥y行卡信息泄露。這可能直接引發(fā)盜刷等問題。

　　“往往應(yīng)該重視這個(gè)問題的互聯(lián)網(wǎng)公司，他們其實(shí)不重視。我很不理解他們?yōu)槭裁床恢匾�。這個(gè)你怎么可以不重視?”

　　他又舉了一個(gè)例子，“比如做云服務(wù)，數(shù)據(jù)敏感性非常高。如果我們的數(shù)據(jù)泄露了，那就是關(guān)門的事情，因?yàn)橛脩粼僖膊粫?huì)相信我們。如果這家云服務(wù)面向公司用戶，那么，他的客戶公司所有的數(shù)據(jù)也都沒了。”

　　他說，漏洞就像你在廚房看到蟑螂一樣，看到一只，你就應(yīng)該知道，其實(shí)那還有幾十只。“中國被賣的公司越來越多。大家也開始知道，中國是個(gè)肥羊。”

　　這一現(xiàn)狀說明，互聯(lián)網(wǎng)安全大有商機(jī)：不是去竊取服務(wù)器和數(shù)據(jù);而是在互聯(lián)網(wǎng)安全成為剛需的情況下，為這些疏于防范的公司提供滲透服務(wù)與技術(shù)支持。

　　滲透測(cè)試，就是以黑客的身份，想盡辦法地進(jìn)入系統(tǒng)，拿到用戶數(shù)據(jù)，或者服務(wù)器權(quán)限。所有黑客會(huì)采取的手段和渠道，包括技術(shù)手段與社交工程，測(cè)試方都會(huì)使用。“你自己所有的安全工作都做完以后，可以通過買這個(gè)服務(wù)試試，自己是不是真的安全。”國內(nèi)滲透測(cè)試服務(wù)cagetest.com的負(fù)責(zé)人說，這在國外早已是成熟產(chǎn)業(yè)。

　　“我們?cè)诤诳驼搲�上，看到一個(gè)帖子，就會(huì)以買家的身份，接觸發(fā)帖人，盡可能地得到詳盡信息。”該負(fù)責(zé)人說，通過這個(gè)渠道，發(fā)現(xiàn)哪家公司已經(jīng)出事了，就找上門去，告知對(duì)方，“你已經(jīng)有問題了。”

　　測(cè)試方會(huì)事先與受試公司簽訂合同，獲取對(duì)方授權(quán)，并約定收費(fèi)模式。“或者按用戶量收費(fèi)，或者按服務(wù)器收費(fèi)。我們給他看證據(jù)，他們付我們70%的錢。然后我們把完整的報(bào)告發(fā)給對(duì)方，里面包含問題漏洞與解決方案，對(duì)方再補(bǔ)上剩下的30%。”

　　“其實(shí)我們也不知道這個(gè)收費(fèi)模式對(duì)不對(duì)。”該負(fù)責(zé)人補(bǔ)充說，不同行業(yè)用戶價(jià)值不一樣，目前每單合同都要定制。如果無法成功滲透，就不收任何費(fèi)用。他認(rèn)為在中國這種商業(yè)模式可能更容易為人所接收。

　　目前這家滲透測(cè)試公司已經(jīng)接過十?dāng)?shù)單合同，每單最少幾十萬，后續(xù)月費(fèi)幾萬左右：有比特幣交易平臺(tái)，有云存儲(chǔ)平臺(tái)，有航空公司，也有會(huì)計(jì)公司。這些公司都在業(yè)內(nèi)擁有領(lǐng)先地位。

　　通常做過滲透測(cè)試，就會(huì)成為該服務(wù)的長(zhǎng)期客戶。因?yàn)榘踩�不是一次性的。每更新一次系統(tǒng)，每增加一臺(tái)服務(wù)器，事實(shí)上都在制造漏洞。

　　但與不少走在市場(chǎng)生長(zhǎng)邊緣的創(chuàng)新一樣，這門生意也有自己的禁忌。“我期待做銀行客戶。”該公司負(fù)責(zé)人說，但不敢先黑進(jìn)去，再跑過去對(duì)銀行說，你有漏洞，你交點(diǎn)錢，我來幫你解決吧。

　　他說那就是黑客界的傳統(tǒng)手段了：直接黑你，然后來勒索你。“那種超高效的。”他問了以前替谷歌中國做法務(wù)的朋友，但至今還沒得到很好的答案。那位朋友告訴他，如果要這么做，就得提前告知對(duì)方，說要掃描你，要我停的話，就要告訴我。“目前我們沒看到中國法律上有相關(guān)條款。所以還是按規(guī)矩來，沒有得到人家授權(quán)，就不進(jìn)去，不能把人家惹毛了。”

　　讓我們看看知乎上的用戶怎么看待這個(gè)問題。

　　@云舒：有些不合法，但是基本合理。說通俗點(diǎn)，我們這些在甲方做安全的人，大部分也是從黑帽子轉(zhuǎn)過來的。當(dāng)真在自己被招安之后，轉(zhuǎn)身就把以前的老兄弟都抓起來，即使他們只是對(duì)我們保護(hù)的東西做了一點(diǎn)略微出格的探測(cè)?

　　@畢月烏：白帽黑客和黑帽的區(qū)別就在于是否有惡意，這一點(diǎn)其實(shí)很容易證明，比如查詢服務(wù)器日志，但是從法律角度來看，鑒別入侵行為是否合法的唯一標(biāo)準(zhǔn)就是預(yù)先授權(quán)，也就是說從法律角度來說，烏云絕大多數(shù)白帽子的大多數(shù)安全測(cè)試都是不合法的(烏云眾測(cè)合法，這是授權(quán)測(cè)試)。

　　發(fā)現(xiàn)攜程漏洞的那位黑客，在微博上表示：目前已經(jīng)將安全測(cè)試涉及到的日志信息徹底刪除，攜程也已經(jīng)及時(shí)修復(fù)漏洞。采訪他的那家媒體認(rèn)為，他可能是受到了一些外部壓力。

　　但也有從事互聯(lián)網(wǎng)安全的黑客稱，即使法律沒有站在未獲得授權(quán)就擅自發(fā)布滲透測(cè)試報(bào)告的黑客那邊，大多數(shù)公司也不會(huì)選擇走法律途徑。否則，后果很可能是不再有人報(bào)告該廠商漏洞，甚至可能有人會(huì)直接公開漏洞。

　　這種判斷反應(yīng)在攜程事件上，就是該公司客服微博上的一段話：攜程對(duì)于烏云平臺(tái)發(fā)現(xiàn)的漏洞信息，表示非常重視和感謝，并將對(duì)于提供漏洞信息者給與獎(jiǎng)勵(lì)。