您当前位置:首页 > 资讯中心 > 业内新闻

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

世界上的许多冲突,归根结底就四个字:认知差异。打个比方:

小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是“又该买新裙子了”。

面对同一个事情,认知的不同导致了角度、观点的不对称,由此引发冲突。这种认知差异的怪圈,存在于每个人的身上,哪怕是看起来无所不能的黑客也无法逃脱。而且,当认知差异发生在黑客身上,事情变得更加有趣。

安全众测平台漏洞盒子的负责人曾裕智向雷锋网讲述了他看到的,黑客遭遇的认知差异。

认知差异一:漏洞还是 BUG?

程序员通常喜欢把程序出现的所有问题统称为“Bug”,无论是编程问题、逻辑问题,还是设计问题。然而,每个人对 Bug 的认知不同,便产生了认知差异。

曾裕智为雷锋网编辑讲了一个真实案例:

一个公司开发的 APP 具备发送短信验证码的功能,它的流程是“输入手机号并确认 → 收到短信验证码 → 填入验证码 → 验证完成。” 整个短信验证流程很完整,在开发者眼里,没有任何 “BUG” 。

然而这世上却有种叫“短信轰炸机”的东西,攻击者可以通过大量重复调用APP的短信接口来对某一个号码实施“短信轰炸”。于是,在黑客的眼里,这个流程有“BUG”,因为他没有对短信轰炸问题做处理。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲短信轰炸器截图,图片来自网络

这就是开发者和黑客的典型认知差异,前者看重逻辑和预期,后者看重可能性和危害。

漏洞盒子作为一个漏洞众测平台,站在企业和白帽子的中间,他们需要借助民间白帽子黑客(安全测试人员)的力量来帮助企业发现安全漏洞,便注定每天面对无数类似的认知差异。

不过他们找到了一个解决思路:明确定义和规则。他们知道,当双方产生认知差异时,只有从双方都认同的定义和规则出发,才可能达成较后的一致。

他们把“安全漏洞”定义为“可能对业务造成不良影响或损失的缺陷,一旦处理不当就可能引发安全事件和安全事故。”。这和安全行业通用的定义,也是双方都认同的。

按照这样的定义,上文案例中的问题就不难处理。企业的 APP 一旦被攻击者短信轰炸,轻则造成短信资源浪费,重则引起大量用户投诉,导致短信接口屏蔽被电信运营商屏蔽,造成业务中断。因此,短信接口没有做防攻击处理,应该视为“安全漏洞”。

“较后双方达成一致,APP开发者对短信验证码接口加入了验证码,并且对短信次数进行了限制,从而降低了被利用于短信轰炸的风险。”曾裕智说,这其中较重要的一点,就在于对安全漏洞及安全事件的定义。

认知差异二:白帽子,黑客,还是安全专家?

漏洞盒子首页上有句这样的话:

漏洞盒子是一个互联网安全测试平台,它的模式是众包全球各地的网络安全专家,让他们在平台上去为企业解决各种各样的网络安全问题。

这句话里的“安全专家”,指的是白帽子(善意的黑客)。但漏洞盒子更愿意称他们为“网络安全专家”而非“白帽子”或“黑客”,因为人们黑客这个词本身就存在认知偏差。

黑客是什么?有人觉得它具有褒义,只有技术高超的人才有资格叫黑客;有人觉得黑客带有贬义,他们喜欢利用技术来搞破坏和恶作剧;而更常规的解释则是一个中性词,意为“精通电子计算机技术的人”。

对“黑客”的认知差异体现在漏洞平台上,较直接的体现就是厂商无法彻底摆脱对白帽子的忌惮,他们担心所谓“安全专家”会在测试漏洞时做一些坏事,拖走他们的数据库、泄露商业隐私等等。

这一点和网约车非常相似,3年前,网约车乘客遭遇司机不法侵害的事件偶有发生,许多漂亮姑娘不敢用打车软件,因为在许多人的认知当中,网约车的前身就是不安全的“黑车”。“安全专家”的前身终究还是黑客。

网约车解决这个问题的方法是“明确规则”,比方说对司机进行实名认证。而漏洞盒子解决认知差异问题的方法也是明确规则。曾裕智告诉雷锋网,漏洞盒子主要从三个方面对交易过程进行严格的风险控制:

  • 对象风控:是指平台会实名制测试人员的身份,同时也校验企业的资质 ——即打车之前先实名登记司机和乘客身份。

     

  • 过程风控:是指平台会提供网络镜像流量、VPN等,确保审计测试人员的行为 —— 即乘车时在车里安装一个行车记录仪。

     

  • 结果风控:是指通过法律协议,严禁“白帽子”对外透露测试过程和结果的任何细节。—— 即签约不允许透露乘客信息。

如今网约车已经成为许多人生活的一部分,这在某种程度上得益于规则的完善。同样基于共享模式的“安全众测”,未来或许也会在不断完善的规则之下,逐渐被更多的人所接受。

 

认知差异三:高危漏洞,还是低危漏洞?

曾裕智告诉雷锋网,在漏洞盒子的平台上进行安全检测,一开始不用支付任何费用。检测结束之后,平台会按照漏洞数量和危害级别计费,没有发现问题一分钱也不用付,即所谓的“按效果付费。”

这将导致了另一个认知差异:既然按效果付费,效果好不好,谁说了算?

曾经有这么个段子,一家餐厅做关于菜品价格的问卷调查,结果价格一降再降,顾客依然在问卷里表示“太贵”,老板很郁闷,明明自家菜价比别家低很多,为什么顾客还觉得贵?一名服务员点醒他:这世上哪有嫌便宜的?就算你免费赠送,也会有人想让你倒贴钱。

同样的道理,让企业来评定安全效果,永远都是“不够好”,让测试人员来评定,永远都“很好”。

曾裕智告诉雷锋网,解决办法依然在于“双方都认同的定义和规则”。正因如此,漏洞盒子在漏洞价值评定上采用国际公认的漏洞评级标准 CVSS 。

据雷锋网了解,CVSS标准由安全组织 FIRST 管理。这个组织来头相当大,主要成员是各国的国家应急响应中心以及谷歌、苹果这样的行业巨头,国内仅有华为、中兴两家是企业成员。CVSS 漏洞标准在行业内具有相当高的权威性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲CVSS标准示意图 ,图片来源漏洞盒子官网

无独有偶,此前美国知名的漏洞平台 Hacker one 的首席运营官(COO) 王宁向雷锋网编辑透露,他们也曾遭遇过因漏洞鼓励计划没写明确,造成白帽子和企业双方的误解。

就在 2017年3月中旬,雷锋网得知, Hacker one 也开始放弃他们原本自己制定的漏洞分级评定标准,不断向 CWE、CVSS 等行业通用标准靠拢。今年五月份, Hacker one 将发布美国国防部推出“黑掉美国空军”漏洞奖励项目,鼓励黑客们来漏洞平台黑掉美国国防部。

Hacker one 能够得到国防部的信赖,相信其中的一大原因就在于其规则的公认性。

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

▲“黑掉空军”宣传海报

黑客与规则,说起来其实挺有趣的。在雷锋网(公众号:雷锋网)编辑眼里,黑客通常是打破规则,不受约束的角色,而像漏洞盒子这样漏洞平台的出现,又恰恰要为黑客提供一套规则,让他们遵循平台的规则行事。或许未来“黑客”这个词会越来越少用,而更多出现在我们眼中的将是“网络安全专家”。又或者,关于黑客是否“喜欢打破规则,不受约束”的话题,同样存在认知差异。

作者:Grabsun - 发布时间:2017-05-02 - 点击量:5092
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们