从甲方眼里看“世纪佳缘”与白帽子之争

围观次数:431 views
89149e82d158ccbf81be01e119d8bc3eb0354131
2016年6月,北京夏日炎炎骄阳似火,中国网络安全大会和WOT2016企业安全大会正在京如火如荼之际,“世纪佳缘”的事件也在网上快速发酵,引来圈内外无数的观点和口水之争。之前已有关于这个话题的无数文章,有支持白帽子无辜的,有说厂商不讲道义的,有说平台失职的,各方隔空喊话好不热闹。不过迄今为止貌似甲方的声音甚是微弱,本文就想从甲方的角度来谈谈如何看待这个问题,也希望能够让大家换位思考一下。

一、你是谁?

当一起安全事件出现时,一个负责任的甲方安全团队的心路历程大概是这样的:

1.卧槽,又出漏洞了。
2.尼玛,谁爆的,最坏的后果是什么。
3.怎么快速止损和修复。
4.以后怎么预防。
5.这事出了,对公司品牌有什么影响,对公司的安全形象有什么影响。

请大家注意第2条,这条和今天的话题关联很大,不同的漏洞提报者,对甲方安全团队造成的压力是全然不同的:

如果漏洞提报者是一个熟悉的白帽子、或者是圈内的朋友,一起在群里扯过淡甚至是一起喝过酒吹过牛,那么悬起的心瞬间可以放下一半,后面第3、第4可以慢慢来,然后跟PR讨论下第5点就够了。

如果漏洞提报者完全不认识,甚至是一个完全陌生的ID,那么估计甲方安全团队悬起来的心又要往上再悬一悬了。

恐惧来源于未知,当面对一个不知身在何处、姓什名什、有何意图的漏洞提交者时,恐惧就悠然而生了。

二、为了谁?

在接到安全漏洞以后,甲方的安全团队会迅速的去评估漏洞的影响范围。结果在评估的过程中,发现已有有XXXX条数据泄露了,这里泄露的可能是用户的数据、可能是商业秘密、可能是各种甲方不想泄露的数据。

这种情况下,作为一个负责任的甲方安全团队会怎么办?如果是熟悉的白帽子,可能会打个电话过去笑骂一声,然后让把数据删了了事。但如果是陌生的白帽子,甲方安全团队可能会立刻担心起来。

毕竟,保护用户的数据、保护公司的商业秘密是甲方安全团队存在的唯一理由。如果出现数据丢失,而没有及时预警,一旦日后这些数据真的被利用产生严重后果,安全团队小命休矣~

三、简单谈下我对这次事件原因的看法
1
信任感缺失

真正的“白帽子”和甲方“安全团队”原本应该是站在同一战壕里的战友。安全团队为白帽子提供平台和机会,白帽子为安全团队补足能力和视野的短板。

但由于种种“历史原因”和“客观因素”,很多白帽子的警惕性或者说“不安全感”很高,对于自己的信息讳莫如深。想让白帽子能够真正的走到阳光下来,难度非常大。除了个别的白帽子外,大部分白帽子都是躲在黑暗的角落里,只看到一个个的ID在纷飞。这就给很多“黑帽子”冒充“白帽子”提供了机会。

“白帽子”在法律上是没有明确的身份定义的,而且在有些甲方,厂商希望白帽子能够实名登记却被不屑的拒绝。在此情况下,让甲方去判断一个侵入自己系统的人是白帽子还是黑帽子,就只能“仁者见仁智者见智”了,误判也就在所难免。而诸如白帽子被抓之类的新闻被一次次爆出,反过来又进一步增加了“白帽子”的不安全感。事情在不断的恶性循环。

军事上两国为了擦枪走火尚且需要个军事热线,甲方和白帽子之间的信息不通畅导致了现在的两军对垒。

2
黑帽子的浑水摸鱼

如果没有“黑帽子”,就不会有甲方的安全投入,所以黑帽子和甲方的安全团队也是一个注定要相伴终老的“伴侣”。

甲方的安全团队要时时刻刻防备着“黑帽子”这一威胁,但可怕的是,白帽子和黑帽子,除了动机上的差异外,就没有任何区别。

如此以来,为了防范“黑帽子”在漏洞举报的过程中“社工”一把,有些甲方的安全团队会选择宁可错杀不可放过的的原则;而很多法律对于计算机系统侵入行为认定为违法,某种意义上来说也是针对黑帽子而不是白帽子。这一情况进一步的增加了白帽子的不安全感。

3
第三方平台纵容

近年来,市场上许多的漏洞审核机制也成为激化矛盾的一个主要因素。在很多平台上,漏洞是要评级的。白帽子想要获得更高的rank、更大的知名度和更多的奖励,就要想法设法证明自己的漏洞很严重,这其中就包括用拖出的数据来证明。然而很多漏洞平台却没有尽到告知白帽子哪些行为是不能被接受的,管理缺位导致很多年轻的白帽子就前赴后继的走进了灰色地带。

这类问题最集中的体现在了一些的第三方商业漏洞平台上。在商言商,从本质上讲,漏洞越多、越严重,平台就有越多的资本和甲方谈生意。所以,第三方平台不会去刻意的约束、规范白帽子的行为。相反,鼓励白帽子们“大胆的往前走”才是符合平台的利益的。

最后,希望这次事件不会伤害到“白帽子”群体,也希望本次事件能够成为一次契机,正式把漏洞举报这一网络安全领域“见义勇为”的行为阳光化、合理化。
本文安在和个人公众号首发,关注信息安全治理实务,请微信关注

信息安全治理最基础的7件事 - 第8张 | Sec-UN 安全圈

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助