VR中的白帽機制，這把安全的雙刃劍應該如何使用？

白帽與黑客相對，簡單來說白帽就是未受聘用的網路安全管理員，有點類似於俠盜羅賓漢。而所謂的白帽機制，即利用白帽黑客來挖掘程式系統中漏洞的一種形式。

Facebook、微軟，Google目前都有自己與VR相關的白帽機制，主要手法就是將程式的查錯權力放開，藉助在野的VR專家來協助修補漏洞。包括MR相關的作業系統Windows Holographic和移動VR平臺Daydream，它們都被劃定在漏洞獎勵範圍之內，而Facebook Bug Bounty計劃也將影響到Rift程式的安全等級。

但在去年12月，白帽黑客袁煒通過烏雲網將網站漏洞提交給世紀佳緣之後，卻因為這項行為而遭到逮捕，其主要原因可能是涉及到了SQLmap的使用。SQLmap除了檢測漏洞的功能之外還能對漏洞進行利用，這也表現出某些企業對於白帽黑客觸及隱私的深深憂慮。

白帽機制雖然在一方面整合了資源，提高了自身程式漏洞的填補能力，加強了安全等級，但另一方面又缺乏系統的白帽群體約束規則，他們在修補漏洞的同時也可能因由各種原因對系統造成威脅破壞，是一把雙刃劍。

不過，從科技巨頭的作為看來，白帽機制雖然有一定的隱私隱患，但只需稍加引導就能作為虛擬現實程式安保中的重要一環。

·白帽黑客對VR系統的安全有很大的積極意義

微軟和谷歌的白帽機制早在2005年就得以建立，他們先後設立了SRC應急響應機制，鼓勵全球的白帽黑客能夠協助自己一同建立安全防線。國內企業起步較晚，直到2012年騰訊才開啟了漏洞收集平臺TSRC(騰訊安全反饋中心)，但我們仍然可以看到白帽機制已經初見成效。

Facebook的Bug Bounty計劃截止到2015年已經發現了2400個漏洞，僅2015一年內就有210位白帽反饋的526單漏洞獲得稽核。除此之外，微軟在今年上半年總共收到了124個程式漏洞資訊，Adobe、蘋果和谷歌則認證了485個漏洞反饋。

這些漏洞的發現者包括世界各地的網路安全提供商，也存在一些在野的白帽黑客。Facebook的一份報告表示，XSS和CSRF形式的跨站攻擊已經開始減少，他們的漏洞主要集中在系統的邏輯上而非技術上，這也是自身的安全團隊很難發現的問題。此外，得益於白帽機制的推行，大部分漏洞在測試階段就能獲得填補。

而白帽提交的漏洞報告也越來越趨向於成熟，非關鍵性漏洞的舉報頻次逐年降低，在報告中通常還會附帶一些可能發生的攻擊手段，這也是大環境技術上升的一種表現。

無論如何，白帽機制是一種集思廣益的作法，獨立的安全團隊很難發現程式中的盲點，這個盲點在VR系統中更為致命。主流VR裝置往往需要針對性的開發一套新系統，這些技術的發展在目前來看遠未成熟，漏洞存在的可能性更高。從Oculus Rift系統的拆包資訊來看，Oculus正在努力研發一個內建的保護程式，而這個程式還在跟隨版本不斷迭代。

再者，一旦VR系統涉及到使用者個人資訊的記錄，將不僅限於簡單的賬戶密碼。還會牽扯到人們使用VR頭顯的動作習慣，聯網中具體的地理位置，無屏VR則與智慧手機中的資訊強相關。

白帽機制在一定程度上加大了漏洞發現的可能，儘早的填補則是保障網路安全的重中之重。而廠商也可以通過這個手段來均攤成本，一方面懸賞漏洞的成本比挽回事故的成本要低得多，另一方面也能降低安全團隊的組成成本。

