有白帽子黑客说,乌云网是“中国最大,最活跃的在线同性交友网站”,深表赞同。
9月12日,乌云线下聚会在北京知春路举办,我穿了件FBI的黑色T恤去检查有无异性出现,Female Body Inspector(FBI)的职责所在嘛。发现有三位妹子活跃在会场,乌云的肉肉,新浪的晶晶,还有安全宝的晶晶妹,照片可以在Freebuf和安全牛两家媒体写的报道中看到,本文就不重复张贴了。
会议的主题是“攻防之城”,白帽子黑客是攻,企业是防,这是乌云网站上不同的两类人。业界的常规看法是,白帽子是免费帮企业测试漏洞,有技术和热情的红领巾;企业是不重视安全,不能及时修复漏洞,傲慢的一个符号。所以每次一有漏洞被公开披露,白帽子得到赞扬,企业则被嘲笑。这种关系很有意思,在于双方的根本利益不同。
我是哪一方的呢?我以前是有动手能力的,2001年做过白帽。当时开发入侵检测系统IDS的特征库,意外发现Snort处理一种异常数据包时会停止程序,激动万分,在BugTraq发表了“Snort拒绝服务漏洞”,有一外国小伙看到后,包装成一篇文章发布,被Snort的创始人Martin Roesch指责为“两个小孩为了名声,炒作自己”。不知道当时Rain Forrest Puppy写的漏洞披露策略发布了没有,反正我没有先联系Snort的开发者,而是直接扔到了社区,当时BugTraq上这样的曝光很多。
后来去某全球500强做内部安全,在2012年管理过乌云上的厂商帐号,即“厂商回复”的内容是我写的。这次乌云峰会见到了当时在网上打过交道的几位白帽子真人,不打不相识,令我回忆起当时的一些漏洞的有趣沟通过程。下面摘7段,以飨读者。
案例1:应用配置错误
白帽子的修复方案:大家都不懂。
厂商回复:Thanks. But how to resolve this issue?
跟贴评论a:他或她肯定是公关部门的。
跟贴评论b:经典的厂商回复,思密达了……
案例2:XSS没完全修复
白帽子的修复方案:给点力啊
厂商回复:谢谢提醒。但是基于您给出的修复方案:“给点力啊”,这4个字无法给我们的应用开发人员提供有效的指导,有点不太给力,只好给你3分了(比上次少1分),希望继续给力!
案例3:最后一个沦陷站点
厂商回复:1.攻击步骤能不能别这么详细,你这是教唆…… 2.修复方案这次写的很详细,赞一下……
跟贴评论a:现在的这些厂商真j8奇葩。你少写两句吧,他说这洞没价值,看不到危害,你写详细点吧,他又说你教唆。
跟贴评论b:最后一次 不信爱情了
案例4:信息泄露,中秋了能送点月饼不?
厂商回复:你是要一个月饼还是要一份工作?风物宜放长眼量~~~
跟贴评论a:月饼、工作、妹纸能打包一起送不?
跟贴评论b:简直就是与虎谋皮;跟周扒皮谈工资……
案例5:工具扫描出的盲注
厂商回复:过分沉迷工具是否会降低智商
跟贴评论a:厂商太可爱了,想和她去游泳的冲动….。
跟贴评论b:又一奇葩厂商
案例6:用户敏感信息泄露(注:国庆节前3天)
厂商回复:请LZ看看我给领导写的报告怎么样:“对此漏洞的处理,体现了我们从严安全的根本要求和IT治理必须安全的理念,进一步表明了我们零容忍漏洞的鲜明立场和坚定决心。我们已经充分认识到反黑斗争的长期性、复杂性、艰巨性,把漏洞管理放在更加突出的位置,与黑客现象进行坚决斗争,在公司网络内决不允许入侵分子有藏身之地。各业务部门要以此漏洞案例为反面教材,加强对一线经理的教育、管理和监督,严明公司的安全纪律,改进安全作风,加快建立健全安全开发和运维管理体系,不断增强自我净化、自我完善、自我革新、自我提高能力,始终保持公司业务的先进性和安全性。”
另外,国庆假期中,没事的话,多撸管向日本视频开炮,搞我们的,不是中国人。
跟贴评论a:我知道想说的是,你们被搞怕了。O(∩_∩)O哈哈~
跟贴评论b:这回复。。。范文。。。百度搜的吧
跟贴评论c:厂商回复真的很XX~请允许我把敏感字用XX代替,自己联想去吧。 什么叫没事不要撸自己人,我请问下,国内的白帽子是给自己人发现漏洞还是给日本人发现漏洞?我们不是在入侵你们,是在帮你们发现问题,请尊重帮你们发现漏洞的人,不要用这样的言论来这里发脾气。 也顺便请你分清楚什么是白帽,如果每个白帽不是在发现漏洞,而是在攻击,我相信,你们…每天忙着修漏洞吧。。 其他的话懒得多说,自己领悟吧,顺便祝该技术人员中秋+国庆快乐,记得查查字典,把白帽的概念熟悉下。Thanks~~~ 以上言论跟乌云无关,是我个人的意见~~~~~ 说完了~~~~
跟贴评论d:厂商回复碉堡了。。思密达。 国内的漏洞多的要死。。 提交个漏洞还被说了。。
跟贴评论e:反正前面的话我没看懂,我就是看见最后一句来气~~~~
案例7:任意文件下载(注:国庆节前2天)
厂商回复:今年过节不送分,送分最多送8分
跟贴评论:回复碉堡了!!!
