2017年6月1日21:21分
某監獄里,對話如下:
犯人A:你們都是怎么來的?
犯人B:我是XX漏洞平臺挖漏洞不小心進來的。
犯人C:我是XX平臺路人甲,輸錯命令了rm -rf / (批量刪除)
犯人D:我是某測評中心的忘了要授權了……
犯人E:我。。。就是那個在群里成天陪你們吹牛逼斗圖的HELLEN啊!
犯人F:這下齊了,到底誰黑的我網站我不打死你,我是那個管理員站長。
……………………
黑客技術哪家強?中國監獄是天堂 !
沒錯,以上只是個段子。但是在6月1日那天,這條段子在安全圈的微信群里傳得很廣,因為那天《網絡安全法》正式實施。
雖然安全圈里不少人都挺有自嘲精神的,但這些自黑的段子,明顯也透露出幾絲擔憂,像是一段對白:
嘿,老鐵,知道你沒毛病,也沒有壞心思,可好心辦壞事的情況也不是沒發生過。要是一不留神就犯了法進去了,那就太冤了。多注意點吧!
這種擔憂并不是沒依據的。提兩個真事。
一個是去年鬧得沸沸揚揚的“袁煒事件”。
2015年底,烏云漏洞平臺的白帽子袁煒提交了一個世紀佳緣的安全漏洞,世紀佳緣確認并修補了這個漏洞,同時在烏云網上對白帽子表示致謝。但事后他們統計發現,有900多條有效數據被攻擊者獲取。
出于對信息安全的擔憂,世紀佳緣選擇了報警。警方調查后才發現只有袁煒一個人涉嫌此案。最后袁煒被檢察院公訴,2016年4月被批準逮捕。
事件一出,整個安全圈都炸開鍋了。隨之而來的是各方對于白帽子行為邊界的深刻討論。
第二件事就發生在最近,不過沒有上一個那么“刺激”。
6月1日 ,某知名互聯網公司的安全應急響應中心(以下簡稱“SRC”) 發布了一篇公告,指出其平臺上有白帽子不遵守平臺漏洞測試原則,在未經他們授權的情況下擅自公開披露了一例漏洞細節。最后的結果是取消了該白帽子提交該漏洞的獎勵。
公告一出,也是眾說紛紜。有人覺得專挑《網絡安全法》實施當天發公告,言辭還挺激烈,這是示威啊!也有人覺得這沒毛病,就得按照法律和規則來,凡事講道理嘛;
當事人白帽子也在其博客里指出,該SRC在發出公告之前,曾經在沒通知的情況下,凍結了他賬戶下的所有漏洞獎勵積分(包括之前挖漏洞的獎勵),導致他無法兌換獎品。 雖然錢是小,但是讓人很不爽啊!(還發了公告)
▲ 圖片來自當事人白帽子的博文
這兩件事其實是企業和白帽子的矛盾關系在極端場景下的激活和爆發。什么矛盾呢?“又愛又怕”的矛盾。
企業對白帽子是又愛又怕的。
他們愛白帽子,因為后者能為幫他們發現不少安全漏洞,有時還給出修復方案,維護了他們的業務穩定;但他們又怕白帽子“放蕩不羈愛自由”,懶得看法律條文和平臺,按自己的行事邏輯辦事。也怕白帽子因為對法律的不了解做出一些有爭議的事。還怕有黑產分子假借白帽子的名義,傷了雙方的感情,還敗壞了白帽子的名聲。
白帽子對企業也是又愛又怕。
他們喜歡挖漏洞帶來的回饋,不僅包括物質上的禮物、獎金,更有精神上的鼓勵——自己的ID出現在感謝名單上的自豪、組隊挖漏洞帶來的好基友和技術討論氛圍;同時他們也怕自己一不小心就背了鍋,對方發來感謝并逮捕了自己,也怕自己的漏洞得不到認可。
好,那有沒有辦法讓這種微妙的關系達到某種平衡,形成一種默契呢?將“怕”的那一部分盡量降低,減少大家的顧慮和畏懼呢?
其實各家企業的SRC和漏洞平臺都在努力尋找這個答案。最終,他們選了一個還不錯的解決方案:規則。
于是他們推出“白帽子協議”。
6月1日那天,超過19家企業的SRC組成了“SRC聯盟”共同上線了“白帽子協議。
白帽子協議是什么?按照我的理解,白帽子協議是一個企業和白帽子之間的約定。
哪些事能干,哪些不能干,哪些需要提前打個招呼,咱提前都先交代好,簽個協議點個“同意”,雙方達成一致覺得沒問題了,然后就可以繼續開心地挖漏洞、刷榜和拿獎勵了。
之后的相關情況都有限按照之前約定好的來,這樣大家都服氣。沒什么爭執,也不容易出問題。
▲ 京東 JSRC 的白帽子協議頁面截圖
畫外音:擦,這么多規矩,條條框框,不是讓我們白帽子挖漏洞捆手捆腳了嗎?
