白帽子和漏洞的那些事?

今天受邀在雷鋒網的《硬創公開課》就針對之前"白帽子在烏雲網提交世紀佳緣網漏洞後被抓"的事情做了下對於白帽子和漏洞及事件的觀點分享,把分享的東西整理下給大家分享。

註:以下所有內容僅代表個人觀點

這個事情前幾天鬧的沸沸揚揚的,也看了很多關於這件事的文章和評論之類的,知乎上大家也是討論的挺激烈的(zhihu.com/question/4777),「非常感謝提交漏洞和對XXXX的支持,我們已第一時間將漏洞修復完畢,並抓捕了你」這句話更是刷遍了朋友圈,事件中講到的漏洞(wooyun.org/bugs/wooyun-)底下的評論也都是這句話的隊形。

對於很多白帽子來說,這樣的事確實有點義憤填膺哈,所以也有很多指責廠商的,其實說廠商抓白帽子的事,這次的算不上第一次了,可能說這次白帽子更顯的無辜,之前算是罪有應得,所以這次大家反映比較激烈。之前那一次傳播的也挺廣的是《非法侵入網站,網路炫技獲刑》,不過那次被抓的人是因為做了一些越界的行為,所以大家反應沒這麼大。

在這次的事件里,很多觀點是指責廠商的,也有的是講到白帽子的法律意識的問題的,其實在這次的事情里,我覺得沒有一邊倒的誰錯,應該說看從什麼角度看問題吧。

理性的思考,其實這件事有三個角色,白帽子、廠商、平台,我覺得都有不到位的地方,感性的話,從我的角度,就從目前了解的情況(假如沒有其他隱情的話),我更同情被抓的白帽子。

看了教主、雲舒、趙武等人的觀點,其實都沒有錯,雲舒的可能偏極端點,所以噴的人也比較多,但是其實從雲舒的觀點上講也沒有錯,因為他可能思考問題的角度與大家不同,但是我覺得問題應該辯證的看,而不是單純的就認為白帽子怎麼著,畢竟少數人不能代表一個群體,相對來說,我覺得趙武的分析比較理性,也相對從根本原因上去分析了這次的事件(t.cn/R58PW5V),拋出問題,也說了自己的想法,最後提了建議。

再往前幾年,根本就沒有這樣的漏洞提交平台,也不存在說你提交漏洞給你獎勵的說法,其實安全到今天,越來越多的人重視,然後出現漏洞平台,廠商給提交漏洞的白帽子獎勵,有一個發展的過程,也有各自的初心。

就我自己來說,我一直相信任何白帽子提交漏洞的出發點是好的,這點是毋庸置疑的,雖然在這個群體里可能確實會混入一些不懷好意、利用規則的人,但是這整個群體應該是好的。確實在這個群體里可能混入了一些假白帽,搞黑產的那些人,但你能因為這些混入的人去否定白帽子這個群體嗎?去否定提交漏洞這個事的正面性嗎?明顯是不行的!其實白帽子的初衷是幫助企業發現安全問題,然後在這個過程中,可能白帽子也能得到認可,現在很多廠商還都有物質性獎勵,這讓很多白帽子也通過自己的能力賺到了些錢,我覺得本來這一切挺融洽的。

而就提交漏洞的問題,對於企業,更多的看企業態度,對安全足夠認識、態度好的企業,覺得安全是必須要解決的問題,而一些不重視的企業,對於安全或者說黑客的事件的態度是,存在漏洞無所謂,被黑也無所謂,只要不被曝光就行;當然這也屬於少數群體,大部分企業對於安全的態度我覺得挺好的。其實,圈內有句話很出名,你不是已經被黑,就是即將被黑,所以在我看來,企業還是應該重視安全的。再回過來,那麼企業願意讓白帽子提交的初衷是啥?我覺得有幾點,第一點是PR,讓安全成為賣點,讓用戶信任自己;第二點是希望真的解決自己產品安全問題,避免可能的損失。

白帽子和廠商之間,最好的結果是尋求雙贏,一個得到認可,一個解決問題!

關於平台的出現,就白帽子這個群體來說,其實我們自嘲是屌絲技術人員,所以在與企業溝通等方面不大擅長,而且白帽子提交漏洞挖洞,其實在法律上是屬於違法行為,因為法律明確的做過規定,所以這種所謂的"安全測試"、"挖洞"都是未授權的違法行為,那麼是否就應該被抓呢?我覺得趙武的觀點挺對的,像我之前也參加過《中國互聯網協會漏洞信息披露和處置自律公約》細節的確認,其實從國家角度默認這些平台的存在,默認漏洞提交行為,但是又不希望白帽子提交漏洞或者說平台公開漏洞的時候進行誇大等,造成社會恐慌,其實國家或者相關單位來說,是需要這一批有能力的人,但是又不希望是不可控的,是持一種觀望的態度,但是國家或者相關單位又不可能直接對話白帽子;而相關漏洞平台的出現,我想就是基於以上的兩點而出現,一個是白帽子與廠商之間的溝通,另外個就是與相關單位的溝通,就我覺得,漏洞平台確實就是他們自己標榜的橋樑的作用。