上面7个案例,要的是娱乐精神。作为被动加入的乌云平台的厂商,对平台的政策是被动接受的,所以对于不请自来挖漏洞的白帽子,一方面表示感谢,另一方面用“奇葩”回复以加强互动。协调程序员去修复漏洞的事情自然做了,把漏洞修复肯定是企业的目标。
由于国内法律比较宽松,有的白帽子在我们服务器上建立一个管理员帐号取名为自己的乌云ID,我打个电话过去确认一下是不是本人干的,见面的时候敬仰一下他的大胆就完事了。对于有可能造成百万美元损失的漏洞曝光事件,协调公共关系和销售部门,找到白帽子的领导把他骂一顿,同时调用市场部门的舆情系统加强媒体方面的监控。这两个都是真实的案例,毕竟我也是搞技术的,处理策略不会影响白帽子的安全成长。
说到建立帐号的白帽子,几年前在QQ群里就发现他很好学,今年8月他被公司派到美国参加黑帽大会,可见已然是骨干员工。
美国的法律环境和中国不同,这次黑帽大会的姊妹会议Defcon有个议题叫做“How to Disclose an Exploit Without Getting in Trouble”,即“如何披露漏洞的利用而不被找麻烦”。演讲者是一个安全研究者和一个律师。安全研究者是渗透测试工具Metasploit的,手里的0day不少。律师的出现,是为了提升白帽子们自身的安全意识,对如何保护人身安全提了一些建议。
我重新看了一遍演讲视频,记录了如下要点,分享出来供白帽子参考:
1、你是一个安全研究者,首先要确保人身安全,才能继续从事你喜欢的安全研究工作。
2、风险主要来两个方面,第一是研究行为,第二是披露漏洞。如果破解了媒体或软件的版权保护,或开发了一个远程木马,很可能惹上麻烦,比如被愤怒的厂商起诉,或者被政府逮捕。如果你违反了美国的法案Computer Fraud and Abuse Act(CFAA),即访问了“没有授权”的信息,或者超过了“允许的权限”,都有风险。现场举了若干实例,列举了一些黑客是如何违法的,主要是获取了大量个人隐私信息。
3、避免违法的风险消减措施:在研究方面,限制在只搞出PoC代码。在披露方面,要专业化,不要主动索取任何有价值的东西,比如钱、认可、工作机会,因为有的厂商会认为这是一种威胁。不要把漏洞泄露给可能去非法利用的人或组织。如果在自己的个人网站披露,关闭评论功能,防止坏人跟贴讨论如何非法使用你的漏洞,从而与犯罪行为牵上瓜葛。
目前我在某不仅仅是世界500强,遗憾的是乌云上的厂商帐号不是我维护,不能线上与白帽子互动了。还好现在有了乌云峰会这个线下交友的方式,面对面的交流可以最大限度的避免误解,所谓化干戈为玉帛,相逢一笑泯恩仇。还能挖人的好处我就不提了,剑心不喜欢。
最后引用Katie Moussouris上周在伦敦44con安全会议上说过的一句话结束本文:“Hackers gonna hack, but vendors gonna vend”。