還真不是。我做個類比:
《網絡安全法》制定之后,一開始也有不少人擔心,覺得這會讓安全從業者的活動空間越來越小,捆手捆腳。可后來人們發現,誒?長遠看來,制定了規則,明確了邊界反而讓人更能安心來做事,知道底線和邊界在哪,反倒能在邊界之內放開手腳去干,不必畏首畏尾。
同樣,漏洞平臺和企業SRC也為白帽子制定“白帽子協議”,確定各自平臺的規則和邊界。這讓白帽子也會心里有底,知道自己的權利和義務,可以在規則之下放開手腳,而不會迷迷糊糊做事,莫名其妙就出現了分歧和誤會。
當然,如果白帽子不同意某個平臺的協議,雙方沒有達成一致,那就干脆不要開始,這家不行就換別家挖嘛,至少不會出現撕逼和誤會。
提前交代好權利義務和利害關系,對雙方都是一種保護。
畫外音 :SRC 非要同意協議才讓挖漏洞,他們不怕這樣弄得白帽子都“不敢”或者“不愿意”去幫他們挖漏洞了嗎?
我把這個問題問了此次”白帽子協議“主導者之一京東JSRC的老大李學慶,他的回答原話是這樣的:
這個問題我之前考慮過,也擔憂過,但是我覺得讓白帽子知道條款中的內容比擔心白帽子不來我們平臺挖漏洞更重要。
我不希望白帽子由于不知道條款中的內容,不知道網絡安全法的嚴肅性而不小心給他們自己帶來麻煩。
李學慶告訴雷鋒網,當他們把“白帽子協議”以及網絡安全普法的想法告訴陌陌等其他 SRC 的運營團隊時才發現,大家原來都想到一塊兒去了,各家 SRC 大多都有類似的想法。
一拍即合,最后居然有 19家 SRC 愿意一起做。此外還有其他SRC有類似的活動計劃,只是因為節奏不一致所以很遺憾地沒能一起來做。
宅客發現,前文提到的6月1日發公告“懟”了白帽子的那家SRC也在其中。(好吧其實就是網易 SRC ,不匿了)
從宅客的角度來看這個問題,無論是當事人白帽子在其博客公開把這件事的事前因后果說出來也好,網易 SRC 公開發布聲明也好。
與其私底下解決,最后相互猜忌懷疑,不如像他們這樣大大方方把事情擺在明面上來說。雖然這可能給人留下強勢的印象,但至少能讓其他白帽子知道他的原則和底線。
就像交朋友,脾氣沖,但心直口快的人,可能一開始給人留下“強勢”、“裝逼”、“暴脾氣”的印象,但這種人往往溝通交流更輕松直接,不會藏著掖著。
網易SRC作出公開發公告這件事也是有壓力的。一般來說,大廠公關的標準流程通常是大事化小。但他們這次選擇扮一次黑臉。選擇當沖出到當那個心直口快,敢把事情挑明了說的人。
或許他們知道這公告會讓一些白帽子不太舒服,甚至讓自己平臺的白帽子流失的。但也正如JSRC李學慶所說:
我覺得讓白帽子知道條款中的內容比擔心白帽子不來我們平臺挖漏洞更重要。
把事情擺在明面上說,忍痛挖掉個腳底的爛瘡,雖然一時劇烈疼痛,但也只有這樣才能最終痊愈。而不是讓它慢慢爛透。
JSRC 李學慶告訴雷鋒網(公眾號:雷鋒網),僅僅看京東的JSRC的數據,上線白帽子協議一天后,就有69個白帽子閱讀并同意了協議,到第三天的時候已經有超過100個白帽子閱讀并同意了協議。
顯然,越來越多的白帽子也意識到,規范起來,大家把事情講明,也并非什么壞事。說出來,總比不說要好。
和 JSRC 的李學慶交談的最后,他告訴雷鋒網,
我一直認為安全響應中心的初衷是為了企業與安全從業者共同打造一個良性的安全生態。
所以我更希望所有的安全響應中心能夠拿出更真誠的態度,聯合所有的資源為白帽子做些實事。當然我也更加希望白帽子兄弟們能夠不忘初衷,用自己的正道能力幫助企業彌補安全的不足。我堅信未來的中國安全將是領先的,健康的,受世界尊敬的。
也希望未來SRC和白帽子的關系能真的如此。
京公網安備 11010502049343號