今天58同城彻底火了,继后台被拿下后,今天又被爆出好几个内部系统的root权限都被拿下了。姚劲波在微博上发消息:
“见识了,各位大佬差不多收了吧,我们兄弟一晚上没睡觉,对健康不利啊。 @慕岩百合网 那据说没有漏洞:)”
总的来说,姚劲波的这句话还是非常得体的。在这个时候,事态已经有点失控了,所以先博取一下同情很有必要。
关于应急响应之类的技术话题我就不多说了,相信58同城自然会拿出一个稳妥的解决方案。我聊一下企业在面对黑客事件时应该采取的心态吧。
首先我很赞同@yuange说的,要把“入侵者”和“研究者”区分开,其实也就是区分开“黑帽子”和“白帽子”。
入侵者会给你的企业带来真正的损失,比如把核心数据给偷走了,或者是篡改页面之类。面对入侵者,不能姑息,要拿起法律武器捍卫自己的权利。在刑法修正案中,第285条明确规定了,实施计算机入侵,或者提供工具的,可以判3年以上,7年以下的监禁。
而面对“白帽子”,则应该采取更加宽容的态度。白帽子不会给你的企业带来实质上的损失,他们不会偷你的数据,不会改你的页面,他们会善意的提醒你漏洞在什么地方。
白帽子唯一要求的东西,就是对他们的尊重。这种尊重主要体现在精神上,和物质上。
在以前,所有的厂商都是不提供现金奖励给报告漏洞的白帽子,所以白帽子们免费报漏洞,但拿不到任何回报。白帽子们唯一想要的东西,就是:
厂商能够出一份公告,在公告中说明自己的漏洞,并感谢白帽子的“ID”。
是的,只是ID,连真实姓名都不用,就这么简单。
但这件简单的事情曾经掀起了太多腥风血雨。大多数企业都会认为“你凭什么来找我的漏洞?”、“你黑掉我了还想要我奖励你?”、“你是来敲诈我的么?”、“这是负面新闻,要否认和掩盖!”。
大多数企业都会拒绝承认这些漏洞,或者是偷偷的修补掉,甚至还有要追究白帽子们法律责任的。这些行为,让白帽子们觉得自己的劳动成果没有得到应有的尊重,最终的后果,就是越来越少人愿意直接向厂商报告漏洞。
那么这些漏洞会流向哪里呢?一部分自然会流向地下黑客,以及黑色产业链。他们会利用这些漏洞来攻击网站、用户,攫取利益;还有一部分卖给第三方安全公司了。比如国外的ZDI就是专业收购漏洞的,一是用在产品里,二是提供给美国政府。最后一个流向是白帽子们私下里交流,自娱自乐。
所以知道为什么说安全行业是个屌丝行业了吧,这个行业里最好的专家想要报一个漏洞给厂商,但大多数时候换来的都是白眼,态度好一点的会稍微感谢下,但也难有现金奖励。要知道一个0day在黑市的流通价格在几万到几十万不等,最后有节操的人就越来越少了。
所以在2009的Cansecwest大会上,两位著名安全专家提出了“No More Free Bugs!”的口号,号召不再有免费的午餐。
企业的愚蠢做法是会付出代价的,特别是在激怒了整个安全社区以后。
在2006年底的时候,一位叫cocoruder的安全研究员分析了淘宝旺旺的控件的漏洞,并通知了淘宝。之后淘宝偷偷把漏洞补了,但没有发公告。有了这个教训,1个月后,cocoruder再次发现了支付宝控件的漏洞,这次他直接披露了漏洞相关的细节。
支付宝方面采取的应对措施是修补漏洞,不发公告,对于媒体的质疑玩文字游戏,然后找公关和谐掉所有负面新闻。
这个举动激怒了整个安全社区,所有的安全专家都开始一致指责阿里的行为,并发文申讨。这件事情的直接后果就是,阿里在安全社区的名声已经臭了,没人再愿意报漏洞给阿里。当时愤青和小黑客没这么多,信息流通也没现在这么快,否则难保阿里不会成为另一个58同城。