整體來說,這三者,其實原本的目的是希望達到一個共贏的目的,白帽子幫廠商發現安全問題,得到認可,廠商通過白帽子解決了安全問題,避免業務損失,而漏洞平台則基於兩者中間,被兩者所依賴,這是一個嘗試、妥協、協調的過程和結果;但這種關係其實挺脆弱的,就像這次的事件,一旦廠商認為你傷害了他的利益,翻臉就把你抓起來。

然後,從烏雲出來到現在,就現在看來,確實,白帽子的群體有些人變的膨脹了,忘了初心了,比如有的白帽子會認為廠商不給禮物不應該,會存在這樣的誤解,但實際上大家有沒有想過,廠商給白帽子獎品等,是鼓勵,但不是必須,這就跟某個人對你很好,當他哪天對你一般的時候,你就會覺得不應該,責怪他,殊不知,他對你好只是因為他人好,對你好不是他的義務,不是必要條件,只是他希望跟你保持好的關係。

之前《非法侵入網站,網路炫技獲刑》事件的時候,我公眾號也寫過一篇文章,叫做《白帽子,你得學會保護自己》(本文中提到的相關文章見文章尾部),當時有同學問我這樣一個問題:

"講道理說,跑個注入,不動文件點到為止提交到某雲平台應該沒事吧?"

其實從這樣一個問題就能看出一些問題,很明顯的,提問的人認為這樣的一種方式是合理合法的。。。我當時的答案是:

都有風險其實,理論上測試漏洞,出於好心,對方不追究是沒事,對方如果認真,也可以算...因為沒有授權,已經是非法入侵了...這種情況,追究起來,某雲平台根本保護不了白帽子,對於漏洞平台來說,一旦廠商追究責任,假如白帽子在平台公開了廠商的相關隱私信息,那麼對於漏洞平台來說,最多被追究公開企業隱私信息的民事責任,而對於白帽子來說,則就是完全的刑事責任了。前者最多罰錢之類的,而後者則就嚴重了。

其實之前有專門就平台的法律問題諮詢過律師,當時就有提到烏雲,律師跟我說的情況大概就是,白帽子提交漏洞到漏洞平台,如果廠商要追究責任,主要責任就在白帽子,而漏洞平台最多算是民事責任,算是泄露廠商商業或者隱私數據,而白帽子則屬於非法入侵,是刑事責任。

這次大家會這麼大反應,除了不爽世紀佳緣的做法,我覺得有一部分原因在於"這次事件里的人做的事,就是大家平時做的事",感同身受,會不會下一次就是我自己的?

其實就事件里提到的數據量,如果是一個真心想拖庫、想讀數據的人或者搞黑產的人,是不可能只讀這麼一點點的,而且確實 Sqlmap 存在著很多無效的請求。

所以在我看來,在這次的事件里,如果白帽子如他父親的所說的那樣,沒其他隱情,那就真的可憐了,因為不管什麼原因導致,其實在他的意識里,認為用 Sqlmap 跑幾條測試數據,只是為了證明漏洞,而不是利用,數據也沒有保存,然後提交到漏洞平台,在他看來,這是一個很正常、很普通的漏洞反饋,應該是得到認可的一件事,結果沒想到,就被抓了。所以白帽子也需要有法律意識,明白什麼可為什麼不可為,學會保護自己,我願意相信大部分白帽子是真的做安全測試,但是在你沒有相關法律意識的情況下,如果不小心"越界"了,就會給自己帶來了風險。

除了白帽子自身的一些問題,這裡需要提到一個平台引導的問題,這個事跟平台有沒有關係?我覺得是脫離不開的,其實我覺得平台也忘了自己的初心,經常也看到各種漏洞事件的各種PR,殊不知這樣做帶來反效果,讓廠商更不信任這個群體、信任這個平台,因為PR 給企業帶去了損失,這就跟某個男的有性病,醫生幫他發現了問題,然後本來應該就是想辦法解決問題,但是醫院為了讓病人重視這個病,對外宣傳說這個人得了性病,人家怎麼會高興?下次還可能信任你這個醫院嗎?對這個醫生群體肯定也會更加懷疑。其實平台去宣傳漏洞的初衷也能理解,是希望廠商重視漏洞,因為有些廠商確實說不太重視,但是有時候是廠商本身已經重視漏洞了,結果還拿出去宣傳一波,我覺得就違反了平台的初衷了。

而為什麼白帽子會出現起先說的膨脹、認為理所應該等等一系列問題?我覺得跟平台分不開關係,平台讓白帽子知道了提交漏洞有好處,能得到認可,他們會宣傳讓你出名,卻從來不去告訴白帽子不能越界,這是違法的,對白帽子的行為沒有一個規範和告誡,於是讓白帽子自然而然的認為自己做的一切都是被認可的,包括這些違法的可能惹怒廠商的行為,也沒意識到可能帶來問題,反正我提交到平台了,報告了漏洞了。所以平台引導不到位,由此可見一般,不過漏洞平台的出現本身是正向的意義的,不能因為這些問題而否定。

再來說說廠商,世紀佳緣這次真的是傷透了所有白帽子的心!雖然法律上講是對的,但從客觀角度,有N種更好的方式可以處理這次的事,結果世紀佳緣選擇了把白帽子抓起來這種最壞的方式!

