开发者俱乐部
标题:
下大雨了,于是乌云就木有了……
[打印本页]
作者:
xman
时间:
2016-7-22 00:11
标题:
下大雨了,于是乌云就木有了……
QQ、微信被盗,某个网站的帐户密码泄露,个人身份证、电话等信息被泄露……这背后几乎都离不开黑客。在IT世界里,黑客分为两种,一种是“黑客”,把系统漏洞兜售到黑市上,谋取巨额利益。另一种则是“正面黑客”,把系统漏洞提交给厂商,让厂商及时修复漏洞从而保护用户信息。两者有一个共同点,他们都能够发现计算机和网络系统上的漏洞。但在相应法规尚未完善的情况下,这一共同点也让两者之间的界限显得有点模糊。
近日,随着袁炜的被捕,两者之间的界限争论再度成为风口浪尖上的话题。随后,两大漏洞报告平台之一的乌云网昨日开始也陷入停摆危机。尽管乌云网官方口径称“进行升级”,但有不愿意透露姓名的知情人士向南都记者透露,“乌云网有十几个高管被抓。”然而直至昨天截稿时,这一消息尚未得到官方证实。“正面黑客”究竟是什么人?他们日常所从事都是什么工作?带着对这一行业的神秘猜想,南都记者昨天联系采访了多名IT世界里的“正面黑客”高手,试图还原他们最真实的生存状态。
“乌云确实出事了”?
乌云被认为是国内最早的漏洞报告平台,成立于2010年,众多“正面黑客”聚集其中,并曝出了此前多个互联网平台信息泄漏事件,如此前的铁道部官网12306用户数据泄露一事,为乌云网赢得了公众不少好感。
南都记者昨日下午再次登陆发现,打开乌云网页后出现的是升级公告。公告中提到,“为了更好地向大家提供服务,乌云及相关服务将进行升级。
我们将在最短的时间内,以最好的姿态回归。”乌云网同时在公告最后指出,“与其听信谣言,不如相信乌云。”不过,有不愿意透露姓名的知情人士向南都记者透露,“乌云确实出事了,有十几个高管被抓了。”但对于更多细节,该人士拒绝进一步透露。针对对上述种种消息,乌云官方在接受南都记者采访时则未予置评。
在业内看来,乌云事件应该和此前袁炜被捕一事息息相关。不久前,袁炜向乌云平台提交某婚恋网站的漏洞报告,乌云平台将该漏洞告知并得到了修复。之后该婚恋网站针对用户信息被窃取一事报案,结果被抓的人却是袁炜,今年4月12日,北京市朝阳区人民检察院已正式批准逮捕袁炜。
此事件后,南都记者登录互联网安全测试另一大平台漏洞盒子发现,该页面可以正常打开,但旗下“漏洞黑板报”网页则打不开,其官方公告里的“热门漏洞”也变成404页面。漏洞盒子方面昨日向南都记者表示,所有业务都没有受到任何乌云事件的影响,公司目前准备做一些制度上的改版,也是在正常的计划安排中。
游走于法律边缘
两种黑客之间,实际上仅有一线之隔,都游走在法律的边缘。安全专家李夏(化名)向南都记者表示,“黑客”是把漏洞卖到黑市上,谋取巨额利益。“正面黑客”是把漏洞提交给厂商,让厂商及时修复漏洞保护用户信息。
不过,有IT业资深人士对南都记者表示,乌云的模式存在一定弊端。一般乌云与漏洞盒子两家平台发布一则漏洞信息后,一段时间内如果没有厂商认领,他们就会选择直接公布漏洞。“对于我们而言肯定是好事,可以学习他的思路,但对厂商就不一定了。”有一不愿透露姓名的“正面黑客”向南都记者透露,他之前曾发现某金融公司的漏洞,但最后无人认领,一个半月后被发布了。“从我个人角度来说,我是不希望这个漏洞被一些有心人利用的,所以我就跟乌云的人协调了一下,把关键信息打上了马赛克。”
同样是在未授权情况下对某网站或服务器进行渗透测试,这样做是否合法合规?李夏向南都记者坦言,其实都是“不合规的,但行业里很多人都会这么做。”
按照上述业内资深人士的说法,“正面黑客”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以处于一个“不算违法”的情况。一般漏洞检测有两种情况,一是厂商发起众测,并根据漏洞大小予以打赏;一种是自发上报,引起厂商或者漏洞平台的注意,换取积分可以在漏洞商城换一些极客商品,或者有厂商会自发打赏,这个价格没有标准。
