道哥的黑板报-黑客来了怎么办

今天58同城彻底火了,继后台被拿下后,今天又被爆出好几个内部系统的root权限都被拿下了。姚劲波在微博上发消息:

 

“见识了,各位大佬差不多收了吧,我们兄弟一晚上没睡觉,对健康不利啊。 @慕岩百合网 那据说没有漏洞:)”

 

总的来说,姚劲波的这句话还是非常得体的。在这个时候,事态已经有点失控了,所以先博取一下同情很有必要。

 

关于应急响应之类的技术话题我就不多说了,相信58同城自然会拿出一个稳妥的解决方案。我聊一下企业在面对黑客事件时应该采取的心态吧。

 

首先我很赞同@yuange说的,要把“入侵者”和“研究者”区分开,其实也就是区分开“黑帽子”和“白帽子”。

 

入侵者会给你的企业带来真正的损失,比如把核心数据给偷走了,或者是篡改页面之类。面对入侵者,不能姑息,要拿起法律武器捍卫自己的权利。在刑法修正案中,第285条明确规定了,实施计算机入侵,或者提供工具的,可以判3年以上,7年以下的监禁。

 

而面对“白帽子”,则应该采取更加宽容的态度。白帽子不会给你的企业带来实质上的损失,他们不会偷你的数据,不会改你的页面,他们会善意的提醒你漏洞在什么地方。

 

白帽子唯一要求的东西,就是对他们的尊重。这种尊重主要体现在精神上,和物质上。

 

在以前,所有的厂商都是不提供现金奖励给报告漏洞的白帽子,所以白帽子们免费报漏洞,但拿不到任何回报。白帽子们唯一想要的东西,就是:

 

厂商能够出一份公告,在公告中说明自己的漏洞,并感谢白帽子的“ID”。

 

是的,只是ID,连真实姓名都不用,就这么简单。

 

但这件简单的事情曾经掀起了太多腥风血雨。大多数企业都会认为“你凭什么来找我的漏洞?”、“你黑掉我了还想要我奖励你?”、“你是来敲诈我的么?”、“这是负面新闻,要否认和掩盖!”。

 

大多数企业都会拒绝承认这些漏洞,或者是偷偷的修补掉,甚至还有要追究白帽子们法律责任的。这些行为,让白帽子们觉得自己的劳动成果没有得到应有的尊重,最终的后果,就是越来越少人愿意直接向厂商报告漏洞。

 

那么这些漏洞会流向哪里呢?一部分自然会流向地下黑客,以及黑色产业链。他们会利用这些漏洞来攻击网站、用户,攫取利益;还有一部分卖给第三方安全公司了。比如国外的ZDI就是专业收购漏洞的,一是用在产品里,二是提供给美国政府。最后一个流向是白帽子们私下里交流,自娱自乐。

 

所以知道为什么说安全行业是个屌丝行业了吧,这个行业里最好的专家想要报一个漏洞给厂商,但大多数时候换来的都是白眼,态度好一点的会稍微感谢下,但也难有现金奖励。要知道一个0day在黑市的流通价格在几万到几十万不等,最后有节操的人就越来越少了。

 

所以在2009的Cansecwest大会上,两位著名安全专家提出了“No More Free Bugs!”的口号,号召不再有免费的午餐。

 

企业的愚蠢做法是会付出代价的,特别是在激怒了整个安全社区以后。

 

在2006年底的时候,一位叫cocoruder的安全研究员分析了淘宝旺旺的控件的漏洞,并通知了淘宝。之后淘宝偷偷把漏洞补了,但没有发公告。有了这个教训,1个月后,cocoruder再次发现了支付宝控件的漏洞,这次他直接披露了漏洞相关的细节。

 

支付宝方面采取的应对措施是修补漏洞,不发公告,对于媒体的质疑玩文字游戏,然后找公关和谐掉所有负面新闻。

 