提幾個問題,大家思考下

本身廠商入駐烏雲、開設SRC 是否可以認為是一種非法律上的一定程度的授權白帽子去做測試的?

廠商確認了漏洞並感謝了烏雲和白帽子,是否一定程度上說明了廠商是認可白帽子的這次測試的?

群里有人回答說是"這個算是一套潛規則吧,合理但不完全合法",在我看來確實可以算是這樣,是沒有法律上的效應,但漏洞平台出現,白帽子提交漏洞,廠商確認修復漏洞等,這麼久以來,這應該是形成了三者之間的潛規則。對於白帽子來說,是希望這個潛規則能合法化,而這次,世紀佳緣卻輕而易舉的打破這潛規則,所以引起了這麼大的波瀾。

我估計就如知乎上有人回答說的,這次廠商那邊做出抓人決策的屬於不懂安全或者不怎麼重視安全的相關領導或者法務之類的,因為其實白帽子中的一部分人也是這些公司里的安全人員,就比如這次的被抓的,他是一家公司的安全運維主管,所以應該是能理解白帽子提交漏洞的行為。

其實說來說去,我覺得在於溝通和包容的問題,大家都互相包容一點,其實白帽子提交漏洞這件事是個好事,多一些包容和理解,多一些溝通,平台再多一些正確的引導,就不會有這樣的問題出現了。

對於廠商、平台、白帽子都得想想這些問題,如何讓這個本來是正向的事情變得更好,避免這些問題。

大概是這樣,最後還提到一個問題:

還有人說現在的法律條款有些不合時宜了,比如您剛剛說的用sqlmap很容易就有無效查詢,這些方面有改進的地方嗎

我覺得換個角度思考下:

假如說法律真的改了,Sqlmap 這種查詢是合法的,那麼,怎麼區分那種真的拖庫呢?漏洞檢測技術最常見的手段就是 Fuzzing,模糊測試,通過 Payload 一個個去打,這些 Payload 就大部分情況下跟攻擊代碼是沒啥區別的,比如說測試SQL注入,都得資料庫查詢,只是可能查的表不一樣,利用的時候獲取的是敏感數據,安全檢測的時候查詢的是比如 Mysql 的版本信息這些數據,掃描器可以說是安全工具,你如果真把他叫做黑客工具,也是可以的,因為本質沒什麼區別,所以我覺得法律修改這樣的觀點,先不說合不合理,有點不切實際!

最後,借用教主的話,『每一朵烏雲都有一道金邊,每一頂白帽都有一道黑邊。希望「白帽子」能學習一些法律,保護好自己;希望企業能想明白道理,知道自己真正的敵人是誰』。我再加上一句,希望平台能明白自己的初心,做更好更正確的引導。

然後也借用趙武的話,別怪白帽,別怪企業技術團隊。大家多一些包容,把誤會一步一步的消除。

多一些溝通與包容,少一些誤會!

大家可以看看不同人的不同觀點,自己去辯證理性的看看整個事件,而不要被大部分人的思想所左右,多一些思考!

相關文章鏈接:

1、事件涉及漏洞《世紀佳緣某處SQL注入涉及千萬會員信息》 t.cn/R5W6dz3

2、知乎提問 《如何看待白帽子在烏雲網提交世紀佳緣網漏洞後被抓?》t.cn/R5jozlH

3、教主的觀點《關於「白帽子」的法律和道理》 t.cn/R5lRYob

4、趙武觀點 《白帽子提交漏洞被抓,他們該如何衡量與平台、廠商之間的關係?》 t.cn/R58PW5V

5、雲舒觀點《世紀佳緣事件以及其他》 t.cn/R58PlrT

6、我之前的文章《白帽子,你得學會保護自己》 t.cn/R58PTxH

題圖來自網路

----------------

優主張

關注信息安全,產品運營以及各種好玩的東西

分享一些個人的體驗與心得,一些想法,一些安全的科普
推薦閱讀:

醉酒駕車致人死亡為什麼通常比「過失致人死亡罪」懲罰要輕?
賣頭髮和賣腎有什麼區別?賣頭髮不會侵犯身體權嗎?
酒後駕車撞死人,當場自首和隔日自首哪種情況罪更重一些?為什麼?
中國的公檢法系統,有無「辯訴交易」的機制?
如何看待「真正的惡魔,正是無限膨脹的民意,堅信自己是善人,對落入陰溝的骯髒野狗進行群毆的善良的市民」?

TAG:世纪佳缘 | 白帽黑客WhiteHat | 法律 |