直到2008年以支付宝的名义召开“精武门安全峰会”,广邀业内专家来一起探讨安全问题,才慢慢的和安全社区修复了关系。
另一个例子是来自微软。微软自2003年冲击波蠕虫以来,在安全上吃尽了苦头,所以对安全的态度也是所有公司里最好的。
冲击波蠕虫给全球造成了数十亿美元的损失,感染了全球上千万台主机。蠕虫爆发后,盖茨亲自起草了一份“可信计算备忘录”,并号召全公司所有工程师停下手上的活,来参加安全培训,并review自己的代码。
微软自此后,每逢大的安全会议都要赞助,同时还自己举办了一个Bluehat大会(蓝帽大会),邀请全球最好的安全专家,来分享他们的经验和心得。
微软的做法取得了很大的成功。在此之后推出的SDL(安全开发流程)几乎成为了一种行业标准,全球所有一流的软件开发公司都在学习微软的经验,写出安全的软件。盖茨本人也一再强调安全的重要性,甚至希望能够在大学里就开始培养学生如何写出安全的代码。在此之前,微软每次修复一个安全漏洞的代价在数百万美金。
那么为何要披露漏洞呢?捂着偷偷补掉不是挺好的吗?
在微软时代,不披露漏洞意味着漠视客户的安全。如果不披露漏洞细节,很多客户把软件买回去后,可能根本意识不到安全补丁的重要性,而选择不升级,这就把客户置于危险之中。作为一个负责任的企业,必须要对客户的安全负责。而漠视这一点的,必将付出代价。微软在冲击波蠕虫后被好好的上了一课,客户找上门的时候根本就无法交代。这些客户中,也包括了美国政府。
在互联网时代,安全事件的性质有些类似。CSDN等大型社区、网站的用户密码数据库泄露后,在几个月内,几乎整个中国互联网的大型公司都遭受到了一次密码扫描的洗礼。当时腾讯的兄弟发消息来问,你们(阿里)被扫没?我说,是啊!(例如)如果你在人人网的账户和CSDN的账户、密码是同一个,那么你在人人网的账户可能也被黑客掌握了。
这么多年过去了,白帽子和厂商之间的关系并没有得到本质的改善。虽然有一些安全公司在共同努力,但相对于整个互联网来说声音仍然太小。
这次58同城的事件,其实可以成为一个契机。如果是有担当、有节操的公司,就应该像微软一样,从自身开始改变,从CEO的态度开始改变,成为一家让安全社区尊敬的公司,那么,整个安全社区,自然就也会有所回报。
最后,本文欢迎转载,你们给我使劲的转,转的整个互联网都是,转的那些“互联网大佬们”都能看到,这就是真正在造福安全行业,造福互联网了。
不过转载请注明出处哦!
—— 我是万恶的分割线 ——
受58同城事件影响,整个黑客圈的亢奋心情都被点燃了,这不,又来了一波猛的。
前两天CCTV-10的《走进科学》栏目播放了一期“黑客来了”的专题,乍一看是某数字公司的广告,再加外交部对美国的一次回应。
但今天居然有好事者仔细研究了这个视频,然后把里面某数字公司的“面具黑客”给人肉出来了,其精彩程度不亚于上次有人人肉出来泷泽萝拉拍视频的那个温泉。
想了解的朋友可以点击“阅读原文”查看(《走进科学》之“黑客来了”观后感—人人都可以5分钟破密码)。
======
本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay。转载请注明出处。
回复m可以查看推荐文章。也可以访问:http://taosay.net
如果你喜爱我的文章,请点击右上角的…按钮,选择分享到朋友圈。你的分享是对我最大的支持。
@关于我:江湖人称“刺”,别号“道哥”,互联网安全砖家,不是叫兽。喜欢读书、看电影,与Geek们喝茶聊天。
微博ID(新浪、腾讯):aullik5
关注互联网、黑客、创业、技术、历史、文化。欢迎提问,欢迎爆料。
留言评论(旧系统):