二者各成圈子
和“黑客”贩卖网络漏洞获得的高额收入相比,“正面黑客”更多被认为是“情怀主义”。猎豹移动安全专家李铁军向南都记者介绍说,在国外,微软、谷歌等科技公司都会给“正面黑客”专门的奖励,并且加上荣誉公告。“价格都在几千美元到几万美元不等,”李铁军说,这当然不能与“黑客”相比,一个高危漏洞在黑市上卖出上百万美元都很正常。
“(”正面黑客“)不能沾那些事情,一旦沾了的话,就回不了头。”李夏特别强调。
李铁军也指出,“其实很多数据库泄露都是撞库等方式泄露的,这是数据库本身已经暴露的基础上造成的,根本不需要黑客这种技术功底。”
腾讯科恩实验室成员陈良表示,近几年来网络信息泄漏事件频发,加上信息安全从业人员水平的提升,使得“正面黑客”开始被当成正当职业对待,而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示,公开场合内二者会有技术、研究成果的交流,但也仅限于此,“比如说像Q Q盗号的人,他们有自己的圈子,他们交流不走国内的渠道,他们找一些很偏的通讯软件进行沟通。”邓欣说。
名词解释
正面黑客:
IT行业内指有能力识别计算机或者网络系统中存在的安全漏洞,但不做非法用途,而是告知企业修复漏洞,之后再公布细节的人,和黑客仅有一线之隔。被喻为网络世界中的“超级英雄”。
乌云网:
漏洞报告平台,此前铁道部官网12306用户数据泄漏一事便是由该平台进行公布,提醒用户更改密码,因而赢得用户不少好感。
白帽子表态:不要被乌云遮了眼
乌云和漏洞盒子关停升级,不再是什么新闻,Pr0.s这里不由得不略说几句。
“白帽子与企业之间建立真正信任的关系”是最近常常出现的呼吁,但何其难也?
信任必然是相互的,在未授权下对企业的非法访问,这个目前某云等“白帽子”的出发点,已经决定其难以获取企业的信任。
孙维《漏洞披露,乌鸦还是知更鸟》中,谈到:
国外主流的乙方平台,包括有HackerOne、BugCrowd、CrowdCurity、Synack等等,而这些平台的共同点是先取得客户授权,在这个大前提下,按照提交规则进行客户相关漏洞的收集和披露工作。
在拿到客户授权后,漏洞收集工作又分为两大类:一类是针对平台所有测试人员的公开漏洞收集,只要是客户业务相关漏洞均可提交;还有一类是私有项目模式,只针对平台TOP N排名的专家,随机抽取一定数量专家参与测试。
在漏洞提交到乙方平台后,乙方平台本身是没有权限看到漏洞细节的,漏洞确认和审核由客户通过平台自主完成。
如果客户无法确认该漏洞,需要平台帮助时,客户可以授权平台对该漏洞进行确认和审核,而漏洞审核服务是标准化的按时收费服务。
通过这种机制和平台本身的审计机制,可以将漏洞细节被扩散的风险降低到最小。
授权必然是大前提,据说当HackerOne和BugCrowd负责人听说俺们的漏洞披露模式之后,惊讶到下巴能掉到地上,嘴里能塞进一枚橄榄球!
在美国这将面临什么?是继续颠覆规则挑战传统,还是倒在法律的枪口之下?(引自“两大白帽平台紧急关停,或成行业变革契机”云妹,云安全那点事)
国内网络信息安全“一片大好”的形势下,安全界目前大部分“国产”模式都过于追名逐利了,企业如此,个人亦如此... ...不破此劫,将难以为续,安全界必将步其它产业后尘。
如果说此次事件代表一种模式倒下了,真心建言:不为“乌”云遮“网”眼~~万不要减缓业界持续探索的努力,可以模仿,也要允许创新,但不能挂着“创新”之名,某“黑产”之实。
业界的整体形象和荣誉,来自业内每个个体的珍惜和维护,只要宗旨不变,勿忘初心,一切皆为“浮云”... ...
欢迎光临 开发者俱乐部 (http://xodn.com/)
Powered by Discuz! X3.2