·白帽機制又存在一定的安全隱患

從白帽黑客袁煒被捕的事件可以看出，白帽機制也存在一定的安全隱患。SQLmap的使用對系統來說具有兩面性，而白帽在獲得漏洞資料之後也有可能進行二次洩露，從而對程式和網路安全造成損害。

國內的法律規定，對於不涉及商業、科研和國家安全的計算機資訊系統，如果只是侵入，沒有進行破壞和篡改或者牟利等行為的，不構成犯罪。但這個法規的判定不太嚴謹，白帽黑客隨時可以採取取巧的手法繞過監管，而對於程式安全的保障幾乎全靠個人在道德上的自律。

這又引申出另一個問題，從嚴格意義上來說白帽的劃分標準是相當模糊的。最近這幾年出現的激進駭客(Hacktivist)則介乎白帽與黑客之間，以“匿名者(Anonymous)”這個組織為例，他們有著自己的一套正義法則。

在2002年前後，Anti-Sec社群中就有一類人，他們在白天上班的時間內專注於網路和系統安全的相關事宜，回到家後又開始從事黑客的工作。2011年10月，匿名者(Anonymous)攻擊了40個與兒童色情相關的網站，並將1500位訪客的個人資訊公之於眾，這種行為也許在某種程度上是合乎道義的，但他們也確實觸犯了法律。

相比之下，VR領域中也存在類似的“灰色地帶”，VR情色一直被人們所津津樂道，這其中也包含了一些不能搬上臺面的合法內容。白帽在某種條件的促使下將會拿不準行事的標準，從而對合法內容展開相應的攻擊，進而侵犯他人的隱私。

·白帽機制可以引入安全體系，但需要相關規則的約束

僅僅依靠白帽自身的道德約束是不夠的，要完善整個體系需要有相關規則的制定。常規的方法就是增加獎勵機制，讓“做好事”的受益程度大於“做壞事”的受益程度。

谷歌在不久之前的一份宣告中闡述，他們在6年間總共對漏洞的發現者回饋了約600萬美元的賞金，僅2015年內就給300多位白帽頒發了200萬美元的獎金。在將漏洞的審查範圍擴充套件到Android和iOS平臺之後，VR平臺則是Google的下一個目標，去年最高的獎金數額為37500美元，而這個數字還在不斷的上升。

微軟和Facebook在白帽的酬勞設定上也顯得十分慷慨，微軟在去年將獎金的數額翻了一倍，表示一個漏洞的反饋最多能獲得10萬美元的獎勵，而Facebook從2011年至今也已發放了430萬美元的查錯獎勵了。

除了加大獎勵金額外，企業在不同領域也應該設定相應的白名單。如若是針對虛擬現實領域，就面向VR方面相關的白帽開放部分程式的入口，這樣一方面能加大查錯的範圍，另一方面又能確保點對點的正確性。

白名單的設定也應該引入一些信用標準，只對通過驗證的白帽發放。例如規定白帽曾經提交過數個相關的規範漏洞報告，或是在業界積累了一定的口碑。Facebook的政策也許能夠作為一個參考，他們直接向白帽發放Visa借記卡，只要他們彙報的漏洞得以確認，獎勵就會直接發放到借記卡中。

Facebook安全響應團隊經理Ryan McGeehan表示，有了這種獨立的黑客卡，白帽黑客的變現速度更快且更隱蔽。而這種借記卡的存在，也相當於一種變相的白名單體系，目前已經有81個安全人員得到了Facebook的Visa借記卡。

白帽黑客作為駭客範疇內最具約束力和自制力的團體，在技術和道德上都起到了先驅模範作用，並非是應該泯滅的物件。白帽的初衷都是為了分享知識和交流解決問題，而整個網際網路科技領域不應該由於個人的變味從而否定整個社群。在一定規則的引導下，白帽機制能為VR領域甚至整個科技領域帶來可觀的收益。

====================================分割線================================

本文轉自d1net（轉載）