这个举动激怒了整个安全社区,所有的安全专家都开始一致指责阿里的行为,并发文申讨。这件事情的直接后果就是,阿里在安全社区的名声已经臭了,没人再愿意报漏洞给阿里。当时愤青和小黑客没这么多,信息流通也没现在这么快,否则难保阿里不会成为另一个58同城。

 

直到2008年以支付宝的名义召开“精武门安全峰会”,广邀业内专家来一起探讨安全问题,才慢慢的和安全社区修复了关系。

 

另一个例子是来自微软。微软自2003年冲击波蠕虫以来,在安全上吃尽了苦头,所以对安全的态度也是所有公司里最好的。

 

冲击波蠕虫给全球造成了数十亿美元的损失,感染了全球上千万台主机。蠕虫爆发后,盖茨亲自起草了一份“可信计算备忘录”,并号召全公司所有工程师停下手上的活,来参加安全培训,并review自己的代码。

 

微软自此后,每逢大的安全会议都要赞助,同时还自己举办了一个Bluehat大会(蓝帽大会),邀请全球最好的安全专家,来分享他们的经验和心得。

 

微软的做法取得了很大的成功。在此之后推出的SDL(安全开发流程)几乎成为了一种行业标准,全球所有一流的软件开发公司都在学习微软的经验,写出安全的软件。盖茨本人也一再强调安全的重要性,甚至希望能够在大学里就开始培养学生如何写出安全的代码。在此之前,微软每次修复一个安全漏洞的代价在数百万美金。

 

那么为何要披露漏洞呢?捂着偷偷补掉不是挺好的吗?

 

在微软时代,不披露漏洞意味着漠视客户的安全。如果不披露漏洞细节,很多客户把软件买回去后,可能根本意识不到安全补丁的重要性,而选择不升级,这就把客户置于危险之中。作为一个负责任的企业,必须要对客户的安全负责。而漠视这一点的,必将付出代价。微软在冲击波蠕虫后被好好的上了一课,客户找上门的时候根本就无法交代。这些客户中,也包括了美国政府。

 

在互联网时代,安全事件的性质有些类似。CSDN等大型社区、网站的用户密码数据库泄露后,在几个月内,几乎整个中国互联网的大型公司都遭受到了一次密码扫描的洗礼。当时腾讯的兄弟发消息来问,你们(阿里)被扫没?我说,是啊!(例如)如果你在人人网的账户和CSDN的账户、密码是同一个,那么你在人人网的账户可能也被黑客掌握了。

 

这么多年过去了,白帽子和厂商之间的关系并没有得到本质的改善。虽然有一些安全公司在共同努力,但相对于整个互联网来说声音仍然太小。

 

这次58同城的事件,其实可以成为一个契机。如果是有担当、有节操的公司,就应该像微软一样,从自身开始改变,从CEO的态度开始改变,成为一家让安全社区尊敬的公司,那么,整个安全社区,自然就也会有所回报。

 

最后,本文欢迎转载,你们给我使劲的转,转的整个互联网都是,转的那些“互联网大佬们”都能看到,这就是真正在造福安全行业,造福互联网了。

 

不过转载请注明出处哦!

 

—— 我是万恶的分割线 ——

 

受58同城事件影响,整个黑客圈的亢奋心情都被点燃了,这不,又来了一波猛的。

 

前两天CCTV-10的《走进科学》栏目播放了一期“黑客来了”的专题,乍一看是某数字公司的广告,再加外交部对美国的一次回应。

 

但今天居然有好事者仔细研究了这个视频,然后把里面某数字公司的“面具黑客”给人肉出来了,其精彩程度不亚于上次有人人肉出来泷泽萝拉拍视频的那个温泉。

 

想了解的朋友可以点击“阅读原文”查看。

 

======

本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay。转载请注明出处。


1 条评论

  1. 开始奔三十说道:

    挺有意思,喜欢 呵呵 有时间来看看

发表评论

(必填)

(必填)

(以便回访)