首次袒露360私有化目的，保險公司將成為新股東

7月底，一位網(wǎng)絡(luò)“whitehat”（俗稱“善意黑客”）發(fā)現(xiàn)某網(wǎng)站上存在漏洞并向該網(wǎng)站提交，后者對這位whitehat表示感謝，隨后卻以“侵犯隱私”的名義對其提起訴訟。此后，國內(nèi)三大官方認(rèn)定的漏洞平臺之一烏云宣布停擺，據(jù)傳有十余名高管被帶走。上述兩起事件讓whitehat這個隱形行業(yè)浮出水面，其亦黑亦白的身份引發(fā)輿論討論。

在8月16日召開的互聯(lián)網(wǎng)安全大會上，whitehat再度成為熱門關(guān)鍵詞。“這好比要試試一個鎖是不是好的，你要動手撬一撬試試，如果真撬開了，黑客會干壞事，而善意的黑客會把這個事情告訴廠商。這是區(qū)別，但‘撬’的這個動作確實存在‘灰色’。”360董事長周鴻祎接受南都記者采訪時表示，創(chuàng)新永遠(yuǎn)比規(guī)則快，現(xiàn)在的whitehat存在灰色很正常，也需要國家盡快制定相關(guān)規(guī)則予以保護(hù)。“比如說統(tǒng)一管理模擬攻擊，哪怕是發(fā)個資格證書也行。”

“被忽視”的whitehat

“whitehat的存在很重要，網(wǎng)絡(luò)上大量的后門、漏洞是未知的，必須通過模擬攻防才能發(fā)現(xiàn)其弱點，就像軍隊的訓(xùn)練要分組對抗一個道理。”周鴻祎告訴南都記者，“但是他們并沒有獲得應(yīng)有的尊重。”

“主要是許多網(wǎng)站安全意識淡薄，他們覺得自己只是個小網(wǎng)站，并沒有敏感信息，沒有被攻擊的可能。”周鴻祎透露說，比如360補天之前發(fā)現(xiàn)了一個高校的漏洞，但技術(shù)方獲悉后近半年時間也沒修復(fù)。“一個同學(xué)在校園BBS的ID密碼有可能是他支付寶的ID，這是個‘順藤摸瓜’的過程。如果一個店家被發(fā)現(xiàn)有火災(zāi)隱患會被聯(lián)防勒令整改，但網(wǎng)絡(luò)安全的規(guī)則是缺失的。希望國家可以有一些政策規(guī)定，比如發(fā)現(xiàn)漏洞必須在多長時間響應(yīng)及修復(fù)。”

這種被忽視的案例不僅在中國。殺毒軟件巨頭McAfee創(chuàng)始人約翰·邁克菲向南都記者表示：“之前他朋友發(fā)現(xiàn)了波音公司的一個漏洞，但后者一直不予理睬。他只能買了一張波音公司的機票，在飛機上成功把飛行系統(tǒng)劫持了，以此證明漏洞的存在，但下了飛機他就被FBI逮捕了。”邁克菲說，盡管美國white hat在企業(yè)中有很大需求，但現(xiàn)實中政府不會與其合作，也導(dǎo)致其受到很多限制。

如何給whitehat定價？

國內(nèi)目前官方認(rèn)可的漏洞平臺僅有烏云、漏洞盒子以及360補天三家，而360補天是唯一一個“不公布漏洞”、“不接受廠商獎勵”的平臺。“我們不想公布漏洞是覺得這會對廠商造成巨大影響。”周鴻祎表示。

但這并不意味著whitehat不應(yīng)該為其發(fā)現(xiàn)漏洞的過程獲得收入？“其他漏洞平臺需要被發(fā)現(xiàn)漏洞的廠商獎勵，但360補天自己補貼‘whitehat’。”周鴻祎說，之所以不接受廠商獎勵，只是避免“瓜田李下”，“在目前的游戲規(guī)則下，這種獎勵與‘敲詐’確實界限比較模糊。”

“長遠(yuǎn)看，廠商需要為這樣的勞動付出埋單。”周鴻祎告訴南都記者，現(xiàn)在廠商寧愿多買服務(wù)器硬件，也不愿雇一個安全人員進(jìn)行長期監(jiān)測。“但安全不是機器與機器斗，而人與人斗，永遠(yuǎn)沒有一個方案可以一勞永逸，人的服務(wù)才是安全最好的解決方案，而這種咨詢服務(wù)理應(yīng)獲得其收入。”

不過，盡管目前美國的廠商們都設(shè)立了whitehat獎勵機制，但南都記者問到關(guān)于w hitehat的定價時，邁克菲仍然認(rèn)為，這種想法是“不道德”的。“這就好像海洋學(xué)家發(fā)現(xiàn)微生物是他們的責(zé)任，這個責(zé)任不應(yīng)該獲得獎勵。”

360私有化幕后原因

去年圣貝納迪諾槍擊案有兇手在現(xiàn)場遺留一臺iPhone手機，F(xiàn)BI要求蘋果公司提供后門獲取其中信息遭到拒絕，引發(fā)關(guān)于“國家安全”與“個人安全”的爭論。今年3月，邁克菲表示其能獨立破解這個手機，否則當(dāng)眾吃鞋。

雖然他最后沒有破解成功，也沒“吃鞋”，在南都記者問起此事時，他表示這只是一種表態(tài)。“FB I要求蘋果開通后門，這樣就能獲取除了這臺手機數(shù)據(jù)外，全部蘋果用戶的數(shù)據(jù)，這已經(jīng)是‘越界’了。”

對于上述爭論，周鴻祎并沒有直接評價，但他透露，在大部分國家安全問題上，IT廠商們還是配合的。“在歐盟，如果你研制一種政府無法破譯的加密軟件被視為軍火；我們在美國投資一家安全通信公司，而他們同樣被美國政府要求備案秘鑰；有一年波士頓爆炸案，當(dāng)時犯罪嫌疑人只是網(wǎng)上搜索‘高壓鍋’，20分鐘后就有反恐部隊上門，如果沒有谷歌之類搜索引擎配合怎么可能實現(xiàn)？”

也是出于這方面的考慮，360選擇了私有化，在美國退市。這也是周鴻祎首次袒露私有化的目的。“而且現(xiàn)在軍民融合是一個趨勢，未來軍工安全會是一個很大的市場，內(nèi)資公司的身份更有利于我們切入這個市場。”與此同時，周鴻祎還透露會有一些國有公司將入股360，“比如一些保險公司會成為我們的新股東。”